Journalnummer: 2019-41-0043
Resume
Datatilsynet har i august 2020 afsluttet et planlagt skriftligt tilsyn hos SIF Gruppen A/S. Tilsynet fokuserede på virksomhedens efterlevelse af reglerne om oplysningspligt ved brug af kontrolforanstaltninger over for medarbejdere. Tilsynet fokuserede også på, hvorvidt SIF Gruppen A/S’ iagttagelse af oplysningspligten levede op til forordningens grundlæggende princip om gennemsigtighed, som bl.a. indebærer, at den dataansvarlige skal give medarbejderne let tilgængelig og forudgående information om de anvendte kontrolforanstaltninger.
Datatilsynet har på baggrund af det gennemførte tilsyn fundet anledning til at udtale alvorlig kritik af SIF Gruppen A/S’ behandling af personoplysninger.
Af Datatilsynets afsluttende udtalelse fremgår bl.a., at SIF Gruppen A/S’ efterlevelse af oplysningspligten i forbindelse med brugen af GPS-overvågning har været mangelfuld, herunder ved at virksomheden ikke har givet medarbejderne tilstrækkelig information om retsgrundlaget for behandling af personoplysninger, den registreredes rettigheder og retten til at indgive klage til Datatilsynet.
Herudover fremgår det, at SIF Gruppen A/S’ ikke har underrettet medarbejderne om den behandling af personoplysninger, der finder sted i forbindelse med tv-overvågning, hvorfor det heller ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, at tv-overvågningen kan anvendes i kontroløjemed.
Du kan læse Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold her.
Du kan læse Datatilsynets vejledning om registreredes rettigheder her.
Afgørelse
1. Skriftligt tilsyn med SIF Gruppen A/S’ behandling af personoplysninger
SIF Gruppen A/S var blandt de virksomheder, som Datatilsynet i efteråret 2019 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på SIF Gruppen A/S’ efterlevelse af oplysningspligten i forbindelse med kontrolforanstaltninger over for medarbejdere, jf. forordningens artikel 13 og 14. Herudover fokuserede tilsynet på, hvorvidt SIF Gruppen A/S’ iagttagelse af oplysningspligten levede op til princippet om gennemsigtighed i forordningens artikel 5, stk. 1, litra a, som efter tilsynets vurdering bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger.
Ved brev af 10. september 2019 varslede Datatilsynet tilsynet med SIF Gruppen A/S og anmodede i den forbindelse virksomheden om en udtalelse.
SIF Gruppen A/S er herefter ved brev af 7. oktober 2019 kommet med en udtalelse til brug for sagen.
Efter tilsynet med SIF Gruppen A/S finder Datatilsynet anledning til sammenfattende at konkludere:
- At SIF Gruppen A/S’ efterlevelse af oplysningspligten i henhold til artikel 13 og 14 har været mangelfuld, herunder ved at virksomheden ikke har givet medarbejderne tilstrækkelig information om retsgrundlaget for behandling af personoplysninger, den registreredes rettigheder og retten til at indgive klage til Datatilsynet i forbindelse med brugen af GPS-overvågning, og at virksomheden ikke har underrettet medarbejderne om den behandling af personoplysninger, der finder sted i forbindelse med tv-overvågning, hvorfor det heller ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, at tv-overvågningen kan anvendes i kontroløjemed.
Datatilsynet finder i forhold til pkt. 1 grundlag for at udtale alvorlig kritik af, at SIF Gruppen A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og 14. For så vidt angår den manglende information om kontrolformålet i forhold til brugen af tv-overvågning, finder Datatilsynet endvidere, at SIF Gruppen A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
2. SIF Gruppen A/S’ brug af kontrolforanstaltninger over for medarbejdere
SIF Gruppen A/S har over for Datatilsynet oplyst, at virksomheden gør brug af følgende kontrolforanstaltninger over for medarbejdere:
- Tv-overvågning i forbindelse med ansattes ophold på virksomhedens adresse.
- GPS-overvågning i servicebiler.
- ”Find mig” funktion i mobiltelefoner og tablets.
SIF Gruppen A/S har i den forbindelse oplyst, at 400 medarbejdere er berørt af tv-overvågning på virksomhedens adresse, og at 200 medarbejdere er berørt af GPS i servicebilerne.
Herudover har SIF Gruppen A/S’ oplyst, at ”Find mig” funktionen i mobiltelefoner og tablets, berører cirka 100 medarbejdere, men at funktionen alene benyttes i forbindelse med bortkomst af enheder.
Ud fra det oplyste lægger Datatilsynet til grund, at ”Find mig” funktionen i mobiltelefoner og tablets ikke anvendes i kontroløjemed over for virksomhedens medarbejdere, men at funktionen alene tjener et sikkerhedsmæssigt formål. Virksomhedens opfyldelse af oplysningspligten i forhold til ”Find mig” funktionen vil derfor ikke blive gennemgået yderligere i denne udtalelse. Såfremt SIF Gruppen A/S på et tidspunkt ønsker at anvende ”Find mig” funktionen i mobiltelefoner i kontroløjemed over for virksomhedens medarbejdere, skal Datatilsynet gøre opmærksom på, at det som udgangspunkt er en forudsætning for anvendelse af kontrolforanstaltninger, at de ansatte – forinden etableringen af kontrolforanstaltningerne – informeres om foranstaltningernes formål og omfang og om anvendelsen af de indsamlede oplysninger, jf. forordningens artikel 13 og 14.[3]
SIF Gruppen A/S har endvidere oplyst, at virksomhedens medarbejdere – gennem arbejdet hos virksomhedens kunder – kan blive udsat for kontrolforanstaltninger, som SIF Gruppen A/S ikke har viden om eller indflydelse på.
Datatilsynet lægger i den forbindelse til grund, at SIF Gruppen A/S ikke er dataansvarlig for eventuelle oplysninger, der indsamles om virksomhedens medarbejdere i forbindelse med kontrolforanstaltninger hos virksomhedens kunder.
3. Procedurer m.v. i forhold til opfyldelse af oplysningspligten og forudgående information om kontrolforanstaltninger
SIF Gruppen A/S har oplyst, at virksomheden ikke har udarbejdet procedurer m.v. for virksomhedens efterlevelse af databeskyttelsesforordningens regler om oplysningspligt og kravet om forudgående information i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere.
Datatilsynet skal anbefale, at SIF Gruppen A/S udarbejder procedurer m.v. for virksomhedens efterlevelse af reglerne om oplysningspligt og forudgående information i forbindelse med kontrolforanstaltninger over for medarbejdere, hvor det bl.a. bør fremgå, hvordan og på hvilket tidspunkt medarbejdere skal underrettes om den behandling af personoplysninger, der finder sted i forbindelse med de enkelte kontrolforanstaltninger.
4. Gennemgang af SIF Gruppen A/S’ underretning om behandling af personoplysninger vedrørende brug af GPS i servicebiler og tv-overvågning
4.1. Vedrørende information om tv-overvågning
SIF Gruppen A/S har oplyst[4], at virksomheden gør brug af tv-overvågning på virksomhedens adresse som kontrolforanstaltning. Det er Datatilsynets opfattelse, at tv-overvågning kan anvendes i både sikkerheds- og kontroløjemed. Da Datatilsynet ikke kan udelukke, at tv-overvågningen anvendes i kontroløjemed over for SIF Gruppen A/S’ medarbejdere, er dette lagt til grund ved gennemgangen af virksomhedens information til medarbejderne vedrørende tv-overvågning.
SIF Gruppen A/S har oplyst, at virksomhedens medarbejdere informeres om tv-overvågningen via skiltning ved virksomheden. SIF Gruppen A/S har i den forbindelse fremsendt billeder af skiltningen ved de forskellige indgange til virksomhedens adresse. Datatilsynet lægger ud fra det oplyste til grund, at skiltningen udgør den information, som medarbejderne gives om tv-overvågning, og at skiltningen ikke suppleres af yderligere skriftlig information til medarbejderne.
Private og offentlige myndigheder, der foretager tv-overvågning af steder eller lokaler, hvor der er almindelig adgang til, eller af arbejdspladser, skal ifølge tv-overvågningsloven[5] ved skiltning eller på anden tydelig måde oplyse om overvågningen. Ved siden af kravet om skiltning gælder databeskyttelsesforordningens og databeskyttelseslovens regler om oplysningspligt over for de registrerede.
Det følger således af tv-overvågningslovens § 3 b, at bestemmelsen i databeskyttelsesforordningens artikel 14 gælder uanset en eventuel skiltning i medfør af lovens §§ 3 og 3 a. Underretning om behandling af personoplysninger i forbindelse med tv-overvågning af medarbejdere skal således leve op til kravene i databeskyttelsesforordningens artikel 14.
Datatilsynet kan ud fra de fremsendte billeder konkludere, at skiltningen alene indeholder information om det faktum, at der foretages tv-overvågning. Skiltet består i et billede af et overvågningskamera med en overskrift, hvor der står ”tv-overvågning”. Herudover er der angivet et telefonnummer på dørvagten, ligesom virksomhedens navn er angivet på skiltet.
Efter en gennemgang af de fremsendte billeder af skiltningen vedrørende tv-overvågning er det således Datatilsynets vurdering, at SIF Gruppen A/S ikke har givet medarbejderne de oplysninger, som følger af databeskyttelsesforordningens artikel 14. I tilknytning hertil er det desuden Datatilsynets vurdering, at det ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, at tv-overvågningen kan anvendes i kontroløjemed over for medarbejderne.
Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt gennemsigtigt for medarbejderne finder tilsynet endvidere, at SIF Gruppen A/S’ information omkring tv-overvågning til musikskolens medarbejdere, ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
Henset til at tv-overvågning er en indgribende form for behandling af personoplysninger, skal Datatilsynet understrege vigtigheden af, at SIF Gruppen A/S’ medarbejdere underrettes om den behandling af personoplysninger, der finder sted i forbindelse med brugen af tv-overvågning som kontrolforanstaltning i henhold til forordningens artikel 14. Herudover skal tilsynet understrege vigtigheden af, at SIF Gruppen A/S – i medfør af princippet om gennemsigtighed i forordningens artikel 5, stk. 1, litra a, giver medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
4.2. Vedrørende information om GPS-overvågning i servicebiler
SIF Gruppen A/S har oplyst, at medarbejderne underrettes om behandling af personoplysninger i forbindelse med brugen af GPS-overvågning som kontrolforanstaltning i virksomhedens lokalaftaler. SIF Gruppen A/S har i den forbindelse fremsendt en skabelon for en sådan lokalaftale, ligesom virksomheden har fremsendt kopier af en række underskrevne lokalaftaler som dokumentation for virksomhedens efterlevelse af oplysningspligten i praksis.
Det fremgår af det fremsendte eksempel, at det overordnede formål med GPS-overvågning af servicebilerne er at indsamle data vedrørende kørselshistorik, kørselsadfærd og teknisk data omkring servicebilen. Der er i den forbindelse angivet en række mere specifikke formål, som de indsamlede oplysninger vil blive brugt til, herunder:
- Rapporter og analyser af flådens overordnede brug.
- Nedbringe kørselsomkostninger igennem en mere hensigtsmæssig kørselsadfærd.
- Relevant og effektiv omdirigering ved hastopgaver.
- Optimere og effektivisere brugen af flåden ved f.eks. at undgå stjernekørsel eller unødvendig køretid.
- Nedbringe drifts- og serviceomkostninger på bilflåden.
- Øge sikkerheden ved at gøre føreren af bilen opmærksom på uhensigtsmæssig kørselsadfærd.
- Sikring mod tyveri.
- Big data analyse af mønstre og sammenhænge på tværs af virksomheden, som kan føre til smartere anvendelse af virksomhedens ressourcer.
- Effektivisering af arbejdsmiljørepræsentantens arbejde.
- Dokumentation af den effektive arbejdstid og timeforbrug over for kunderne.
- Overholdelse af færdselsregler.
Det fremgår endvidere, at et GPS-udvalg – som minimum er repræsenteret af en ledelsesrepræsentant og tillidsmanden – løbende vil evaluere anvendelsen af systemet og behandle eventuelle uhensigtsmæssigheder. Uhensigtsmæssigheder dækker bl.a. over kraftig acceleration, hård opbremsning og overtrædelse af fartgrænsen.
Herudover fremgår det, at hvis data fra systemet giver anledning til en samtale, vil dette foregå mellem den daglige leder og medarbejderen, og at medarbejderen i den forbindelse har ret til at indkalde tillidsrepræsentanten.
Om opbevaringsperioden fremgår det, at de indsamlede oplysninger– af hensyn til regnskab, dokumentation og analytiske formål – gemmes i op til 5 år, hvorefter oplysningerne slettes. Individuelle oplysninger på den enkelte medarbejder må dog ikke anvendes arbejdsretligt efter 4 måneder.
Om eventuelle modtagere af oplysningerne fremgår det bl.a., at relevante administrative personer og ledere vil få adgang til individuelle oplysninger vedrørende køretøjer inden for eget ansvars- og arbejdsområde. En ajourført liste over brugerrettigheder vil til enhver tid være tilgængelig i systemet.
Afslutningsvist gøres medarbejderen opmærksom på vedkommendes rettigheder efter databeskyttelsesforordningen. Det fremgår således, at medarbejderen har ret til at søge om indsigt i de oplysninger, der indsamles og behandles om vedkommende i henhold til databeskyttelsesforordningens artikel 15. Herudover fremgår det, at medarbejderen har rettigheder efter forordningens artikel 16, 17 og 21, hvorefter der er indsat et link til selve forordningen. Disse rettigheder er dog ikke nærmere uddybet i lokalaftalen.
Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv, når medarbejderen kører i en servicebil, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med GPS-overvågning i servicebilerne skal leve op til kravene i databeskyttelsesforordningens artikel 13[6].
Databeskyttelsesforordningen indeholder en overordnet forpligtelse om gennemsigtighed med hensyn til behandling af personoplysninger, som skal sikre, at registrerede har mulighed for at holde dataansvarlige ansvarlige og udøve kontrol over sine personoplysninger.
Forpligtelsen til gennemsigtighed følger bl.a. af databeskyttelsesforordningens artikel 5, stk. 1, litra a, hvoraf fremgår, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«).
I forhold til den dataansvarliges iagttagelse af de registreredes rettigheder, herunder opfyldelse af reglerne om oplysningspligt, følger der også et krav om gennemsigtighed af databeskyttelsesforordningens artikel 12, stk. 1, hvoraf det bl.a. fremgår, at den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
Efter en gennemgang af de fremsendte eksempler er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om retsgrundlaget for behandlingen. Herudover er det tilsynets vurdering, at medarbejderne ikke bliver givet tilstrækkelig information om retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling, og at medarbejderne heller ikke gives information om retten til at indgive en klage til Datatilsynet.
Datatilsynet har i den forbindelse lagt vægt på, at disse informationer – efter tilsynets opfattelse – er nødvendig for at sikre en rimelig og gennemsigtig behandling for så vidt angår medarbejderne.
Herudover har Datatilsynet lagt vægt på, at princippet om gennemsigtighed efter tilsynets opfattelse bl.a. indebærer, at den dataansvarlige – i forbindelse med opfyldelse af oplysningspligten – nærmere bør angive, hvad den registreredes rettigheder går ud på, så den registrerede let kan forstå, hvilke rettigheder vedkommende har i henhold til databeskyttelsesreglerne og derved bedre kan varetage sine interesser i forhold til at udøve kontrol over sine personoplysninger.
Datatilsynet finder på den baggrund, at SIF Gruppen A/S’ underretning om behandling af personoplysninger i forbindelse med GPS-overvågning i servicebilerne ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c og stk. 2, litra d.
Endvidere finder Datatilsynet, at SIF Gruppen A/S’ underretning om behandling af personoplysninger i forbindelse med GPS-overvågning i servicebilerne ikke lever op til kravet i databeskyttelsesforordningens artikel 13, stk. 2, litra b, sammenholdt med kravet i forordningens artikel 12, stk. 1.
5. Konklusion
Efter tilsynet med SIF Gruppen A/S finder Datatilsynet anledning til sammenfattende at konkludere:
- At SIF Gruppen A/S’ efterlevelse af oplysningspligten i henhold til artikel 13 og 14 har været mangelfuld, herunder ved at virksomheden ikke har givet medarbejderne tilstrækkelig information om retsgrundlaget for behandling af personoplysninger, den registreredes rettigheder og retten til at indgive klage til Datatilsynet i forbindelse med brugen af GPS-overvågning, og at virksomheden ikke har underrettet medarbejderne om den behandling af personoplysninger, der finder sted i forbindelse med tv-overvågning, hvorfor det heller ikke har været tilstrækkeligt gennemsigtigt for medarbejderne, at tv-overvågningen kan anvendes i kontroløjemed..
Datatilsynet finder i forhold til pkt. 1 grundlag for at udtale alvorlig kritik af, at SIF Gruppen A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og 14. For så vidt angår den manglende information om kontrolformålet i forhold til brugen af tv-overvågning, finder Datatilsynet endvidere, at SIF Gruppen A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Der henvises til afsnit 7 i Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold
[4] Se afgørelsens afsnit 2
[5] Lovbekendtgørelse nr. 1190 af 11. oktober 2007 om tv-overvågning med senere ændringer
[6] Der henvises til Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold afsnit 7, som kan tilgås på tilsynets hjemmeside: https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger/