Journalnummer: 2019-421-0034
Resume
Datatilsynet har i august 2020 afsluttet et planlagt skriftligt tilsyn hos Nævnenes Hus. Tilsynet fokuserede på Nævnenes Hus’ efterlevelse af reglerne om oplysningspligt ved brug af kontrolforanstaltninger over for medarbejdere. Tilsynet fokuserede også på, hvorvidt Nævnenes Hus’ iagttagelse af oplysningspligten levede op til forordningens grundlæggende princip om gennemsigtighed, som bl.a. indebærer, at den dataansvarlige skal give medarbejderne let tilgængelig og forudgående information om de anvendte kontrolforanstaltninger.
Datatilsynet har på baggrund af det gennemførte tilsyn fundet anledning til at udtale kritik af Nævnenes Hus’ behandling af personoplysninger.
Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Nævnenes Hus efterlevelse af oplysningspligten i flere tilfælde har været mangelfuld, herunder ved at myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om identiteten på den dataansvarlige, formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger, eventuelle modtagere eller kategorier af modtagere af oplysningerne, og det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier der anvendes til at fastlægge dette tidsrum.
Du kan læse Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold her.
Du kan læse Datatilsynets vejledning om registreredes rettigheder her.
Afgørelse
1. Skriftligt tilsyn med Nævnenes Hus’ behandling af personoplysninger
Nævnenes Hus var blandt de myndigheder, som Datatilsynet i efteråret 2019 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Nævnenes Hus’ efterlevelse af oplysningspligten i forbindelse med kontrolforanstaltninger over for medarbejdere, jf. forordningens artikel 13 og 14. Herudover fokuserede tilsynet på, hvorvidt Nævnenes Hus’ iagttagelse af oplysningspligten levede op til princippet om gennemsigtighed i forordningens artikel 5, stk. 1, litra a, som efter tilsynets vurdering bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger.
Ved brev af 9. september 2019 varslede Datatilsynet tilsynet med Nævnenes Hus og anmodede i den forbindelse myndigheden om en udtalelse.
Nævnenes Hus er herefter ved brev af 4. oktober 2019 kommet med en udtalelse til brug for sagen.
Efter tilsynet med Nævnenes Hus finder Datatilsynet anledning til sammenfattende at konkludere:
- At Nævnenes Hus efterlevelse af oplysningspligten i henhold til forordningens artikel 13 og 14 i flere tilfælde har været mangelfuld, herunder ved at myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om identiteten på den dataansvarlige, formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger, eventuelle modtagere eller kategorier af modtagere af oplysningerne, og det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier der anvendes til at fastlægge dette tidsrum.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Nævnenes Hus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og 14. For så vidt angår manglende information om formålet med behandling af personoplysninger finder Datatilsynet endvidere, at Nævnenes Hus’ behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
2. Nævnenes Hus’ brug af kontrolforanstaltninger over for medarbejdere
Nævnenes Hus har over for Datatilsynet oplyst, at myndigheden gør brug af følgende kontrolforanstaltninger over for medarbejdere:
- Tv-overvågning på bestemte områder.
- Logning af medarbejdernes åbning af aflåste døre, når døre åbnes udefra.
- Logning af medarbejderes handlinger i myndighedens ESDH-system.
- Registrering af medarbejdernes arbejdstid.
- Central logning af medarbejdernes arbejdscomputer.
Nævnenes Hus har i den forbindelse oplyst, at alle myndighedens medarbejdere er berørt af ovennævnte kontrolforanstaltninger, og at myndigheden ikke gør brug af enkeltstående kontrolforanstaltninger over for enkelte medarbejdere eller medarbejdergrupper.
3. Procedurer m.v. i forhold til opfyldelse af oplysningspligten og forudgående information om kontrolforanstaltninger
Nævnenes Hus har oplyst, at myndighedens medarbejdere orienteres om behandling af personoplysninger i forbindelse med brug af kontrolforanstaltninger via myndighedens interne privatlivspolitik og dertilhørende bilag. Privatlivspolitikken udleveres til nye medarbejdere på deres første arbejdsdag som en del af velkomstpakken og kan i øvrigt tilgås af alle medarbejdere på intranettet.
Nævnenes Hus har i den forbindelse oplyst, at myndigheden har udarbejdet en tjekliste, som skal anvendes ved ansættelse af nye medarbejdere. Tjeklisten er imidlertid først blevet udarbejdet den 20. september 2019, hvilket er efter datoen for Datatilsynets varsling af tilsynet den 9. september 2019. Det fremgår bl.a. af tjeklisten, at den ansvarlige p-leder eller makker skal udlevere en kopi af Nævnenes Hus’ gældende privatlivspolitik (og dertilhørende bilag) til den nye medarbejder.
Nævnenes Hus har fremsendt en kopi af myndighedens privatlivspolitik og de to bilag hertil, som bruges til myndighedens efterlevelse af databeskyttelsesforordningens artikel 13 og 14 i forbindelse med kontrolforanstaltninger over for medarbejdere. Det fremgår, at privatlivspolitikken og de dertilhørende bilag er udarbejdet før Datatilsynets varsling af tilsynet.
Det ene bilag til privatlivspolitikken vedrører underretning om behandling af personoplysninger hos Erhvervsministeriets Koncern HR. Det andet bilag vedrører logning af visse handlinger hos Statens IT (SIT).
Privatlivspolitikken og dertilhørende bilag gennemgås nedenfor under afsnit 4.
Nævnenes Hus har oplyst, at privatlivspolitikken og de dertilhørende bilag revideres omgående, hvis der indføres nye kontrolforanstaltninger, og at medarbejderne orienteres om den reviderede politik pr. e-mail, på et husmøde og med en nyhed på Nævnenes Hus’ intranet.
Det er Datatilsynets vurdering, at der – i medfør af princippet om lovlighed, rimelighed og gennemsigtighed efter databeskyttelsesforordningens artikel 5, stk. 1, litra a – som udgangspunkt skal gives forudgående information om brugen af kontrolforanstaltninger. Efter tilsynets opfattelse skal arbejdsgiveren ved implementering af nye kontrolforanstaltninger som hovedregel underrette de ansatte om kontrolforanstaltningerne senest 6 uger, inden de iværksættes.[3]
Datatilsynet skal således henstille, at Nævnenes Hus – hvis myndigheden ikke allerede er opmærksom på dette – fremadrettet underretter medarbejdere om nye kontrolforanstaltninger senest 6 uger inden de iværksættes. Efter tilsynets opfattelse vil det kunne udgøre en overtrædelse af princippet om gennemsigtighed, jf. forordningens artikel 5, stk. 1, litra a, hvis medarbejdere først underrettes om nye foranstaltninger ved indførelsen af disse uden en saglig begrundelse herfor.
4. Gennemgang af Nævnenes Hus’ privatlivspolitik og dertilhørende bilag
Nævnenes Hus har i forbindelse med tilsynet fremsendt de seneste to versioner af myndighedens privatlivspolitik. Datatilsynet skal i den forbindelse gøre opmærksom på, at tilsynet alene har taget stilling til den version af privatlivspolitikken, som var gældende på datoen for varslingen af tilsynet.
Nævnenes Hus har oplyst[4], at myndigheden gør brug af en række kontrolforanstaltninger – der kan anvendes i både sikkerheds- og kontroløjemed – over for myndighedens medarbejdere. Datatilsynet kan ikke udelukke, at disse anvendes i kontroløjemed over for myndighedens medarbejdere, hvorfor dette er lagt til grund ved gennemgangen af privatlivspolitikken og de dertilhørende bilag.
Datatilsynet forudsætter, at Nævnenes Hus er dataansvarlig i forbindelse med de kontrolforanstaltninger, som myndigheden har oplyst at gøre brug af.
4.1. Vedrørende information om tv-overvågning
Om brugen af tv-overvågning som kontrolforanstaltning fremgår det bl.a. af privatlivspolitikken, at der foretages tv-overvågning på nærmere bestemte områder. Herudover fremgår det, at tv-overvågningsmaterialet opbevares i sikre miljøer og med begrænset adgang, og at medarbejdere i en bestemt afdeling er ansvarlig for at gennemgå tv-overvågningsmateriale, når der er en saglig begrundelse herfor. Endelig fremgår det, at tv-overvågningsmaterialet slettes efter 30 dage.
Det følger af tv-overvågningslovens[5] § 3 b, at bestemmelsen i databeskyttelsesforordningens artikel 14 gælder uanset en eventuel skiltning i medfør af lovens §§ 3 og 3 a. Underretning om behandling af personoplysninger i forbindelse med tv-overvågning af medarbejdere skal således leve op til kravene i databeskyttelsesforordningens artikel 14.
Efter en gennemgang af privatlivspolitikken er det Datatilsynets vurdering, at afsnittet vedrørende tv-overvågning ikke giver medarbejderne tilstrækkelig information om formålet med den behandling, som personoplysningerne skal bruges til, idet formålsforklaringen efter tilsynets opfattelse ikke er præcis nok i forhold til kontrolformålet.
Det er herudover tilsynets vurdering, at medarbejderne ikke gives information om retsgrundlaget for behandlingen og de berørte kategorier af personoplysninger.
Samlet set finder Datatilsynet således, at Nævnenes Hus’ underretning om behandling af personoplysninger i forbindelse med tv-overvågning af medarbejdere på bestemte områder ikke lever op til kravene i databeskyttelsesforordningens artikel 14, stk. 1, litra c og d.
Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at Nævnenes Hus’ information omkring tv-overvågning ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
I det omfang der vil være modtagere af de oplysninger, som indsamles om medarbejdere i forbindelse med tv-overvågning, skal Datatilsynet gøre opmærksom på, at underretningen skal indeholde information om dette, jf. forordningens artikel 14, stk. 1, litra e.
4.2. Vedrørende information om logning af medarbejdernes åbning af aflåste døre
Det fremgår af privatlivspolitikken, at der sker logning af medarbejdernes adgangskortnummer og tidspunkt, når medarbejdere åbner en aflåst dør med sit adgangskort. Herudover fremgår det, at logoplysningerne opbevares i sikre miljøer og med begrænset adgang, og at medarbejdere i en bestemt afdeling kan rekvirere oplysningerne, når der er en saglig begrundelse for dette. Som eksempel herpå fremgår det, at oplysningerne kan rekvireres i tilfælde, hvor der har været problemer med en alarm om aftenen på grund af manglende afstilling, og at den pågældende afdeling derfor ønsker at kontakte den pågældende medarbejder for at instruere vedkommende om korrekt afstilling af alarmen.
Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende anvender sit adgangskort, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med logning af medarbejderes indgang af aflåste døre skal leve op til kravene i databeskyttelsesforordningens artikel 13.
Efter en gennemgang af privatlivspolitikkens information om logning af medarbejderes indgang af aflåste døre er det Datatilsynet vurdering, at medarbejderne ikke bliver givet information om formålet med behandlingen af de omhandlede logoplysninger og retsgrundlaget for behandlingen. Datatilsynet lægger herved vægt på, at det efter tilsynets opfattelse ikke fremgår tydeligt af underretningen, at de omhandlede logoplysninger også kan anvendes til kontroløjemed over for medarbejderne.
Herudover er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om det tidsrum, hvor logoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum. Datatilsynet har herved lagt vægt på, at denne information – efter tilsynets opfattelse – er nødvendig for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.
Samlet set finder Datatilsynet således, at Nævnenes Hus’ underretning om behandling af personoplysninger i forbindelse med logning af medarbejderes indgang af aflåste døre ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c, og artikel 13, stk. 2, litra a.
Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at Nævnenes Hus’ information omkring om logning af medarbejderes indgang af aflåste døre ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
4.3. Vedrørende information om logning af medarbejderes handlinger i myndighedens ESDH-system
Det fremgår af privatlivspolitikken, at der sker logning i Nævnenes Hus’ ESDH-system, når medarbejdere åbner, redigerer, kopierer eller flytter filer. Herudover fremgår det, at der med jævne mellemrum foretages stikprøver i loggen med det formål at dokumentere kontrol af, at filer kun tilgås, når der er et arbejdsmæssigt behov herfor. Udgangspunktet for kontrollen er, at der vil være et arbejdsrelateret behov for at tilgå filer i sager hos det/de nævn, medarbejderen har adgangsrettigheder til.
Det er også her Datatilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse logning af medarbejderes brug af ESDH-systemet skal leve op til kravene i databeskyttelsesforordningens artikel 13, idet personoplysningerne efter tilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende bruger systemet.
Efter en gennemgang af privatlivspolitikken er det Datatilsynets vurdering, at medarbejdende ikke bliver givet information om retsgrundlaget for behandlingen. Det er endvidere Datatilsynets vurdering, at medarbejderne ikke gives information det tidsrum, hvor logoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum, hvilket – efter tilsynets opfattelse – er nødvendig information for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.
Datatilsynet finder således, at Nævnenes Hus’ underretning om behandling af personoplysninger i forbindelse med logning i myndighedens ESDH-system ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c, og artikel 13, stk. 2, litra a.
4.4. Vedrørende information om registrering af medarbejdernes arbejdstid
Om tidsregistrering fremgår det af privatlivspolitikken, at medarbejderens oplysninger i tidsregistreringssystemet behandles hos Koncern HR, og der henvises derfor til bilaget underretningen om behandling af oplysninger hos Koncern HR. Videre fremgår det af privatlivspolitikken, at medarbejderens tidsregistreringsoplysninger behandles af vedkommendes personaleansvarlige i forbindelse med den månedlige godkendelse af tidsregistreringen. Endelig fremgår det, at oplysningerne opbevares i sikre miljøer, og at enkelte medarbejdere i administrationen samt medarbejderens temachef har adgang til oplysningerne, ligesom det fremgår, at oplysningerne gennem statistisk bearbejdning bliver anonymiseret og aggregeret, så de ikke er personhenførbare.
Af bilaget med underretningen om behandling af oplysninger hos Koncern HR fremgår det vedrørende tidsregistreringsoplysningerne, at der behandles oplysninger om medarbejderens initialer, fulde navn, personnummer, B-nummer (vedrørende adgang til IT-systemer), arbejdssted, normarbejdstid, medarbejderens område/center, nærmeste chef og eventuelle børns navn og fødselsdag, ligesom der behandles oplysninger om fravær. Herudover fremgår det, at disse oplysninger kan tilgås af Koncern HR, medarbejderens lokale tidsregistreringsansvarlige, den lokale økonomiafdeling og vedkommendes chef. Videre fremgår det bl.a., at en række nævnte oplysninger kan tænkes videregivet til specifikke modtagere. Endelig beskriver underretningen, hvor længe de pågældende oplysninger opbevares.
Det er Datatilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med Nævnenes Hus’ behandling af oplysninger om medarbejderes tidsregistrering skal leve op til kravene i databeskyttelsesforordningens artikel 13, idet personoplysningerne efter tilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende registrerer sin arbejdstid i tidsregistreringssystemet.
Efter en gennemgang af privatlivspolitikken og underretningen om behandling af oplysninger hos Koncern HR, er det Datatilsynets vurdering, at medarbejderne ikke bliver givet tilstrækkelig information om formålet med behandlingen af de omhandlede oplysninger og retsgrundlaget for behandlingen. Datatilsynet lægger herved vægt på, at det efter tilsynets opfattelse ikke fremgår tilstrækkelig tydeligt af underretningen, at de omhandlede tidsregistreringsoplysninger kan anvendes til kontroløjemed over for medarbejderne.
Datatilsynet finder på den baggrund, at Nævnenes Hus’ underretning om behandling af personoplysninger i forbindelse med registrering af medarbejdernes arbejdstid ikke lever op til kravet i databeskyttelsesforordningens artikel 13, stk. 1, litra c.
Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at Nævnenes Hus’ information omkring om registrering af medarbejdernes arbejdstid ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
4.5. Vedrørende information om central logning af medarbejdernes arbejdscomputer
Et bilag til Nævnenes Hus’ privatlivspolitik vedrører central logning af medarbejdernes arbejdscomputer foretaget af Statens IT. Det fremgår bl.a. heraf, at formålet med logningen af arbejdscomputeren er at give Statens IT mulighed for at lave maskinelle analyser, hvis der konstateres et brud på sikkerheden. Herudover fremgår det, hvilke specifikke oplysninger, der registreres i loggen. Det fremgår videre, at oplysningerne pseudonymiseres, men at det er muligt at fjerne pseudonymiseringen, hvis det er strengt nødvendigt i forbindelse med nogle eksemplificerede sikkerhedshændelser. Afslutningsvist fremgår det, at det kun er enkelte autoriserede medarbejdere i Statens IT, der har adgang til oplysninger, der identificerer enkeltpersoner, og at ingen i Nævnenes hus vil have adgang til de registrerede oplysninger. Loggen opbevares i 18 måneder, baseret på politiets vejledning for opbevaring af sikkerhedslogs.
Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende anvender sin arbejdscomputer, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med central logning af medarbejderes arbejdscomputer, skal leve op til kravene i databeskyttelsesforordningens artikel 13.
Efter en gennemgang af privatlivspolitikken og det vedlagte bilag er det Datatilsynets vurdering, at medarbejderne ikke gives tilstrækkelig tydelig information om den dataansvarliges identitet. Datatilsynet lægger herved vægt på, at det fremgår af Nævnenes Hus’ privatlivspolitik, at myndigheden ikke har indflydelse på – eller adgang til – den behandling af oplysninger, der foretages af Statens It. Idet Datatilsynet forudsætter, at Nævnenes Hus er dataansvarlig i forbindelse med de kontrolforanstaltninger, som myndigheden har oplyst at gøre brug af, finder tilsynet, at det – henset til ovenstående formulering – ikke er tilstrækkelig tydeligt for medarbejderne, at det er Nævnenes Hus, som er den dataansvarlige i forbindelse med denne behandling af personoplysninger.
Herudover er det tilsynets vurdering, at medarbejderne ikke bliver givet information om formålet med behandlingen af de omhandlede oplysninger og retsgrundlaget for behandlingen. Datatilsynet lægger i den forbindelse vægt på, at formålsforklaringen efter tilsynets opfattelse ikke er præcis nok i forhold til kontrolformålet.
Datatilsynet finder således, at Nævnenes Hus’ underretning om behandling af personoplysninger i forbindelse med central logning af medarbejderes arbejdscomputer ikke lever op til kravet i databeskyttelsesforordningens artikel 13, stk. 1, litra a og c.
Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, finder tilsynet endvidere, at Nævnenes Hus’ information omkring om central logning af medarbejderes arbejdscomputer ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
5. Konklusion
Efter tilsynet med Nævnenes Hus finder Datatilsynet anledning til sammenfattende at konkludere:
- At Nævnenes Hus efterlevelse af oplysningspligten i henhold til forordningens artikel 13 og 14 i flere tilfælde har været mangelfuld, herunder ved at myndigheden ikke har givet medarbejderne tilstrækkelig tydelig information om identiteten på den dataansvarlige, formålet med behandlingen af oplysningerne, retsgrundlaget for behandlingen, de berørte kategorier af personoplysninger, eventuelle modtagere eller kategorier af modtagere af oplysningerne, og det tidsrum, hvor oplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier der anvendes til at fastlægge dette tidsrum.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Nævnenes Hus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og 14. For så vidt angår manglende information om formålet med behandling af personoplysninger finder Datatilsynet endvidere, at Nævnenes Hus’ behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Der henvises til Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold afsnit 7, som kan tilgås på tilsynets hjemmeside: https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger/
[4] Se afgørelsens afsnit 2
[5] Lovbekendtgørelse nr. 1190 af 11. oktober 2007 om tv-overvågning med senere ændringer