Tilsyn med Arbejdsmarkedets Tillægspension (ATP)

Dato: 07-08-2020

Journalnummer: 2019-421-0035

Resume

Datatilsynet har i august 2020 afsluttet et planlagt skriftligt tilsyn hos Arbejdsmarkedets Tillægspension (ATP). Tilsynet fokuserede på ATP’s efterlevelse af reglerne om oplysningspligt ved brug af kontrolforanstaltninger over for medarbejdere. Tilsynet fokuserede også på, hvorvidt ATP’s iagttagelse af oplysningspligten levede op til forordningens grundlæggende princip om gennemsigtighed, som bl.a. indebærer, at den dataansvarlige skal give medarbejderne let tilgængelig og forudgående information om de anvendte kontrolforanstaltninger.

Datatilsynet har på baggrund af det gennemførte tilsyn fundet anledning til at udtale alvorlig kritik af ATP’s behandling af personoplysninger.

Af Datatilsynets afsluttende udtalelse fremgår bl.a., at ATP’s efterlevelse af oplysningspligten har været mangelfuld, fordi myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger og det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier der anvendes til at fastlægge dette tidsrum.

Herudover fremgår det, at den information, som ATP har givet til medarbejdere i henhold til reglerne om oplysningspligt, ikke er blevet givet til medarbejderne i en tiltrækkelig lettilgængelig form.

Du kan læse Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold her.

Du kan læse Datatilsynets vejledning om registreredes rettigheder her.

Afgørelse

1. Skriftligt tilsyn med ATP’s behandling af personoplysninger

Arbejdsmarkedets Erhvervssikring (AES) var blandt de myndigheder, som Datatilsynet i efteråret 2019 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynet varslede derfor den 9. september 2019 et tilsyn med AES. Tilsynet var et skriftligt tilsyn, som fokuserede på AES’ efterlevelse af oplysningspligten i forbindelse med kontrolforanstaltninger over for medarbejdere, jf. forordningens artikel 13 og 14. Herudover fokuserede tilsynet på, hvorvidt AES’ iagttagelse af oplysningspligten levede op til princippet om gennemsigtighed i forordningens artikel 5, stk. 1, litra a, som efter tilsynets vurdering bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger.

AES har ved breve af 7. oktober 2019 og 5. maj 2020 kommet med udtalelser til sagen. Det fremgår bl.a. af AES´ udtalelser, at Arbejdsmarkedets Tillægspension (ATP) er dataansvarlig for den behandling af personoplysninger, der finder sted i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere, der varetager opgaver på AES’ myndighedsområde. Som begrundelse herfor har AES oplyst, at ATP er ansættelsesmyndighed med instruktions- og ledelsesbeføjelse over for de medarbejdere, som varetager opgaver på AES’ område, og at behandling af personoplysninger i forbindelse med brugen af kontrolforanstaltninger over for medarbejderne sker til opfyldelse af ATP’s nærmere bestemte formål.

Som følge heraf besluttede Datatilsynet i stedet at rette det skriftlige tilsyn mod ATP, hvilket tilsynet varslede over for ATP den 19. maj 2020.

ATP har ved brev af 2. juni 2020 bekræftet de oplysninger, som fremgår af AES udtalelser af 7. oktober 2019 og 5. maj 2020. ATP har i den forbindelse bemærket, at AES’ besvarelser af Datatilsynets spørgsmål er udarbejdet i et samarbejde mellem ATP og AES.

Efter tilsynet med ATP finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At ATP’s efterlevelse af oplysningspligten i henhold til forordningens artikel 13 og 14 har været mangelfuld, herunder ved at myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger og det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier der anvendes til at fastlægge dette tidsrum.
  2. At ATP’s iagttagelse af oplysningspligten ikke er sket i en tilstrækkelig lettilgængelig form i henhold til forordningens artikel 12, stk. 1.

Datatilsynet finder i forhold til pkt. 1 og 2 grundlag for at udtale alvorlig kritik af, at ATP’s behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 1, artikel 13 og 14. For så vidt angår manglende information om formålet med behandling af personoplysninger finder Datatilsynet endvidere, at ATP’s behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.

Datatilsynet har noteret sig, at ATP den 4. oktober 2019, dvs. efter datoen for varslingen af tilsynet den 9. september 2019, har udbygget den oplysningstekst, som myndigheden anvender til iagttagelse af oplysningspligten. Det bemærkes dog for en god ordens skyld, at tilsynet med denne afgørelse ikke har taget stilling til indholdet af den udbyggede oplysningstekst.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.

2. ATP’s brug af kontrolforanstaltninger over for medarbejdere

ATP har indledningsvis bekræftet det af AES oplyste om, at ATP er dataansvarlig for den behandling af personoplysninger, der finder sted i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere, der varetager opgaver på AES’ myndighedsområde.

ATP har i forlængelse heraf oplyst, at myndigheden gør brug af følgende kontrolforanstaltninger over for medarbejdere, der varetager opgaver på AES’ myndighedsområde:

  • Logning af brugen af internet, fagsystemer og afviste adgangsforsøg
  • Logning af adgang til fysiske lokationer og tidsregistrering
  • Tildeling og opfølgning på roller og rettigheder i fagsystemer
  • Adgang til medarbejderes e-mails
  • Indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet
  • Whistleblowerordning
  • Tv-overvågning
  • Besvigelseskontrol

I forhold til brugen af logning af medarbejdernes brug af internettet har ATP oplyst, at der kan følges op på logningen ved konkret mistanke om misbrug eller hacking.

For så vidt angår logning af medarbejdernes færden i fagsystemer har ATP oplyst, at der foretages kontrol af logningen ved stikprøver og dataanalyser med det formål at sikre, at interne retningslinjer og regler overholdes, herunder om medarbejdere foretager opslag i sager, der ikke er sagligt begrundet. Herudover foretages der kontrol af, om medarbejderne lagrer og anvender arbejdsrelateret data i strid med interne regler, eksempelvis om der gemmes arbejdsrelaterede personnumre m.m. i Outlook eller på drev, der ikke er tiltænkt hertil.

Om logning af afviste adgangsforsøg har ATP oplyst, at der foretages kontrol af afviste adgangsforsøg, som medarbejderne ikke har et arbejdsbetinget behov for at tilgå. Herudover foretages der kontrol af, om medarbejderne sender arbejdsrelaterede opgaver fra arbejdsmail til medarbejdernes private e-mail.

ATP har i forhold til logning af adgang til fysiske lokationer og tidsregistrering oplyst, at medarbejdernes adgang til bygninger og lokaler logges via medarbejdernes adgangskort, og at der ved mistanke kan foretages kontrol af, om medarbejdernes tidsregistreringer stemmer overens med den faktiske arbejdstid.

I forhold til tildeling af og opfølgning på roller og rettigheder i fagsystemer har ATP oplyst, at denne foranstaltning har til formål at sikre, at medarbejderne alene har adgang til sager i systemer, hvortil de har et arbejdsmæssigt behov. 

Det er generelt Datatilsynets opfattelse, at tildeling og opfølgning på roller og rettigheder i fagsystemer udgør en sikkerhedsforanstaltning efter databeskyttelsesforordningens artikel 32, og at en sådan foranstaltning ikke har karakter af en kontrolforanstaltning omfattet af nærværende tilsyn. Datatilsynet har således ikke med dette tilsyn taget stilling til ATP’s iagttagelse af oplysningspligten i forbindelse med behandling af personoplysninger som led i tildeling og opfølgning på roller og rettigheder i fagsystemer.

For så vidt angår adgang til medarbejderes e-mails har ATP oplyst, at myndigheden opbevarer tidligere medarbejderes mailkonto og personlige drev m.v., da det kan være nødvendigt for ATP af drifts- og forretningsmæssige årsager at kunne tilgå visse oplysninger.

Om indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet har ATP oplyst, at det er en betingelse både for ansættelse og forbliven i ansættelsesforholdet, at medarbejderens straffeattest ikke er uforenelig med et internt besluttet værdighedskrav og almene decorumregler. Medarbejdere skal derfor fremvise en straffeattest ved kontraktindgåelse. Herudover vil der under ansættelsesforholdet – stikprøvevist eller ved mistanke – kunne indhentes straffeattest på medarbejdere efter forudgående samtykke.

Datatilsynet skal hertil bemærke, at tilsynet ikke i denne afgørelse har taget stilling til ATP’s opfyldelse af oplysningspligten i forbindelse med indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet, ligesom tilsynet heller ikke har taget stilling til om en sådan behandling af personoplysninger i øvrigt vil kunne finde sted inden for databeskyttelsesforordningens rammer. Det skyldes, at Datatilsynet har besluttet at tage en sag op af egen drift vedrørende ATP’s behandling af personoplysninger i forbindelse med indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet. ATP vil modtage en særskilt henvendelse herom.

ATP har i forhold til whistleblowerordningen oplyst, at der vil ske en undersøgelse af den pågældende indberetning i tilfælde, hvor en medarbejder er blevet indberettet under whistleblowerordningen.

I den forbindelse skal Datatilsynet bemærke, at muligheden for at foretage indberetninger via et sådant system efter tilsynets vurdering som udgangspunkt ikke har karakter af en kontrolforanstaltning omfattet af nærværende tilsyn.

Datatilsynet har herved bl.a. lagt vægt på, at en eventuel kontrol vil være lagt ud til medarbejderne eller andre eksterne parter, som har mulighed for at foretage indberetninger via whistleblowersystemet. Herudover er det Datatilsynets umiddelbare opfattelse, at det vil være den efterfølgende undersøgelse, som finder sted på baggrund af en indberetning, der vil kunne udgøre en kontrolforanstaltning omfattet af dette tilsyn, idet en sådan undersøgelse typisk kan bestå i en eller flere af de øvrige kontrolforanstaltninger, som ATP har angivet i forbindelse med dette tilsyn, herunder eksempelvis kontrol af diverse logninger eller tv-overvågning m.v. Datatilsynet har således ikke med dette tilsyn taget stilling til ATP’s iagttagelse af oplysningspligten i forbindelse med behandling af personoplysninger som led i myndighedens whistleblowersystem.

For så vidt angår tv-overvågning har ATP oplyst, at myndigheden foretager tv-overvågning af fysiske faciliteter, indgange og udvalgte lokaler. Overvågningen har et præventivt formål med henblik på sikring af ejendomme og personale, men overvågningen kan undtagelsesvis bruges som led i kontrol af medarbejdere ved konkret mistanke om et potentielt strafbart forhold.

Endelig har ATP i forhold til besvigelseskontrol oplyst, at myndigheden – for så vidt angår de medarbejdere, der varetager erstatningsudbetalinger på AES’ myndighedsområde – foretager daglig manuel sikring af, om medarbejdernes ændring af den konto, hvortil udbetaling skal ske, er dokumenteret i sagen. Besvigelseskontrollen består i, at der hver dag bliver trukket en liste i NemKonto-systemet, der viser hvilke kontonummerændringer, der er foretaget den foregående dag. Medarbejderne, som varetager erstatningsudbetalinger på AES’ myndighedsområde, tjekker herefter, om de indsatte kontooplysninger er korrekte. En medarbejder må ikke tjekke sine egne kontonummerændringer. Når listen er tjekket og fundet ok blandt medarbejderne, gives listen videre til en bestemt person for et endeligt tjek, hvorefter listen sættes i en bestemt mappe. Hvis der konstateres fejl i kontonummerændringen, skal fejlen rettes, og rettelsen skal beskrives kort på listen.

Datatilsynet skal hertil bemærke, at en sådan besvigelseskontrol efter tilsynets vurdering som udgangspunkt ikke har karakter af en kontrolforanstaltning omfattet af nærværende tilsyn, idet der efter tilsynets opfattelse er tale om en indarbejdet procedure, der skal sikre, at erstatningsudbetalinger foretages korrekt.  Datatilsynet har således ikke med dette tilsyn taget stilling til ATP’s iagttagelse af oplysningspligten i forbindelse med behandling af personoplysninger som led i myndighedens besvigelseskontrol.

3. Procedurer m.v. i forhold til opfyldelse af oplysningspligten og forudgående information om kontrolforanstaltninger

ATP har overordnet oplyst, at myndighedens medarbejdere via ansættelseskontrakten underrettes om, at man som medarbejder er omfattet af retningslinjer og regler gældende for ansættelsesforholdet, herunder bl.a. myndighedens informationssikkerhedspolitik, og at disse regler og retningslinjer kan tilgås via myndighedens intranet (medarbejderportalen). ATP har i den forbindelse sendt en kopi af en sådan ansættelseskontrakt til tilsynet.

Ved tiltrædelse modtager medarbejderne en velkomstmail, som bl.a. indeholder et direkte link til ATP’s medarbejderportal, hvor medarbejderen kan læse om, hvad der i øvrigt forventes af den enkelte medarbejder i forbindelse med ansættelsesforholdet. ATP har fremsendt en kopi af velkomstmailen til Datatilsynet. Det er i den forbindelse tilsynets vurdering, at medarbejderne ikke gøres opmærksomme på brugen af kontrolforanstaltninger i velkomstmailen.

ATP har til brug for iagttagelse af reglerne om oplysningspligt udarbejdet en generel oplysningstekst vedrørende myndighedens behandling af personoplysninger om medarbejdere, som medarbejderne kan tilgå via medarbejderportalen. Oplysningsteksten suppleres af en række særskilte informationer om de enkelte kontrolforanstaltninger, som ligeledes kan tilgås via medarbejderportalen.

ATP har i forlængelse heraf oplyst, at myndigheden – som led i et pågående arbejde med at afdække myndighedens efterlevelse af databeskyttelsesforordningens artikel 13 og 14 i forbindelse med ansættelsesforhold – har udbygget den ovenfor nævnte oplysningstekst til medarbejderne. ATP har hertil oplyst, at den udbyggede tekst er gældende fra den 4. oktober 2019, hvilket er efter datoen for Datatilsynets varsling af tilsynet over for AES den 9. september 2019. Datatilsynet har således ikke taget stilling til indholdet af den udbyggede oplysningstekst i denne afgørelse, men har noteret sig, at ATP har opdateret teksten.  

I forbindelse med tilsynet har ATP sendt en kopi af den oplysningstekst vedrørende ATP’s behandling af medarbejdernes personoplysninger, der var gældende forud for den 4. oktober 2019. Herudover har ATP fremsendt en kopi af de relevante informationer på myndighedens medarbejderportal, som vedrører myndighedens brug af kontrolforanstaltninger.

ATP’s ansættelseskontrakter, politik og retningslinjer for informationssikkerhed, oplysningsteksten vedrørende behandling af medarbejderes personoplysninger og de øvrige informationer på medarbejderportalen gennemgås nedenfor under afsnit 4.

Det er efter en gennemgang af det af ATP fremsendte materiale Datatilsynets forståelse, at ATP ikke har udarbejdet skriftlige procedurer m.v. for myndighedens efterlevelse af databeskyttelsesforordningens regler om oplysningspligt og kravet om forudgående information i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere.

Datatilsynet skal i den forbindelse anbefale, at ATP udarbejder procedurer m.v. for myndighedens efterlevelse af reglerne om oplysningspligt og forudgående information i forbindelse med kontrolforanstaltninger over for medarbejdere, hvor det bl.a. bør fremgå, hvordan og på hvilket tidspunkt medarbejdere skal underrettes om den behandling af personoplysninger, der finder sted i forbindelse med de enkelte kontrolforanstaltninger.

4. Gennemgang af ATP’s oplysningstekst og informationer på medarbejderportalen

ATP har oplyst[3], at myndigheden gør brug af en række kontrolforanstaltninger – der kan anvendes i både drifts-, sikkerheds- og kontroløjemed – over for myndighedens medarbejdere. Datatilsynet kan ikke udelukke, at disse anvendes i kontroløjemed over for myndighedens medarbejdere, hvorfor dette er lagt til grund ved gennemgangen af det fremsendte materiale.

Generelt har ATP oplyst[4], at myndighedens medarbejdere via ansættelseskontrakten underrettes om, at man som medarbejder i ATP er omfattet af retningslinjer og regler gældende for ansættelsesforholdet, herunder bl.a. myndighedens informationssikkerhedspolitik og de dertilhørende retningslinjer. Herudover har ATP udarbejdet en oplysningstekst vedrørende myndighedens behandling af personoplysninger om medarbejdere, som medarbejderne kan tilgå via medarbejderportalen. Oplysningsteksten suppleres af en række særskilte informationer om de enkelte kontrolforanstaltninger, som ligeledes kan tilgås via medarbejderportalen.

Efter en gennemgang af de fremsendte eksempler på ansættelseskontrakter er det Datatilsynets vurdering, at kontrakterne ikke indeholder konkret information om ATP’s behandling af personoplysninger i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere. Medarbejderne gøres alene opmærksomme på, at de er omfattet af – og forpligtet til at holde sig ajour med – ATP’s gældende retningslinjer og regler for ansættelsesforholdet, herunder bl.a. myndighedens informationssikkerhedspolitik, som kan findes på medarbejderportalen. Herudover fremgår det af kontrakterne, at det er en forudsætning for tiltræden og forbliven i ansættelsesforholdet, at medarbejdernes straffeattest ikke giver anledning til bemærkninger.

Idet oplysningsteksten på medarbejderportalen vedrørende ATP’s behandling af medarbejderes personoplysninger – efter Datatilsynets vurdering – har en mere overordnet karakter og ikke indeholder specifik information om de enkelte kontrolforanstaltninger, som myndigheden gør brug af over for medarbejdere, gennemgås oplysningstekstens indhold i umiddelbar forlængelse heraf, hvorefter de særskilte informationer på ATP’s medarbejderportal om de enkelte kontrolforanstaltninger gennemgås.

Af oplysningsteksten vedrørende behandling af personoplysninger om medarbejdere fremgår det, at ATP behandler oplysninger om medarbejderne med det formål at varetage al administration relateret til ansættelsesforholdet, herunder lønudbetaling, tidsregistrering, administration af sygedagpenge, orlov og barselsdagpenge m.v.

Oplysningsteksten indeholder en generel beskrivelse af de kategorier af personoplysninger, som ATP behandler om medarbejdere. Det fremgår således, at ATP behandler oplysninger om navn, adresse, cpr-nummer, stilling, uddannelse, lønforhold, skatteforhold, bankkonto, arbejdstid, fravær og straffeforhold og lignende. I forlængelse heraf indeholder oplysningsteksten information om eventuelle kategorier af modtagere af oplysningerne.

Herudover indeholder oplysningsteksten information om, hvordan og hvor længe oplysningerne opbevares. Det fremgår således, at oplysningerne om medarbejderne opbevares i en elektronisk personalesag i et bestemt system, og at ATP sletter medarbejdernes personoplysninger fem år efter udløbet af det år, medarbejderne fratræder.

Medarbejderne informeres endvidere om retten til at anmode om indsigt i og berigtigelse eller sletning af personoplysninger samt retten til dataportabilitet. I forlængelse heraf er der indsat kontaktoplysninger på myndighedens databeskyttelsesrådgiver.

Afslutningsvis indeholder bilaget information om muligheden for at klage over ATP’s behandling af personoplysninger til Datatilsynet.

4.1. Vedrørende information om logning af brugen af internet, fagsystemer og afviste adgangsforsøg

ATP har oplyst, at medarbejdere informeres om logning af brugen af internet, fagsystemer og afviste adgangsforsøg i myndighedens politik og retningslinjer for informationssikkerhed, som der henvises til i ansættelseskontrakterne. Herudover informeres medarbejderne om logningen via medarbejderportalen.

ATP har i forbindelse med tilsynet sendt en kopi af myndighedens politik for informationssikkerhed. Efter en gennemgang af informationssikkerhedspolitikken er det Datatilsynets vurdering, at politikken ikke indeholder information om den behandling af personoplysninger, der finder sted i forbindelse med logning af brugen af internet, fagsystemer og afviste adgangsforsøg. Politikken indeholder – efter tilsynets vurdering – alene oplysninger om ATP’s interne politik for informationssikkerhed inden for en række nærmere bestemte områder, herunder bl.a. organisering og funktionsadskillelse, drift/sikring af faciliteter og it-løsninger samt logning.  

ATP har endvidere sendt en kopi af myndighedens retningslinjer for informationssikkerhed, herunder retningslinjer for logning og overvågning. Efter en gennemgang af retningslinjerne er det Datatilsynets vurdering, at disse ikke indeholder information om den behandling af personoplysninger, der finder sted i forbindelse med logning af brugen af internet, fagsystemer og afviste adgangsforsøg. Retningslinjerne beskriver – efter tilsynets vurdering – alene, hvordan informationssikkerhedspolitikken skal håndteres i ATP’s opgaveløsning, herunder bl.a. hvilke specifikke områder, hvor der som udgangspunkt skal foretages logning, og hvordan log-oplysningerne skal beskyttes mod manipulation og uautoriseret adgang.

Endelig har ATP sendt en kopi af den information om logning af brugen af internet, fagsystemer og afviste adgangsforsøg, som medarbejderne kan tilgå via medarbejderportalen.

På medarbejderportalen fremgår det om logning, at ATP gennemfører kontroller i fagsystemer m.v. for at sikre, at myndighedens retningslinjer og regler overholdes. Kontrollerne gennemføres ved stikprøver og dataanalyser. Herudover fremgår det, at der ikke foretages generel overvågning og kontrol af medarbejdernes brug af internettet, men at ATP kan følge op på en logning, hvis der er konkret mistanke om misbrug eller hacking.

Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende anvender hhv. internettet og fagsystemerne, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med logning af brugen af internet, fagsystemer og afviste adgangsforsøg skal leve op til kravene i databeskyttelsesforordningens artikel 13.

Efter en gennemgang af det fremsendte materiale, herunder ATP’s politik og retningslinjer for informationssikkerhed, den generelle oplysningstekst om behandling af personoplysninger og informationen om logning på medarbejderportalen, er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om retsgrundlaget for behandlingen.

Herudover er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om det tidsrum, hvor logoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes for at fastlægge dette tidsrum. Datatilsynet har i den forbindelse lagt vægt på, at det ikke er tilstrækkelig tydeligt ud fra generelle oplysningstekst om behandling af personoplysninger, hvor længe logoplysningerne bliver opbevaret, idet oplysningsteksten alene indeholder en overordnet beskrivelse af, hvornår oplysninger om medarbejdere, der behandles i forbindelse med personaleadministration, slettes. Datatilsynet har endvidere lagt vægt på, at, at denne information – efter tilsynets opfattelse – er nødvendig for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.

Datatilsynet finder på den baggrund, at ATP’s underretning om behandling af personoplysninger i forbindelse med logning af brugen af internet, fagsystemer og afviste adgangsforsøg ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c og stk. 2, litra a.

4.2. Vedrørende information om logning af adgang til fysiske lokationer og tidsregistrering

ATP har oplyst, at medarbejdere informeres om logning af adgang til fysiske lokationer og tidsregistrering i myndighedens politik og retningslinjer for informationssikkerhed, som der henvises til i ansættelseskontrakterne. Herudover informeres medarbejderne om logningen via medarbejderportalen.

ATP har i forbindelse med tilsynet sendt en kopi af myndighedens politik for informationssikkerhed. Efter en gennemgang af informationssikkerhedspolitikken er det Datatilsynets vurdering, at politikken ikke indeholder information om den behandling af personoplysninger, der finder sted i forbindelse med logning af adgang til fysiske lokationer og tidsregistrering. Informationssikkerhedspolitikken indeholder – efter tilsynets vurdering – alene oplysninger om ATP’s interne politik for informationssikkerhed inden for en række nærmere bestemte områder, herunder bl.a. organisering og funktionsadskillelse, drift/sikring af faciliteter og it-løsninger samt logning.

ATP har endvidere sendt en kopi af myndighedens retningslinjer for informationssikkerhed, herunder retningslinjer for fysisk perimetersikring og adgangskontrol. Efter en gennemgang af retningslinjerne er det Datatilsynets vurdering, at disse ikke indeholder information om den behandling af personoplysninger, der finder sted i forbindelse med logning af adgang til fysiske lokationer og tidsregistrering. Retningslinjerne beskriver – efter tilsynets vurdering – alene, hvordan informationssikkerhedspolitikken skal håndteres i myndighedens opgaveløsning. Det fremgår bl.a., at bygninger skal være indrettet sådan, at uvedkommende forhindres adgang til visse områder, og at det via elektroniske adgangskontrolsystemer skal sikres, at kun autoriserede personer har adgang til bygninger, kontorarealer og eventuelle særlige områder, hvortil der er et arbejdsbetinget behov. Herudover fremgår det, at alle skal bære synligt adgangskort, og at adgangskort ikke må udlånes til andre, og at adgangskort skal kunne spærres i adgangskontrolsystemet.

På medarbejderportalen fremgår det, at ATP har etableret et adgangskontrolsystem, og at der er opsat adgangskontrol ved udvendige adgangsdøre og indvendige døre til specielle områder, teknikrum og lignende. Videre fremgår det, at medarbejderne skal anvende adgangskortet både, når de møder ind om morgenen, og når de går hjem, og at denne registrering er vigtig for at have styr på, hvem der er i bygningen i tilfælde af evakuering.

Herudover fremgår det, hvordan medarbejderne skal bruge adgangskortet, og hvad de skal gøre, hvis de har mistet eller glemt sine adgangskort.

Endelig fremgår det, at adgangskontrolsystemet er koblet sammen med flekstidssystemet. Dagens første registrering vil blive brugt som komme-tid og dagens sidste registreringstid som gåtid. Medarbejderen skal derfor være opmærksom på, at der kan være brug for at ændre sin tidsregistrering, hvis man eksempelvis dyrker motion i arbejdstiden.

Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende anvender sit adgangskort, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med adgangskontrol skal leve op til kravene i databeskyttelsesforordningens artikel 13.

Efter en gennemgang af det fremsendte materiale, herunder ATP’s politik og retningslinjer for informationssikkerhed, den generelle oplysningstekst om behandling af personoplysninger og informationen om adgang til fysiske lokationer og tidsregistrering på medarbejderportalen, er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om formålet med behandlingen af personoplysningerne og retsgrundlaget for behandlingen. Datatilsynet har herved lagt vægt på, at det efter tilsynets opfattelse ikke fremgår tilstrækkelig tydeligt, at de omhandlede logoplysninger også kan anvendes til kontroløjemed over for medarbejderne.

Herudover er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om det tidsrum, hvor logoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes for at fastlægge dette tidsrum. Datatilsynet har i den forbindelse lagt vægt på, at det ikke er tilstrækkeligt tydeligt ud fra den generelle oplysningstekst om behandling af personoplysninger, hvor længe oplysningerne bliver opbevaret, idet oplysningsteksten alene indeholder en overordnet beskrivelse af, hvornår oplysninger om medarbejdere, der behandles i forbindelse med personaleadministration, slettes. Datatilsynet har endvidere lagt vægt på, at denne information – efter tilsynets opfattelse – er nødvendig for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.

Datatilsynet finder på den baggrund, at ATP’s underretning om behandling af personoplysninger i forbindelse med logning af adgang til fysiske lokationer og tidsregistrering ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c og stk. 2, litra a.

Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at ATP’s information omkring logning af adgang til fysiske lokationer og tidsregistrering ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.

4.3. Vedrørende information om adgang til medarbejderes e-mails

ATP har oplyst, at myndighedens medarbejdere informeres om, at deres e-mail kan tilgås efter fratrædelse på medarbejderportalen.

I forbindelse med tilsynet har ATP sendt en kopi af den information om adgang til tidligere medarbejderes e-mails, som medarbejderne kan tilgå via medarbejderportalen

På medarbejderportalen fremgår det, at ATP har ret til at skaffe sig adgang til en medarbejders mailkonto uden samtykke, eksempelvis i situationer hvor der er behov for at finde korrespondance vedrørende en sag eller at indsætte et autosvar, hvis en medarbejder er fratrådt eller ikke kan kontaktes.

Videre fremgår det, at det i sådanne situationer vil være lederen, der – efter aftale med HR –

gennemgår mailkontoen og videresender den relevante korrespondance.

I forlængelse heraf fremgår det, at ATP ikke har ret til at læse medarbejderes private mails, hvorfor det anbefales at skrive ”privat” i emnefeltet med henblik på, at ATP kan identificere private korrespondancer. 

Endelig fremgår det, at ATP kan skaffe sig adgang til en medarbejders mailkonto for hurtigt at kunne reagere, hvis en sikkerhedsbrist opstår. I sådanne tilfælde vil medarbejderen efterfølgende blive orienteret om baggrunden herfor.

Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv via medarbejderens e-mailkonto, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med adgang til medarbejderes e-mails skal leve op til kravene i databeskyttelsesforordningens artikel 13.

Efter en gennemgang af det fremsendte materiale, herunder ATP’s generelle oplysningstekst om behandling af personoplysninger og informationen om adgang medarbejderes e-mails på medarbejderportalen, er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om formålet med behandlingen af personoplysningerne og retsgrundlaget for behandlingen. Datatilsynet har herved lagt vægt på, at det efter tilsynets opfattelse ikke fremgår tilstrækkeligt tydeligt, at oplysninger, der behandles i forbindelse med adgang til medarbejderens e-mails, også kan anvendes til kontroløjemed over for medarbejderne.

Herudover er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes for at fastlægge dette tidsrum. Datatilsynet har i den forbindelse lagt på, at det ikke er tilstrækkelig tydeligt ud fra generelle oplysningstekst om behandling af personoplysninger, hvor længe oplysningerne bliver opbevaret, idet oplysningsteksten alene indeholder en overordnet beskrivelse af, hvornår oplysninger om medarbejdere, der behandles i forbindelse med personaleadministration, slettes. Datatilsynet har tillige lagt vægt på, at, at denne information – efter tilsynets opfattelse – er nødvendig for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.

Datatilsynet finder på den baggrund, at ATP’s underretning om behandling af personoplysninger i forbindelse med logning af adgang til medarbejderes e-mails ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c og stk. 2, litra a.

Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at ATP’s information omkring adgang til medarbejderes e-mails ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.

4.4. Vedrørende information om tv-overvågning

ATP har oplyst, at myndighedens medarbejdere informeres om tv-overvågningen via skiltning i og omkring bygninger og fysiske lokationer. ATP har i den forbindelse fremsendt billeder af skiltningen ved de forskellige lokationer.

Private og offentlige myndigheder, der foretager tv-overvågning af steder eller lokaler, hvor der er almindelig adgang til, eller af arbejdspladser, skal ifølge tv-overvågningsloven[5] ved skiltning eller på anden tydelig måde oplyse om overvågningen. Ved siden af kravet om skiltning gælder databeskyttelsesforordningens og databeskyttelseslovens regler om oplysningspligt over for de registrerede.

Det følger således af tv-overvågningslovens § 3 b, at bestemmelsen i databeskyttelsesforordningens artikel 14 gælder uanset en eventuel skiltning i medfør af lovens §§ 3 og 3 a. Underretning om behandling af personoplysninger i forbindelse med tv-overvågning af medarbejdere skal således leve op til kravene i databeskyttelsesforordningens artikel 14.

Datatilsynet kan ud fra de fremsendte billeder konkludere, at skiltningen alene indeholder information om det faktum, at der foretages tv-overvågning. Skiltet består i et billede af et overvågningskamera med en overskrift, hvor der står ”Området er tv-overvåget”. Herudover er der angivet et telefonnummer på SensorTek, som Datatilsynet antager er systemleverandøren.

Efter en gennemgang af det fremsendte materiale, herunder ATP’s skiltning vedrørende tv-overvågning og den generelle oplysningstekst om behandling af personoplysninger, er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om formålet med behandlingen af personoplysningerne og retsgrundlaget for behandlingen. Datatilsynet har i den forbindelse lagt vægt på, at det efter tilsynets opfattelse ikke fremgår tilstrækkelig tydeligt, at oplysninger, der behandles i forbindelse med tv-overvågning, også kan anvendes til kontroløjemed over for medarbejderne.

Det er endvidere Datatilsynets vurdering, at medarbejderne ikke bliver givet tilstrækkelig information om de berørte kategorier af personoplysninger. Datatilsynet har herved lagt vægt på, at den generelle oplysningstekst om behandling af personoplysninger alene indeholder en overordnet angivelse af de kategorier af personoplysninger, der behandles i forbindelse med personaleadministration, og at det hverken fremgår af oplysningsteksten eller skiltningen, hvilke kategorier af oplysninger der behandles i forbindelse med tv-overvågning.

Herudover er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes for at fastlægge dette tidsrum. Datatilsynet har i den forbindelse lagt på, at det ikke er tilstrækkelig tydeligt ud fra hverken skiltningen eller den generelle oplysningstekst om behandling af personoplysninger, hvor længe oplysninger, der behandles i forbindelse med tv-overvågning, bliver opbevaret. Datatilsynet har tillige lagt vægt på, at denne information – efter tilsynets opfattelse – er nødvendig for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.

Datatilsynet finder på den baggrund, at ATP’s underretning om behandling af personoplysninger i forbindelse med logning af adgang til medarbejderes e-mails ikke lever op til kravene i databeskyttelsesforordningens artikel 14, stk. 1, litra c og d, og stk. 2, litra a.

Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at ATP’s information omkring tv-overvågning ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.

Idet tv-overvågning er en indgribende form for behandling af personoplysninger, skal Datatilsynet generelt fremhæve vigtigheden af, at ATP’s medarbejdere underrettes om den behandling af personoplysninger, der finder sted i forbindelse med brugen af tv-overvågning som kontrolforanstaltning i henhold til forordningens artikel 14.

4.5. Iagttagelse af oplysningspligten i en gennemsigtig og lettilgængelig form

Det følger af databeskyttelsesforordningens artikel 12, stk. 1, at den dataansvarlige skal give enhver meddelelse i henhold til bl.a. artikel 13 og 14 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

ATP har oplyst, at myndighedens medarbejdere i et vist omfang bliver oplyst om brugen af kontrolforanstaltninger via informationerne i ansættelsesaftalen, herunder bl.a. ved at henvise medarbejderne til de gældende retningslinjer og regler og ved at oplyse medarbejderne om, at det er en forudsætning for tiltræden og forbliven i ansættelsesforholdet, at medarbejdernes straffeattest ikke giver anledning til bemærkninger.

Ved tiltrædelse modtager medarbejderne endvidere en velkomstmail, som bl.a. indeholder et direkte link til ATP’s medarbejderportal, hvor medarbejderne kan læse mere om, hvad der forventes under ansættelsesforholdet. Det er som nævnt[6] Datatilsynets vurdering, at medarbejderne ikke gøres opmærksomme på brugen af kontrolforanstaltninger i velkomstmailen.

ATP har til brug for iagttagelse af reglerne om oplysningspligt udarbejdet en generel oplysningstekst vedrørende myndighedens behandling af personoplysninger om medarbejdere, som medarbejderne kan tilgå via medarbejderportalen. Oplysningsteksten suppleres af en række særskilte informationer om de enkelte kontrolforanstaltninger, som ligeledes kan tilgås via medarbejderportalen.

Datatilsynet har i forbindelse med dette tilsyn vurderet, om den information, ATP giver til medarbejdere i henhold til forordningens artikel 13 og 14, lever op til kravene i forordningens artikel 12, stk. 1, herunder om informationen bliver givet til medarbejderne i en tilstrækkelig lettilgængelig form.

Efter en gennemgang af det af ATP fremsendte materiale finder Datatilsynet, at ATP’s iagttagelse af oplysningspligten over for medarbejdere i forbindelse med brugen af kontrolforanstaltninger ikke er sket i overensstemmelse med forordningens artikel 12, stk. 1, idet den information, ATP giver til medarbejdere i henhold til forordningens artikel 13 og 14 i forbindelse med brugen af kontrolforanstaltninger, efter tilsynets vurdering ikke bliver givet til medarbejderne i en tilstrækkelig lettilgængelig form.

Datatilsynet har herved lagt vægt på, at ansættelseskontrakterne og velkomstmailen efter tilsynets vurdering ikke indeholder oplysninger om den behandling af personoplysninger, der finder sted i forbindelse med brugen af kontrolforanstaltninger, og at der heller ikke i ansættelseskontrakten eller i velkomstmailen henvises til de specifikke steder på medarbejderportalen, hvor medarbejderne kan læse om dette. Det er således tilsynets vurdering, at det vil kræve særlig opmærksomhed fra medarbejderne, hvis de skal blive bekendt med information om ATP’s behandling af personoplysninger i forbindelse med brugen af kontrolforanstaltninger.

Datatilsynet har noteret sig, at ATP fra den 4. oktober 2019 præsenterer en udbygget oplysningstekst for medarbejdere, som indeholder mere konkret information omkring brugen af kontrolforanstaltninger og den behandling af personoplysninger, der finder sted i den forbindelse, allerede i forbindelse med underskrivelse af ansættelseskontrakten.

5. Konklusion

Efter tilsynet med ATP finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At ATP’s efterlevelse af oplysningspligten i henhold til forordningens artikel 13 og 14 har været mangelfuld, herunder ved at myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger og det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier der anvendes til at fastlægge dette tidsrum.
  2. At ATP’s iagttagelse af iagttagelse af oplysningspligten ikke er sket i en tilstrækkelig lettilgængelig form i henhold til forordningens artikel 12, stk. 1.

Datatilsynet finder i forhold til pkt. 1 og 2 grundlag for at udtale alvorlig kritik af, at ATP’s behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 1, artikel 13 og 14. For så vidt angår manglende information om formålet med behandling af personoplysninger finder Datatilsynet endvidere, at ATP’s behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.

Datatilsynet har noteret sig, at ATP den 4. oktober 2019, dvs. efter datoen for varslingen af tilsynet den 9. september 2019, har udbygget den oplysningstekst, som myndigheden anvender til iagttagelse af oplysningspligten. Det bemærkes dog for en god ordens skyld, at tilsynet med denne afgørelse ikke har taget stilling til indholdet af den udbyggede oplysningstekst

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse

med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]   Se afgørelsens afsnit 2

[4]   Se afgørelsens afsnit 3

[5] Lovbekendtgørelse nr. 1190 af 11. oktober 2007 om tv-overvågning med senere ændringer

[6]   Se afgørelsens afsnit 3