Journalnummer: 2019-41-0042
Resume
Datatilsynet har i august 2020 afsluttet et planlagt skriftligt tilsyn hos TDC A/S. Tilsynet fokuserede på virksomhedens efterlevelse af reglerne om oplysningspligt ved brug af kontrolforanstaltninger over for medarbejdere. Tilsynet fokuserede også på, hvorvidt TDC A/S’ iagttagelse af oplysningspligten levede op til forordningens grundlæggende princip om gennemsigtighed, som bl.a. indebærer, at den dataansvarlige skal give medarbejderne let tilgængelig og forudgående information om de anvendte kontrolforanstaltninger.
Datatilsynet har på baggrund af det gennemførte tilsyn fundet anledning til at udtale kritik af TDC A/S’ behandling af personoplysninger.
Af Datatilsynets afsluttende udtalelse fremgår bl.a., at TDC A/S’ efterlevelse af oplysningspligten i ét tilfælde har været mangelfuld, herunder ved at virksomheden ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne.
Herudover fremgår det, at TDC A/S’ iagttagelse af oplysningspligten over for medarbejdere i forbindelse med brugen af kontrolforanstaltninger er sket i en tilstrækkelig gennemsigtig og lettilgængelig form.
Du kan læse Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold her.
Du kan læse Datatilsynets vejledning om registreredes rettigheder her.
Afgørelse
1. Skriftligt tilsyn med TDC A/S’ behandling af personoplysninger
TDC A/S var blandt de virksomheder, som Datatilsynet i efteråret 2019 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på TDC A/S’ efterlevelse af oplysningspligten i forbindelse med kontrolforanstaltninger over for medarbejdere, jf. forordningens artikel 13 og 14. Herudover fokuserede tilsynet på, hvorvidt TDC A/S’ iagttagelse af oplysningspligten levede op til princippet om gennemsigtighed i forordningens artikel 5, stk. 1, litra a, som efter tilsynets vurdering bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger.
Ved brev af 9. september 2019 varslede Datatilsynet tilsynet med TDC A/S og anmodede i den forbindelse virksomheden om en udtalelse.
TDC er herefter ved brev af 7. oktober 2019 kommet med en udtalelse til brug for sagen.
Efter tilsynet med TDC A/S finder Datatilsynet anledning til sammenfattende at konkludere:
At TDC A/S’ efterlevelse af oplysningspligten i henhold til forordningens artikel 13 og 14 i ét tilfælde har været mangelfuld, herunder ved at virksomheden ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne.
Datatilsynet finder herefter grundlag for at udtale kritik af, at TDC A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13. For så vidt angår manglende information om formålet med behandling af personoplysninger, finder Datatilsynet endvidere, at TDC A/S’ behandling af personoplysninger ikke har fundet sted i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
2. TDC A/S’ brug af kontrolforanstaltninger over for medarbejdere
TDC A/S har indledningsvist oplyst, at virksomheden den 11. juni 2019 har gennemført et juridisk split, hvorved hovedparten af virksomhedens medarbejdere blev udskilt til to datterselskaber ved navn Nuuday A/S og TDC NetCo A/S.
TDC A/S har over for Datatilsynet oplyst, at virksomheden, herunder de ovenfor nævnte datterselskaber, gør brug af følgende kontrolforanstaltninger over for medarbejdere:
- GPS-overvågning i teknikerbiler
- Telefonoptagelser
- Tv-overvågning
- Adgangskontrol
- Overvågning af svindel (Fraud)
- Overvågning af brugen af e-mail, IT-installationer og terminaler
- Whistleblowersystem
Det fremgår af det materiale, som TDC A/S har fremsendt i forbindelse med det skriftlige tilsyn, at de ovennævnte datterselskaber er selvstændige dataansvarlige for den behandling af personoplysninger, der finder sted i forbindelse med brug af kontrolforanstaltninger over for medarbejdere, som er ansat hos disse selskaber, og at TDC A/S agerer som databehandler for datterselskaberne i forbindelse med datterselskabernes løn- og personaleadministration.
Idet det fremgår, at GPS-overvågning i teknikerbiler alene berører medarbejdere, som er ansat hos datterselskabet TDC NetCo A/S, lægger Datatilsynet til grund, at TDC NetCo A/S er dataansvarlig for den behandling af personoplysninger, der finder sted i forbindelse med brugen af GPS i teknikerbiler som kontrolforanstaltning.
Herudover lægger Datatilsynet til grund, at datterselskabet Nuuday A/S er dataansvarlig for den behandling af personoplysninger, der finder sted i forbindelse med brugen af telefonoptagelser som kontrolforanstaltning, idet denne kontrolforanstaltning efter det oplyste alene berører medarbejdere, som er ansat hos Nuuday A/S.
Det bemærkes, at Datatilsynet med denne afgørelse alene har taget stilling til den behandling af personoplysninger, som TDC A/S er dataansvarlig for. Datatilsynet har således ikke taget stilling til den behandling af personoplysninger, der finder sted i forbindelse med brugen af GPS i teknikerbiler og telefonoptagelser som kontrolforanstaltninger.
TDC A/S har oplyst, at 522 medarbejdere er berørt af de kontrolforanstaltninger, som virksomheden gør brug af, herunder tv-overvågning, adgangskontrol, overvågning af svindel og overvågning af brugen af e-mail, IT-installationer og terminaler.
For så vidt angår adgangskontrol og whistleblowersystemet har TDC A/S oplyst, at disse foranstaltninger – i en ansættelsesmæssig sammenhæng – ikke har været opfattet som en kontrolforanstaltning, idet hovedformålet med disse ikke er kontrol af medarbejdere.
Idet TDC A/S i forbindelse med det skriftlige tilsyn har angivet adgangskontrol som en del af de kontrolforanstaltninger, virksomheden gør brug af over for medarbejdere og henset til, at TDC A/S har nævnt adgangskontrol på virksomhedens intranet under punktet ”kontrol i det nuværende ansættelsesforhold” lægger Datatilsynet til grund, at adgangskontrol kan bruges i kontroløjemed over for virksomhedens medarbejdere, også selvom dette ikke er hovedformålet. Datatilsynet har tillige lagt vægt på, at det fremgår af TDC A/S’ intranet, at oplysninger indsamlet i forbindelse med adgangskontrol vil kunne blive delt med HR.
TDC har i øvrigt angivet whistleblowersystemet som en kontrolforanstaltning, som virksomheden gør brug af over for medarbejdere. Datatilsynet skal i den forbindelse bemærke, at muligheden for at foretage indberetninger via et sådant system, efter tilsynets vurdering, som udgangspunkt ikke har karakter af en kontrolforanstaltning omfattet af nærværende tilsyn.
Datatilsynet har herved bl.a. lagt vægt på, at en eventuel kontrol vil være lagt ud til medarbejderne eller andre eksterne parter, som har mulighed for at foretage indberetninger via whistleblowersystemet. Herudover er det Datatilsynets umiddelbare opfattelse, at det vil være den efterfølgende undersøgelse, som finder sted på baggrund af en indberetning, der vil kunne udgøre en kontrolforanstaltning omfattet af dette tilsyn, idet en sådan undersøgelse typisk kan bestå i en eller flere af de øvrige kontrolforanstaltninger, som TDC A/S har angivet i forbindelse med dette tilsyn, herunder eksempelvis kontrol af diverse logninger eller tv-overvågning m.v. Datatilsynet har således ikke med dette tilsyn taget stilling til TDC A/S’ iagttagelse af oplysningspligten i forbindelse med behandling af personoplysninger som led i myndighedens whistleblowersystem.
3. Procedurer m.v. i forhold til opfyldelse af oplysningspligten og forudgående information om kontrolforanstaltninger
TDC A/S har overordnet oplyst, at alle virksomhedens medarbejdere bliver oplyst om brugen af kontrolforanstaltninger i forbindelse med ansættelsen, herunder i ansættelsesaftalen og et bilag hertil, der beskriver, hvordan medarbejdernes personoplysninger behandles i forbindelse med virksomhedens løn- og personaleadministration. Bilaget vedrørende behandling af personoplysninger suppleres af en ”persondataside” på TDC A/S’ intranet, der mere udførligt beskriver, hvordan virksomheden behandler medarbejdernes oplysninger.
TDC A/S har i den forbindelse sendt en kopi af en nedskreven arbejdsgang, der anvendes ved ansættelse af nye medarbejdere. Det fremgår bl.a. heraf, at den ansvarlige medarbejder skal udlevere den relevante ansættelsesaftale og det dertilhørende bilag om behandling af personoplysninger til den nye medarbejder.
I forlængelse heraf har TDC A/S oplyst, at virksomheden har udarbejdet paradigmer på alle ansættelsesaftaler og bilaget hertil. Indholdet af paradigmerne for ansættelsesaftalerne varierer alt efter, om der er tale om en overenskomstansættelse eller en kontraktansættelse. Indholdet af bilaget vedrørende behandling af personoplysninger er det samme, uanset om ansættelsen vedrører overenskomstansættelse eller kontraktansættelse.
TDC A/S har sendt en kopi af de fem forskellige paradigmer for ansættelsesaftaler og en kopi af bilaget til ansættelsesaftalerne vedrørende behandling af personoplysninger i forbindelse med virksomhedens løn- og personaleadministration. Herudover har TDC A/S fremsendt en kopi af de supplerende tekster på virksomhedens intranet, som vedrører behandling af personoplysninger i forbindelse med virksomhedens brug af kontrolforanstaltninger. Ansættelsesaftalerne, det dertilhørende bilag og de supplerende tekster på TDC A/S’ intranet gennemgås nedenfor under afsnit 4.
TDC A/S har endvidere oplyst, at virksomheden har nedskrevne forretningsgange/procedurer, som skal sikre efterlevelsen af bl.a. oplysningspligten over for virksomhedens medarbejdere i forbindelse med tv-overvågning, overvågning af svindel og whistleblowersystemet.
Datatilsynet har ingen bemærkninger til indholdet af de nedskrevne forretningsgange/procedurer vedrørende TDC A/S’ efterlevelse af oplysningspligten over for virksomhedens medarbejdere i forbindelse med brugen af tv-overvågning, overvågning af svindel og whistleblowersystemet.
4. Gennemgang af TDC’s ansættelsesaftaler og dertilhørende bilag m.v.
TDC A/S har oplyst[3], at virksomheden gør brug af en række kontrolforanstaltninger – der kan anvendes i både sikkerheds- og kontroløjemed – over for virksomhedens medarbejdere, herunder bl.a. foranstaltninger, hvor hovedformålet efter det oplyste ikke er kontrol af medarbejdere. Datatilsynet kan ikke udelukke, at disse anvendes i kontroløjemed over for virksomhedens medarbejdere, hvorfor dette er lagt til grund ved gennemgangen af de fremsendte ansættelsesaftaler og dertilhørende bilag m.v.
Generelt har TDC A/S oplyst[4], at virksomhedens medarbejdere bliver oplyst om brugen af kontrolforanstaltninger via ansættelsesaftaler og et bilag til ansættelsesaftalerne, der beskriver, hvordan medarbejdernes personoplysninger behandles i forbindelse med virksomhedens løn- og personaleadministration. Bilaget vedrørende behandling af personoplysninger suppleres af en ”persondataside” på TDC A/S’ intranet, der mere udførligt beskriver. hvordan virksomheden behandler medarbejdernes oplysninger.
Efter en gennemgang af de fremsendte eksempler på ansættelsesaftaler er det Datatilsynets vurdering, at aftalerne ikke indeholder konkret information om TDC A/S’ brug af kontrolforanstaltninger over for medarbejdere. I ansættelsesaftalerne informeres medarbejderne om, at de er underlagt virksomhedens IT-sikkerhedspolitik og gældende sikkerhedsforskrifter. For så vidt angår IT-sikkerhedspolitikken henvises medarbejderne til personalepolitikken ”Tænk før du taster”. I forlængelse heraf fremgår det, at det kan få ansættelsesmæssige konsekvenser, hvis medarbejderne ikke overholder sikkerhedsforskrifterne. Afslutningsvis henvises medarbejderne til tilhørende bilag om behandling af personoplysninger i forbindelse med TDC A/S´ løn- og personaleadministration.
Det bemærkes i forhold til ansættelsesaftalerne, at Datatilsynet er opmærksom på, at aftalerne indeholder information om brugen af telefonoptagelser og GPS-overvågning som kontrolforanstaltninger, men at tilsynet – som nævnt[5] – ikke har taget stilling til hertil, idet TDC A/S efter det oplyste ikke er dataansvarlig for brugen af disse kontrolforanstaltninger.
Idet bilaget om behandling af personoplysninger – efter tilsynets vurdering – har en mere overordnet karakter og ikke indeholder specifik information om de enkelte kontrolforanstaltninger, gennemgås bilagets indhold i umiddelbar forlængelse heraf. Efterfølgende gennemgås de supplerende tekster på TDC A/S’ intranet, som indeholder mere specifik information om de enkelte kontrolforanstaltninger.
Af bilaget om behandling af personoplysninger fremgår det, at TDC A/S er dataansvarlig for de personoplysninger, der behandles i forbindelse med medarbejderens ansættelse hos virksomheden. I forlængelse heraf er der indsat kontaktoplysninger på virksomhedens databeskyttelsesrådgiver.
Om formålet med behandlingen af personoplysninger, fremgår det generelt, at de oplysninger, der behandles i henhold til ansættelsesaftalen, behandles til brug for løn- og personaleadministration og opfyldelse af de rettigheder og pligter, der følger af ansættelsesforholdet mellem TDC A/S og medarbejderen.
Herudover indeholder bilaget en generel beskrivelse af retsgrundlaget for TDC A/S’ behandling af personoplysninger i forbindelse med virksomhedens løn- og personaleadministration, ligesom bilaget indeholder overordnet information om kategorier af personoplysninger, som behandles om medarbejderne, kategorier af modtagere af de omhandlede oplysninger, hvordan oplysningerne er blevet indsamlet, og hvornår de enkelte oplysninger slettes.
Medarbejderen henvises i den forbindelse til et specifikt sted på intranettet, hvor vedkommende kan finde en standardiseret oversigt over de personoplysninger, der behandles som led i løn- og personaleadministration. Den standardiserede oversigt indeholder en angivelse af retsgrundlaget og det specifikke formål for behandlingen af de enkelte oplysninger. I de tilfælde, hvor TDC A/S bruger interesseafvejningsreglen i forordningens artikel 6, stk. 1, litra f, som behandlingshjemmel, har TDC A/S anført de legitime interesser, som virksomheden forfølger. Herudover indeholder oversigten information om, hvordan de enkelte oplysninger er blevet indsamlet, og hvor længe oplysningerne opbevares. TDC A/S har sendt en kopi af den standardiserede oversigt til Datatilsynet.
Bilaget indeholder endvidere information om overførsel af oplysninger til tredjelande. Det fremgår bl.a. i den forbindelse, at TDC A/S benytter en bestemt databehandler i et tredjeland til opbevaring af personoplysninger, og at overførslen af oplysninger hertil er anmeldt og godkendt af Datatilsynet i henhold til EU-Kommissionens standardbestemmelser for overførsel til tredjelande.
Datatilsynet skal hertil bemærke, at brugen af EU-Kommissionens standardbestemmelser som overførselsgrundlag, jf. forordningens artikel 46, stk. 2, litra c, ikke forudsætter en specifik godkendelse fra en tilsynsmyndighed, ligesom der heller ikke med forordningen stilles krav om, at overførsler til tredjelande skal anmeldes til tilsynsmyndigheden. Datatilsynet skal derfor henstille, at TDC A/S opdaterer bilaget, så det ikke fremgår, at overførslen af oplysninger er anmeldt til og godkendt af Datatilsynet.
Om brugen af kontrolforanstaltninger fremgår det af bilaget, at TDC A/S af sikkerheds-, svindel-, drifts-, uddannelses- og/eller produktionsmæssige årsager foretager tv-overvågning og overvågning af medarbejderes adfærd på og i virksomhedens IT-systemer, bygninger, biler, værktøjer m.v. Herudover fremgår det, at medarbejderen et specifikt sted på persondatasiden på intranettet kan finde en mere udførlig beskrivelse af, hvilke typer af overvågning, som TDC A/S foretager, ligesom at TDC A/S’ kollektive aftaler og personalepolitikker ligeledes indeholder regler om overvågning af medarbejdere.
Afslutningsvis indeholder bilaget information om retten til at anmode om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling eller til at gøre indsigelse mod behandling samt retten til dataportabilitet, ligesom bilaget indeholder information om muligheden for at klage over TDC A/S’ behandling af personoplysninger til Datatilsynet.
TDC A/S har oplyst, at bilaget vedrørende behandling af personoplysninger suppleres af en ”persondataside” på TDC A/S’ intranet, der mere udførligt beskriver, hvordan virksomheden behandler medarbejdernes oplysninger i forbindelse med de enkelte kontrolforanstaltninger.
På persondatasiden på intranettet er der et punkt, som vedrører ”kontrol af medarbejdernes adfærd i det nuværende ansættelsesforhold”. Her fremgår det bl.a. generelt om brugen af kontrolforanstaltninger, at det er en grundlæggende del af arbejdsgivers ledelsesret at kunne indføre kontrolforanstaltninger, men at iværksættelsen af kontrolforanstaltninger er undergivet en række bestemte saglighedskrav. Der er i den forbindelse indsat et link til den aftale om kontrolforanstaltninger, som er indgået mellem Landsorganisationen i Danmark og Dansk Arbejdsgiverforening, som TDC A/S er forpligtet til at overholde i forhold til medarbejdere, som er omfattet af overenskomsten med Dansk Metal.
Medarbejderen kan herefter klikke ind på de enkelte kontrolforanstaltninger, som TDC A/S gør brug af, for at læse mere om disse. Den information, som medarbejderne kan tilgå på intranettet om enkelte kontrolforanstaltninger, gennemgås nedenfor under afsnit 4.1.-4.5.
4.1. Information om tv-overvågning
TDC A/S har i forbindelse med tilsynet fremsendt en kopi af den information om tv-overvågning, der kan tilgås på persondatasiden på intranettet under punktet ”kontrol af medarbejdernes adfærd i det nuværende ansættelsesforhold”.
På intranetsiden vedrørende tv-overvågning som kontrolforanstaltning er der indledningsvist indsat et link til en procedure, der skal følges i forbindelse med anvendelse af tv-overvågning. Her kan medarbejderen læse om forudsætningerne for iværksættelse tv-overvågning som kontrolforanstaltning, ligesom medarbejderne kan læse om, hvad der sker, hvis der konstateres et brud på fastlagte politikker, retningslinjer m.v. via tv-overvågningen, herunder de eventuelle ansættelsesmæssige konsekvenser, som dette kan medføre. TDC A/S har sendt en kopi af denne procedure til Datatilsynet.
I forlængelse heraf fremgår det bl.a. af intranetsiden, at formålet med tv-overvågning er at sikre mod indbrud, tyveri eller hærværk, og at overvågning også sker af hensyn til sikkerhed for personalet. Medarbejderne informeres endvidere om retsgrundlaget for behandlingen af personoplysninger som led i tv-overvågning.
Herudover fremgår det, at selvom tv-overvågningen ikke er etableret for at overvåge medarbejdere, så vil dette kunne forekomme som en sideeffekt. Oplysninger, der er indsamlet fra tv-overvågning, vil således kunne anvendes i en personalesag om påtale, advarsel, opsigelse eller bortvisning, hvis der skulle blive identificeret tilsidesættelser af ansættelsesforholdet i forbindelse med overvågningen.
Det fremgår endvidere, at TDC A/S overvåger butikker, receptioner, alle indgangsdøre og parkeringspladser, og at medarbejdere har mulighed for at få udleveret en liste over de præcise steder, der er opsat tv-overvågning ved at skrive til en bestemt e-mail. TDC A/S har sendt en kopi af den pågældende liste til Datatilsynet.
Herudover fremgår det, at det er kun de medarbejdere, som har til opgave at overvåge adgangene til TDC’s lokaliteter, der har adgang til oplysningerne, og at oplysningerne kan videregives til offentlige myndigheder, herunder eksempelvis politiet, og til advokater i kriminalitetsopklarende øjemed, ligesom oplysningerne vil kunne blive delt med HR.
Afslutningsvist fremgår det, at oplysningerne slettes efter 30 dage, og at medarbejdere kan søge om indsigt i tv-optegnelser ved at følge en bestemt procedure, som der er indsat et link til. TDC A/S sendt en kopi af denne procedure til Datatilsynet.
Det følger af tv-overvågningslovens[6] § 3 b, at bestemmelsen i databeskyttelsesforordningens artikel 14 gælder uanset en eventuel skiltning i medfør af lovens §§ 3 og 3 a. Underretning om behandling af personoplysninger i forbindelse med tv-overvågning af medarbejdere skal således leve op til kravene i databeskyttelsesforordningens artikel 14.
Efter en gennemgang af det fremsendte materiale, herunder bilaget om behandling af personoplysninger i forbindelse med løn- og personaleadministration, den standardiserede oversigt over personoplysninger, der behandles om medarbejdere, de supplerende tekster på intranettet vedrørende tv-overvågning er det Datatilsynets vurdering, at TDC A/S’ underretning om behandling af personoplysninger i forbindelse med brugen af tv-overvågning om kontrolforanstaltning lever op til de krav, som følger af forordningens artikel 14.
4.2. Information om adgangskontrol
TDC A/S har i forbindelse med tilsynet fremsendt en kopi af den information om adgangskontrol, der kan tilgås på persondatasiden på intranettet under punktet ”kontrol af medarbejdernes adfærd i det nuværende ansættelsesforhold”.
På intranetsiden vedrørende adgangskontrol som kontrolforanstaltning fremgår det indledningsvist, at alle medarbejdere i forbindelse med ansættelse får udleveret et ID-kort, der giver adgang til de steder, som der er et arbejdsmæssigt behov for.
Om formålet med adgangskontrol fremgår det, at ID-kort – ud over at have en nøglemæssig funktion – også har den funktion, at man kan spore, hvem der har befundet sig på et område, hvis der eksempelvis opstår brand, forekommer tyveri, hærværk eller lignende. Herudover sikrer kortet entydig identifikation af de medarbejdere, som er ansat i TDC og opholder sig på virksomhedens lokationer. I forlængelse heraf gives medarbejderne information om retsgrundlaget for behandlingen af personoplysninger i forbindelse med adgangskontrol.
Det fremgår herudover, at det er kun de medarbejdere, som har til opgave at overvåge adgangene til TDC’s lokaliteter, der har adgang til oplysningerne, og at oplysningerne kan videregives til offentlige myndigheder, herunder eksempelvis politiet, og til advokater i kriminalitetsopklarende øjemed, ligesom oplysningerne vil kunne blive delt med HR.
Afslutningsvist fremgår det, hvornår oplysningerne slettes, og at medarbejdere kan søge om indsigt i oplysninger vedrørende ID-kortet ved at følge en bestemt procedure, som der er indsat et link til. TDC A/S sendt en kopi af denne procedure til Datatilsynet.
Idet personoplysningerne efter Datatilsynets opfattelse indsamles hos medarbejderen selv, når vedkommende anvender sit adgangskort, er det tilsynets vurdering, at underretning om behandling af personoplysninger i forbindelse med adgangskontrol skal leve op til kravene i databeskyttelsesforordningens artikel 13.
Efter en gennemgang af det fremsendte materiale, herunder bilaget om behandling af personoplysninger i forbindelse med løn- og personaleadministration, den standardiserede oversigt over personoplysninger, der behandles om medarbejdere, samt de supplerende tekster på intranettet vedrørende adgangskontrol, er det Datatilsynets vurdering, at medarbejderne ikke bliver givet information om formålet med behandlingen af de pågældende oplysninger. Datatilsynet lægger herved vægt på, at det efter tilsynets opfattelse ikke fremgår tilstrækkeligt tydeligt af hverken bilaget om behandling af personoplysninger i forbindelse med løn- og personaleadministration eller de supplerende tekster på intranettet, at de omhandlede oplysninger også kan anvendes til kontroløjemed over for medarbejderne.
Datatilsynet finder således, at TDC A/S’ underretning om behandling af personoplysninger i forbindelse med adgangskontrol ikke lever op til kravene i databeskyttelsesforordningens artikel 13, stk. 1, litra c. Henset til at kontrolformålet efter Datatilsynets vurdering ikke har været tilstrækkeligt tydeligt for medarbejderne, finder tilsynet endvidere, at TDC A/S’ behandling af personoplysninger ikke har levet op til det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a. Datatilsynet skal i den forbindelse også understrege, at det er tilsynets vurdering, at princippet om gennemsigtighed bl.a. indebærer, at den dataansvarlige skal give medarbejdere let tilgængelig – forudgående – information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
4.3. Information om overvågning af svindel
TDC A/S har i forbindelse med tilsynet fremsendt en kopi af den information om overvågning af svindel (Fraud), der kan tilgås på persondatasiden på intranettet under punktet ”kontrol af medarbejdernes adfærd i det nuværende ansættelsesforhold”.
På intranetsiden vedrørende overvågning af svindel som kontrolforanstaltning fremgår det indledningsvist, at Fraud er den afdeling i TDC A/S, der arbejder med at begrænse virksomhedens tab på bl.a. intern og ekstern svindel, og som har til formål at sikre virksomheden mod unødige tab.
Endvidere fremgår det bl.a., at Fraud foretager overvågning og behandling af unormal trafik i indland og udland ved stikprøvekontrol, og at dette i forhold til medarbejdere betyder, at Fraud gennemgår brugen af vouchers, salg, krediteringer, udbetalinger, rabatter m.v. for at se, om der optræder noget unormalt. Herudover vil der kunne ske indrapportering til Fraud fra medarbejderens leder eller andre.
I forlængelse heraf fremgår det, at HR vil blive kontaktet, hvis der foreligger en konkret begrundet mistanke om svindel, der nødvendiggør en nærmere undersøgelse af medarbejderens forhold. Herudover gives medarbejderne information om retsgrundlaget for behandlingen af personoplysninger i forbindelse med overvågning af svindel.
Om opbevaring af oplysningerne fremgår det, at Fraud gemmer oplysninger om medarbejdere, der er under mistanke for svindel, så længe undersøgelse pågår, og indtil sagen er færdigbehandlet. Oplysninger, der har været brugt i vurderingen af, om der er grundlag for ansættelsesretlige sanktioner over for medarbejderen, opbevares på personalesagen og slettes efter de regler, der gælder herfor. Der er i den forbindelse indsat et link til en bestemt intranetside, hvor medarbejderen kan læse nærmere om disse slettefrister. TDC A/S har sendt en kopi af denne intranetside til Datatilsynet.
Idet personoplysningerne efter Datatilsynets opfattelse indsamles, når medarbejderen anvender TDC A/S’ IT-installationer og/eller terminaler, er det tilsynets vurdering, at oplysningerne indsamles hos medarbejderen selv, hvorfor underretning om behandling af personoplysninger i forbindelse med overvågning af svindel skal leve op til kravene i databeskyttelsesforordningens artikel 13.
Efter en gennemgang af det fremsendte materiale, herunder bilaget om behandling af personoplysninger i forbindelse med løn- og personaleadministration, den standardiserede oversigt over personoplysninger, der behandles om medarbejdere. samt de supplerende tekster på intranettet vedrørende overvågning af svindel, er det Datatilsynets vurdering, at TDC A/S’ underretning om behandling af personoplysninger i forbindelse med brugen af overvågning af svindel som kontrolforanstaltning lever op til de krav, som følger af forordningens artikel 13.
4.4. Information om overvågning af brugen af e-mail, IT-installationer og terminaler
TDC A/S har i forbindelse med tilsynet fremsendt en kopi af den information om overvågning af brugen af e-mail, IT-installationer og terminaler, der kan tilgås på persondatasiden på intranettet under punktet ”kontrol af medarbejdernes adfærd i det nuværende ansættelsesforhold”.
På intranetsiden vedrørende overvågning af brugen af e-mail, IT-installationer og terminaler som kontrolforanstaltning er der indsat et link til en personalepolitik ”Tænk før du taster”, hvor det beskrives nærmere, hvordan medarbejdere må benytte IT-installationer og terminaler. Herudover oplyses medarbejderen om retsgrundlaget for behandlingen af personoplysninger i forbindelse med overvågning af brugen af e-mail, IT-installationer og terminaler.
Af personalepolitikken ”Tænk før du taster” fremgår det vedrørende brugen af overvågning af brugen af e-mail, IT-installationer og terminaler som kontrolforanstaltning, at TDC A/S registrerer al IT-anvendelse på og til og fra koncernnettet og datterselskabernes net, herunder brug af internettet og mails.
Om formålet med behandlingen af disse oplysninger fremgår det, at TDC A/S registrerer disse oplysninger af drift- og sikkerhedsmæssige hensyn og for at vurdere behovet for forebyggende og beskyttende foranstaltninger. Registreringen kan dog også anvendes i efterforskning af begrundet mistanke om misbrug.
Hvis der konstateres misbrug af pc-arbejdspladsen i strid med TDC A/S’ sikkerhedsprincipper, vil den nærmeste leder blive orienteret, hvorefter lederen følger op på sagen. Hvis der er begrundet mistanke om groft eller gentaget misbrug, kan medarbejderens anvendelse af internettet, dataopbevaring, mails og tekstbeskeder sendt fra en telefon, hvor TDC A/S betaler abonnementet, blive genstand for gennemgang efter bemyndigelse fra en chef. Det samme gør sig gældende for medarbejderes data lagret på TDC A/S’ it-installationer og terminaler, herunder personlige drev og mailboks.
Idet personoplysningerne efter Datatilsynets opfattelse indsamles, når medarbejderen gør brug af internet, e-mail, IT-installationer og terminaler, er det tilsynets vurdering, at oplysningerne indsamles hos medarbejderen selv, hvorfor underretning om behandling af personoplysninger i forbindelse med overvågning af brugen af e-mail, IT-installationer og terminaler skal leve op til kravene i databeskyttelsesforordningens artikel 13.
Efter en gennemgang af det fremsendte materiale, herunder bilaget om behandling af personoplysninger i forbindelse med løn- og personaleadministration, den standardiserede oversigt over personoplysninger, der behandles om medarbejdere, de supplerende tekster på intranettet samt personalepolitikken, er det Datatilsynets vurdering, at TDC A/S’ underretning om behandling af personoplysninger i forbindelse med brugen af overvågning af brugen af e-mail, IT-installationer og terminaler som kontrolforanstaltning lever op til de krav, som følger af forordningens artikel 13.
4.5. Anvendelse af undtagelsesbestemmelser til oplysningspligten
Datatilsynet har i forbindelse med det skriftlige tilsyn spurgt ind til, om TDC A/S i nogle tilfælde har vurderet, at der kan gøres undtagelse fra oplysningspligten i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere.
TDC A/S har i den forbindelse oplyst, at virksomheden informerer medarbejderne forudgående om brugen af kontrolforanstaltninger i forbindelse med ansættelsen. Der kan dog være tilfælde ved konkret anvendelse af kontrolforanstaltningerne, hvor det efter virksomhedens vurdering kan være nødvendigt at gøre brug af undtagelsesbestemmelserne i databeskyttelseslovens § 22, stk. 2, nr. 4 og 7. Som eksempel herpå har TDC A/S’ oplyst, at der vil kunne være situationer i forbindelse med konkret tv-overvågning og indberetninger via whistleblowersystemet, hvor der er mistanke om en forbrydelse, og hvor formålet vil forspildes, medmindre medarbejderen først bliver informeret om undersøgelsen efterfølgende.
Datatilsynet har ingen bemærkninger hertil.
4.6. Iagttagelse af oplysningspligten i en gennemsigtig og lettilgængelig form
Det følger af databeskyttelsesforordningens artikel 12, stk. 1, at den dataansvarlige skal give enhver meddelelse i henhold til bl.a. artikel 13 og 14 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
TDC A/S har generelt oplyst[7], at virksomhedens medarbejdere bliver oplyst om brugen af kontrolforanstaltninger via ansættelsesaftaler og et bilag til ansættelsesaftalerne, der beskriver, hvordan medarbejdernes personoplysninger behandles i forbindelse med virksomhedens løn- og personaleadministration. Bilaget vedrørende behandling af personoplysninger suppleres af en ”persondataside” på TDC A/S’ intranet, der mere udførligt beskriver, hvordan virksomheden behandler medarbejdernes oplysninger.
Det er som nævnt ovenfor[8] Datatilsynets vurdering, at selve ansættelsesaftalerne ikke indeholder konkret information om TDC A/S’ brug af kontrolforanstaltninger over for medarbejdere. Medarbejderne informeres alene om, at de er underlagt virksomhedens IT-sikkerhedspolitik og gældende sikkerhedsforskrifter. For så vidt angår IT-sikkerhedspolitikken henvises medarbejderne til personalepolitikken ”Tænk før du taster”. Afslutningsvis henvises medarbejderne til tilhørende bilag om behandling af personoplysninger i forbindelse med TDC A/S´ løn- og personaleadministration. Medarbejderne bliver således ikke i selve ansættelsesaftalerne gjort opmærksom på, at TDC A/S gør brug af kontrolforanstaltninger.
Bilaget om behandling af personoplysninger, der vedlægges som bilag til ansættelsesaftalerne, indeholder et afsnit, hvor medarbejderne gøres opmærksom på TDC A/S’ brug af kontrolforanstaltninger. Det fremgår således af bilaget, at TDC A/S af sikkerheds-, svindel-, drifts-, uddannelses- og/eller produktionsmæssige årsager foretager tv-overvågning og overvågning af medarbejderes adfærd på og i virksomhedens IT-systemer, bygninger, biler, værktøjer m.v. Herudover fremgår det, at medarbejderen et specifikt sted på persondatasiden på intranettet kan finde en mere udførlig beskrivelse af, hvilke typer af overvågning, som TDC A/S foretager, ligesom at TDC A/S’ kollektive aftaler og personalepolitikker ligeledes indeholder regler om overvågning af medarbejdere.
Datatilsynet har i forbindelse med dette tilsyn vurderet, om den information, TDC A/S giver til medarbejdere i henhold til forordningens artikel 13 og 14, lever op til kravene i forordningens artikel 12, stk. 1, herunder om informationen bliver givet til medarbejderne i en tilstrækkelig gennemsigtig og lettilgængelig form.
Efter en gennemgang af sagen finder Datatilsynet, at TDC A/S’ iagttagelse af oplysningspligten over for medarbejdere i forbindelse med brugen af kontrolforanstaltninger er sket inden for rammerne af forordningens artikel 12, stk. 1. Datatilsynet har herved lagt vægt på, at det efter tilsynets opfattelse fremgår tilstrækkelig tydeligt af bilaget om behandling af personoplysninger, at TDC A/S gør brug af kontrolforanstaltninger over for medarbejdere, og at medarbejderne henvises til et specifikt sted på virksomhedens intranet, hvor de kan læse mere om de enkelte kontrolforanstaltninger.
5. Konklusion
Efter tilsynet med TDC A/S finder Datatilsynet anledning til sammenfattende at konkludere:
At TDC A/S’ efterlevelse af oplysningspligten i henhold til forordningens artikel 13 og 14 i ét tilfælde har været mangelfuld, herunder ved at virksomheden ikke har givet medarbejderne tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne.
Datatilsynet finder herefter grundlag for at udtale kritik af, at TDC A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13. For så vidt angår manglende information om formålet med behandling af personoplysninger, finder Datatilsynet endvidere, at TDC A/S’ behandling af personoplysninger ikke har fundet sted i overensstemmelse med det grundlæggende princip om gennemsigtighed i forordningens artikel 5, stk. 1, litra a.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Se afgørelsens afsnit 2
[4] Se afgørelsens afsnit 3
[5] Se afgørelsens afsnit 2
[6] Lovbekendtgørelse nr. 1190 af 11. oktober 2007 om tv-overvågning med senere ændringer
[7] Se afgørelsens afsnit 3
[8] Se afgørelsens afsnit 4