Journalnummer: 2019-41-0038
Afgørelse
1. Skriftligt tilsyn med Kræftens Bekæmpelse
Kræftens Bekæmpelse var blandt de dataansvarlige, som Datatilsynet i efteråret 2019 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Kræftens Bekæmpelses opbevaring og sletning af personoplysninger om ansøgere – efter endt rekrutteringsforløb – indsamlet i forbindelse med rekruttering til ansættelse, hvor ansøgeren ikke er blevet ansat, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra e (”opbevaringsbegrænsning”), artikel 5, stk. 2 (”ansvarlighed”), artikel 6, artikel 9 og databeskyttelsesloven §§ 8 og 11.
Ved brev af 20. august 2019 varslede Datatilsynet tilsynet med Kræftens Bekæmpelse og anmodede i den forbindelse om en udtalelse.
Ved brev af 10. september 2019 sendte Kræftens Bekæmpelse en udtalelse til brug for sagen. Efter fornyet høring fra Datatilsynet den 4. november 2019 sendte Kræftens Bekæmpelse en yderligere udtalelse den 25. november 2019, og efter anmodning fra Datatilsynet den 18. maj 2020 sendte Kræftens Bekæmpelse supplerende oplysninger den 19. maj 2020.
2. Datatilsynets afgørelse
Med hensyn til Kræftens Bekæmpelses behandling af personoplysninger om ansøgere, der ikke er blevet ansat, til formålene at dokumentere et rekrutteringsforløb og give ansøgere feedback, er det Datatilsynets vurdering, at det er uhensigtsmæssigt, hvis behandlingen af oplysninger til disse formål sker på baggrund af ansøgernes samtykke, hvis organisationen i stedet kan basere behandlingen på andre relevante bestemmelser.
Datatilsynet skal på den baggrund henstille, at Kræftens Bekæmpelse i stedet baserer behandlingen på andre bestemmelser, navnlig databeskyttelsesforordningens artikel 6, stk. 1, litra c og f, artikel 9, stk. 2, litra f, og databeskyttelseslovens § 8, stk. 5, og § 11, stk. 2, nr. 4, jf. databeskyttelseslovens § 7, stk. 1, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra f.
Datatilsynet finder herudover, at Kræftens Bekæmpelses behandling af personoplysninger om ansøgere, der ikke er blevet ansat, til det formål at tilbyde mulig senere ansættelse er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, og databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2, jf. artikel 7, stk. 1, og artikel 7, stk. 3, idet samtykket, som behandlingen af personoplysningerne baseres på, opfylder betingelserne til et gyldigt samtykke i databeskyttelsesforordningens artikel 4, nr. 11, og idet Kræftens Bekæmpelse i samtykketeksten oplyser om, at samtykket til enhver tid kan trækkes tilbage.
Datatilsynet finder også, at Kræftens Bekæmpelses behandling af oplysninger om, hvor ansøgere har hørt om den konkrete stilling, til det formål at maksimere udbyttet af organisationens udgifter til annoncering af ledige stillinger, er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Herudover finder Datatilsynet ikke grundlag for at tilsidesætte Kræftens Bekæmpelses vurdering af, at organisationens behandling af personoplysninger fra ansøgeres offentligt tilgængelige sociale medieprofiler er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1, litra f og artikel 9, stk. 2, litra e.
Afslutningsvis finder Datatilsynet, at Kræftens Bekæmpelses opbevaring og sletning af personoplysninger om ansøgere indsamlet i forbindelse med rekruttering til ansættelse, hvor ansøgeren ikke er blevet ansat, ses at være sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning) og artikel 5, stk. 2 (”ansvarlighed”), jf. artikel 5, stk. 1, litra e.
3. Kræftens Bekæmpelses bemærkninger
3.1. Behandlingsgrundlag
Kræftens Bekæmpelse har oplyst, at virksomhedens formål med at opbevare oplysninger om ansøgere, der ikke er blevet ansat, efter endt rekrutteringsforløb dels er at give relevant feedback til ansøgere, der skulle ønske det, dels at kunne dokumentere forløbet af rekrutteringsprocessen og dels at kunne kontakte ansøgere, hvis den rekrutterende afdeling påtænker at ansætte yderligere medarbejdere til stillinger, hvor den pågældende ansøger kunne være egnet. Endvidere spørges ansøgere også, hvor ansøgerne har set stillingsopslaget, så Kræftens Bekæmpelse kan maksimere udbyttet af virksomhedens udgifter til annoncering af ledige stillinger.
Kræftens Bekæmpelse har herudover oplyst, at oplysninger om ansøgere, der behandles med henblik på at oplyse om andre jobmuligheder i Kræftens Bekæmpelse, at sikre dokumentation for korrekt rekrutteringsforløb og at give feedback, behandles på baggrund af et samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, og databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2.
Kræftens Bekæmpelse har fremsendt et anonymiseret eksempel på organisationens samtykkeerklæring, som alle ansøgere, der vil søge en stilling hos organisationen, skal afgive. Kræftens Bekæmpelse har også fremsendt et anonymiseret eksempel på den samtykketekst, som organisationen sender til ansøgere, der ikke er blevet ansat, til brug for behandling af ansøgerens oplysninger for muligvis at kunne tilbyde ansøgeren en anden stilling end den, som ansøgeren oprindeligt søgte.
Kræftens Bekæmpelse har oplyst, at samtykke indhentes fra ansøgeren via systemet HR Manager. Når ansøgeren sender en ansøgning via HR Manager, anmodes ansøgeren samtidig om at give sit samtykke til behandling af personoplysninger. Organisationen har endvidere oplyst, at der indhentes særskilt samtykke, hvis organisationen vil behandle en ansøgers oplysninger til muligvis at tilbyde ansøgeren en anden stilling end den, ansøgeren oprindeligt søgte.
Kræftens Bekæmpelse har oplyst, at organisationen – i forbindelse med behandling af en ansøgning afgivet via HR Manager – anmoder om oplysninger om navn, adresse, telefonnummer, e-mailadresse, fødselsdato, statsborgerskab, køn, uddannelsesmæssig baggrund, tidligere beskæftigelse og nuværende stilling. Organisationen kan også indhente oplysninger fra ansøgernes profiler på sociale medier, herunder f.eks. LinkedIn, Facebook og Instagram. Herudover kan ansøgeren selv afgive yderligere oplysninger i ansøgningen, uden at Kræftens Bekæmpelse beder om det, herunder oplysninger om personnummer (eksempelvis i forbindelse med kopier af eksamensbeviser), civilstatus, oplysninger om strafbare forhold, helbredsoplysninger, oplysninger om seksuel orientering, race, etnisk oprindelse, politiske, religiøse eller filosofisk overbevisning samt fagforeningsmæssigt tilhørsforhold. Kræftens Bekæmpelse anmoder om særskilt samtykke til videre behandling af de samme oplysninger, hvis organisationen ønsker at gemme ansøgerens oplysninger med henblik på at kunne tilbyde ansøgeren en anden stilling.
Kræftens Bekæmpelse behandler således oplysninger omfattet af databeskyttelsesforordningens artikel 6, herunder særlige kategorier af oplysninger omfattet af artikel 9, oplysninger om strafbare forhold omfattet af artikel 10 og databeskyttelseslovens § 8 og oplysninger om personnummer efter databeskyttelseslovens § 11.
Endelig har Kræftens Bekæmpelse oplyst, at oplysninger om, hvor ansøgere har hørt om stillingen og oplysninger indsamlet fra ansøgeres profiler på sociale medier, behandles på baggrund af artikel 6, stk. 1, litra f (interesseafvejningsreglen) og artikel 9, stk. 2, litra e.
3.2. Opbevaring, sletning og ansvarlighed
Kræftens Bekæmpelse har oplyst, at organisationens opbevaringsperiode for oplysninger om ansøgere i systemet HR Manager efter påbegyndt rekrutteringsforløb er tre måneder, hvorefter oplysningerne, der er behandlet i forbindelse med det konkrete rekrutteringsforløb, automatisk slettes i systemet. Hvis organisationen har indhentet særskilt samtykke til behandling af oplysninger med det formål muligvis at tilbyde en anden stilling, opbevares oplysningerne i yderligere tre måneder i HR Manager. Medarbejdere i organisationen, der vedvarende arbejder i systemet, monitorerer og kontrollerer sletningen, bl.a. ved gennemgang af logfiler i systemet. Ansøgere kan altid selv slette oplysninger i HR Manager, og Kræftens Bekæmpelse kan på anmodning fra registrerede ligeledes slette oplysningerne før perioden på tre eller seks måneder er gået.
Herudover behandler organisationen oplysninger i mailprogrammet Outlook, når organisationen indhenter referencer og foretager personlighedstests. Opbevaringsperioden i Outlook er ligeledes tre måneder, hvorefter de enkelte medarbejdere foretager manuel sletning af oplysningerne i overensstemmelse med organisationens interne retningslinjer, idet der ikke sker automatisk sletning i systemet.
Kræftens Bekæmpelse har vurderet, at tre måneders opbevaring af oplysninger efter påbegyndt rekrutteringsforløb er nødvendigt, hvis organisationen skal kunne give feedback til ansøgere og dokumentere et rekrutteringsforløb. Hvis organisationen har indhentet særskilt samtykke med det formål at tilbyde en ansøger en anden stilling, har organisationen vurderet, at yderligere tre måneders opbevaring af oplysningerne er nødvendigt. Organisationen har bl.a. baseret denne vurdering på tidligere erfaringer med ansøgere, der flere måneder efter påbegyndt rekrutteringsforløb bad om feedback på deres ansøgning, eller var interesseret i en anden stilling, som organisationen kunne tilbyde.
Kræftens Bekæmpelse har til Datatilsynet fremsendt en anonymiseret slettelog samt organisationens nedskrevne procedurer, redegørelser og lignende dokumentation vedrørende opbevaring og sletning af oplysninger om ansøgere.
4. Begrundelse for Datatilsynets afgørelse
4.1. Behandlingsgrundlag
4.1.1. Artikel 6, stk. 1, litra f og artikel 9, stk. 2, litra e
Det fremgår af sagen, at ansøgere bliver spurgt om, hvorfra de har hørt om den konkrete stilling, når ansøgningen afgives via HR Manager. Disse oplysninger bliver behandlet af Kræftens Bekæmpelse med det formål at maksimere udbyttet af organisationens udgifter til annoncering af ledige stillinger. Ifølge organisationen behandles oplysningerne på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Det er Datatilsynets opfattelse, at det som udgangspunkt er et sagligt formål, når arbejdsgivere behandler oplysninger om, hvor ansøgeren har hørt om stillingen, da arbejdsgiveren kan have en legitim interesse i at annoncere effektivt.
Datatilsynet finder på den baggrund, at Kræftens Bekæmpelses behandling af disse oplysninger, med det formål at maksimere udbyttet af organisationens udgifter til annoncering af ledige stillinger, er i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Det fremgår endvidere af sagen, at Kræftens Bekæmpelse i forbindelse med et rekrutteringsforløb kan indhente oplysninger fra ansøgernes profiler på sociale medier, herunder eksempelvis Facebook, LinkedIn og Instagram.
Det er Datatilsynets opfattelse, at arbejdsgivere kan indsamle og i relevant omfang anvende offentligt tilgængelige oplysninger, som en ansøger har offentliggjort om sig selv, f.eks. på sociale medier, med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra f (for private arbejdsgivere), artikel 6, stk. 1, litra e (offentlige arbejdsgivere) og artikel 9, stk. 2, litra e[3]. Selv om oplysningerne er offentliggjort af ansøgeren selv, skal indsamling og opbevaring af oplysningerne altid begrænses til oplysninger, der er saglige og proportionale i forhold til formålet med indsamlingen, jf. forordningens artikel 5.
Datatilsynet finder på baggrund af det i sagen oplyste ikke grundlag for at tilsidesætte Kræftens Bekæmpelses vurdering af, at organisationens behandling, herunder opbevaring i en nærmere afgrænset periode efter endt rekrutteringsforløb, af personoplysninger, som er offentliggjort af ansøgeren selv på sociale medier, under iagttagelse af principperne i forordningens artikel 5, er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f, og artikel 9, stk. 2, litra e.
4.1.2. Oplysninger behandlet på baggrund af samtykke, jf. artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2.
Kræftens Bekæmpelse har – som nævnt - oplyst, at organisationen behandler oplysninger om ansøgere, som ikke er blevet ansat, efter endt rekrutteringsforløb med henblik på at give feedback, dokumentere rekrutteringsforløbet og oplyse om lignende stillinger hos virksomheden på baggrund af et samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, og databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2.
Indledningsvis skal Datatilsynet bemærke, at behandling af personoplysninger om ansøgere, der ikke er blevet ansat, efter endt rekrutteringsproces til det formål at give ansøgere feedback på deres ansøgninger er en behandling, der efter tilsynets vurdering ikke kræver et selvstændigt behandlingsgrundlag i det konkrete tilfælde, idet oplysningerne i forvejen behandles til formålet at dokumentere et rekrutteringsforløb, og muligheden for at give feedback til ansøgere må anses som nært forbundet hermed.
Datatilsynet lægger til grund, at Kræftens Bekæmpelses samtykketekster på tidspunktet for tilsynets varsling af 20. august 2019 var det af Kræftens Bekæmpelse fremsendte dokument ”Notifikation til jobansøgere fra HR Manager” og ”Samtykke til opbevaring af personoplysninger med henblik på eventuel senere ansættelse”.
I forbindelse med behandling af en ansøgning afgivet via HR Manager anmoder Kræftens Bekæmpelse om samtykke til behandling af oplysninger om navn, adresse, telefonnummer, e-mailadresse, fødselsdato, statsborgerskab, køn, uddannelsesmæssig baggrund, tidligere beskæftigelse og nuværende stilling. Hvis Kræftens Bekæmpelse efter endt rekrutteringsproces vil behandle de oplysninger, som en ansøger har givet samtykke til i forbindelse med rekrutteringsprocessen, til det formål at tilbyde ansøgeren en anden stilling, end den ansøgeren oprindeligt søgte, beder organisationen om særskilt samtykke hertil.
Herudover kan ansøgeren selv afgive yderligere oplysninger i ansøgningen, uden at Kræftens Bekæmpelse beder om det, herunder oplysninger om personnummer (eksempelvis i forbindelse med kopier af eksamensbeviser), civilstatus, oplysninger om strafbare forhold, helbredsoplysninger, oplysninger om seksuel orientering, race, etnisk oprindelse, politiske, religiøse eller filosofisk overbevisning samt fagforeningsmæssigt tilhørsforhold.
Det er Datatilsynets opfattelse, at en arbejdsgiver kan have en saglig interesse i at opbevare oplysninger om ansøgere med henblik på at tilbyde mulig senere ansættelse, og at opbevaring til det formål kan ske med ansøgers samtykke.[4]
Databeskyttelsesforordningens artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, databeskyttelseslovens § 8, stk. 3 og § 11, stk. 2, nr. 2, omhandler samtykke som hjemmel til behandling af personoplysninger.
Forordningens artikel 4, nr. 11, indeholder definitionen af et gyldigt samtykke. Heraf fremgår, at et samtykke er ”[…] enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse […]”.
Det fremgår endvidere af databeskyttelsesforordningens artikel 7, stk. 3, at den registrerede til enhver tid har ret til at trække sit samtykke tilbage, og at den registrerede skal oplyses herom, inden samtykket afgives.
Efter en gennemgang af den af Kræftens Bekæmpelse fremsendte samtykketekst ”Samtykke til opbevaring af personoplysninger med henblik på eventuel senere ansættelse”, finder Datatilsynet, at Kræftens Bekæmpelses behandling af personoplysninger om ansøgere, der ikke er blevet ansat, til det formål at tilbyde mulig senere ansættelse er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, og databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2, jf. artikel 7, stk. 1, og artikel 7, stk. 3, idet samtykket, som behandlingen af personoplysningerne baseres på, opfylder betingelserne til et gyldigt samtykke i databeskyttelsesforordningens artikel 4, nr. 11, og Kræftens Bekæmpelse i samtykketeksten oplyser om, at samtykket til enhver tid kan trækkes tilbage.
Det er i den forbindelse Datatilsynets vurdering, at det samtykke, som Kræftens Bekæmpelse anvender, er tilstrækkeligt specifikt og informeret, idet der i samtykket er angivet et præcist formål med behandlingen af personoplysningerne (at kunne kontakte ansøgeren om en anden stilling), og der i samtykket er givet ansøgerne information om den dataansvarliges identitet, hvilke oplysninger der behandles, og retten til at trække samtykket tilbage.
Det er herudover Datatilsynets vurdering, at samtykket afgives utvetydigt og frivilligt, idet en ansøger anmodes om at afgive samtykket ved en skriftlig besvarelse baseret på Kræftens Bekæmpelses henvendelse, og at en ansøger har mulighed for ikke at afgive samtykket, såfremt ansøgeren ikke ønsker at blive kontaktet vedrørende andre stillinger hos organisationen.
Datatilsynet skal i forbindelse med Kræftens Bekæmpelses behandling af oplysninger om ansøgere, der ikke er blevet ansat, til formålet at dokumentere en rekrutteringsproces, bemærke, at behandling af registreredes personoplysninger som udgangspunkt skal ophøre, hvis behandlingen er baseret på den registreredes samtykke, og samtykket tilbagetrækkes i overensstemmelse med databeskyttelsesforordningens artikel 7, stk. 3.
Den dataansvarlige kan dermed som udgangspunkt ikke skifte behandlingsgrundlag, hvis den registrerede trækker sit samtykke tilbage. Det er derfor vigtigt, at den dataansvarlige inden indhentelse af samtykke overvejer, om samtykke er det mest passende behandlingsgrundlag.
Har den dataansvarlige et andet lovligt grundlag for behandling end samtykke med et selvstændigt formål – eksempelvis opbevaring af oplysninger af hensyn til overholdelse af reglerne om forbud mod diskrimination – vil denne behandling endvidere fortsat kunne finde sted.
Det vil imidlertid ikke være rimeligt eller gennemsigtigt for den registrerede, hvis den dataansvarlige efterfølgende baserer behandlingen på et andet behandlingsgrundlag end samtykke, når et samtykke er tilbagekaldt. I denne situation burde den dataansvarlige oprindeligt have anvendt dette behandlingsgrundlag frem for at bede den registrerede om samtykke[5].
Efter Datatilsynets vurdering er det derfor ikke hensigtsmæssigt, hvis en dataansvarlig anvender samtykke som hjemmel til behandling af personoplysninger i forbindelse med dokumentation af et konkret rekrutteringsforløb, hvis den dataansvarlige i praksis kan eller skal anvende en anden hjemmel til behandlingen
Det er Datatilsynets vurdering, at Kræftens Bekæmpelses behandling af ansøgeres personoplysninger, der sker med det formål at dokumentere et konkret rekrutteringsforløb, bør ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra c, artikel 9, stk. 2, litra f, databeskyttelseslovens § 8, stk. 5, og § 11, stk. 2, nr. 4, jf. databeskyttelseslovens § 7, stk. 1, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra f, og skal i den forbindelse også bemærke, at når behandlingen sker med hjemmel i disse bestemmelser, skal de oplysninger, som Kræftens Bekæmpelse skal give de registrerede i medfør af databeskyttelsesforordningens artikel 13 også afspejle dette.
Datatilsynet har derfor ikke med dette tilsyn taget stilling til, om Kræftens Bekæmpelses samtykketekst overholder de databeskyttelsesretlige krav i forhold til dette formål.
4.2. Opbevaringsperiode
Datatilsynet har gennemgået Kræftens Bekæmpelses udtalelser af 10. september og 25. november 2019 og de af organisationen fremsendte bilag hertil. Kræftens Bekæmpelse har i den forbindelse oplyst, at oplysninger slettes efter en periode på tre måneder efter påbegyndt rekrutteringsforløb, og efter maksimalt seks måneder, hvis organisationen har indhentet særskilt samtykke til opbevaring med det formål at tilbyde ansøgeren en anden stilling. Kræftens Bekæmpelse har vurderet, at op til seks måneder er en rimelig opbevaringsperiode, da organisationen anser en ansøger for fortsat at have en interesse for Kræftens Bekæmpelses feedback og andre stillinger hos Kræftens Bekæmpelse. Organisationen har også vurderet, at perioden er rimelig med hensyn til organisationen behov for at dokumentere rekrutteringsforløb.
Datatilsynet finder ikke grundlag for at tilsidesætte Kræftens Bekæmpelses vurdering af, at oplysninger om ansøgere efter endt rekrutteringsforløb er nødvendige at opbevare i op til seks måneder uagtet, hvorvidt formålet med behandlingen er at tilbyde ansøgeren en anden stilling i Kræftens Bekæmpelse eller at dokumentere, hvorledes udvælgelsen er sket i rekrutteringsprocessen.
Datatilsynet har i den forbindelse lagt vægt på, at en periode på op til seks måneder fremstår saglig, og at de pågældende formål med behandlingen af personoplysninger i de fleste tilfælde må antages at varetage den registreredes egne interesser.
Det er dermed Datatilsynets vurdering, at den pågældende opbevaringsperiode er i overensstemmelse med princippet om ”opbevaringsbegrænsning” i databeskyttelsesforordningens artikel 5, stk. 1, litra e.
4.3. Sletning af personoplysninger
Datatilsynet har gennemgået Kræftens Bekæmpelses udtalelser af 10. september og 25. november 2019 og de af organisationen fremsendte bilag, herunder en anonymiseret slettelog, nedskrevne procedurer om sletning og Kræftens Bekæmpelse beskrivelse af organisationens kontrol med sletning.
Datatilsynet finder, at Kræftens Bekæmpelse i tilstrækkelig grad har dokumenteret, at organisationen sletter oplysninger om ansøgere i systemet HR Manager efter en periode på op til seks måneder efter påbegyndt rekrutteringsforløb. Datatilsynet finder videre, henset til omfanget af personoplysninger, der behandles, ikke grundlag for at konkludere, at Kræftens Bekæmpelse skulle have foretaget yderligere tekniske eller organisatoriske sikkerhedsforanstaltninger for at sikre, at personoplysninger om ansøgere, der ikke er blevet ansat, efter endt rekrutteringsforløb rent faktisk slettes fra medarbejders Outlook og egne drev.
Kræftens Bekæmpelses opbevaring og sletning af personoplysninger om ansøgere indsamlet i forbindelse med rekruttering til ansættelse, hvor ansøgeren ikke er blevet ansat, ses således at være sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning) og artikel 5, stk. 2 (”ansvarlighed”), jf. artikel 5, stk. 1, litra e.
5. Konklusion
Med hensyn til Kræftens Bekæmpelses behandling af personoplysninger om ansøgere, der ikke er blevet ansat, til formålene at dokumentere et rekrutteringsforløb og give ansøgere feedback, er det Datatilsynets vurdering, at det er uhensigtsmæssigt, hvis behandlingen af oplysninger til disse formål sker på baggrund af ansøgernes samtykke, hvis organisationen i stedet kan basere behandlingen på andre relevante bestemmelser.
Datatilsynet skal på den baggrund henstille, at Kræftens Bekæmpelse i stedet baserer behandlingen på andre bestemmelser, navnlig databeskyttelsesforordningens artikel 6, stk. 1, litra c og f, artikel 9, stk. 2, litra f, og databeskyttelseslovens § 8, stk. 5, og § 11, stk. 2, nr. 4, jf. databeskyttelseslovens § 7, stk. 1, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra f.
Datatilsynet finder herudover, at Kræftens Bekæmpelses behandling af personoplysninger om ansøgere, der ikke er blevet ansat, til det formål at tilbyde mulig senere ansættelse er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a, artikel 9, stk. 2, litra a, og databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2, jf. artikel 7, stk. 1, og artikel 7, stk. 3, idet samtykket, som behandlingen af personoplysningerne baseres på, opfylder betingelserne til et gyldigt samtykke i databeskyttelsesforordningens artikel 4, nr. 11, og idet Kræftens Bekæmpelse i samtykketeksten oplyser om, at samtykket til enhver tid kan trækkes tilbage.
Datatilsynet finder også, at Kræftens Bekæmpelses behandling af oplysninger om, hvor ansøgere har hørt om den konkrete stilling, til det formål at maksimere udbyttet af organisationens udgifter til annoncering af ledige stillinger, er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Herudover finder Datatilsynet ikke grundlag for at tilsidesætte Kræftens Bekæmpelses vurdering af, at organisationens behandling af personoplysninger fra ansøgeres offentligt tilgængelige sociale medieprofiler er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1, litra f og artikel 9, stk. 2, litra e.
Afslutningsvis finder Datatilsynet, at Kræftens Bekæmpelses opbevaring og sletning af personoplysninger om ansøgere indsamlet i forbindelse med rekruttering til ansættelse, hvor ansøgeren ikke er blevet ansat, ses at være sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning) og artikel 5, stk. 2 (”ansvarlighed”), jf. artikel 5, stk. 1, litra e.
6. Afsluttende bemærkninger
Det fremgår af samtykketeksten, som Kræftens Bekæmpelse har sendt til Datatilsynet, og organisationens privatlivspolitik, at organisationen også på baggrund af et samtykke behandler oplysninger om ansøgere til brug for selve rekrutteringsprocessen. Det fremgår af samtykketeksten, at ansøgeres oplysninger overordnet behandles til det formål, at ansøgeren kan komme i betragtning til en stilling hos Kræftens Bekæmpelse.
Datatilsynet skal i den forbindelse henstille, at Kræftens Bekæmpelse undlader at basere behandlingen af personoplysninger i forbindelse med en rekrutteringsproces på samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, og databeskyttelseslovens § 8, stk. 3, og § 11, stk. 2, nr. 2, i det omfang organisationen i stedet kan eller skal basere behandlingen på andre relevante bestemmelser i databeskyttelsesforordningen, navnlig databeskyttelsesforordningens artikel 6, stk. 1, litra c og litra f, artikel 9, stk. 2, litra f, og databeskyttelseslovens § 8, stk. 5, og § 11, stk. 2, nr. 4, jf. databeskyttelseslovens § 7, stk. 1, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra f.
Hjemmelsgrundlaget skal derudover fremgå tydeligt af de oplysninger, som Kræftens Bekæmpelse skal give ansøgere i forbindelse med en rekrutteringsproces, jf. databeskyttelsesforordningens artikel 13.
Datatilsynet anser herefter tilsynet som afsluttet og foretager sig ikke yderligere i sagen.
Datatilsynets afgørelser kan indbringes for domstolene, jf. grundlovens § 63.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, december 2020, afsnit 4.2.4, s. 19-20
[4] Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, december 2020, afsnit 4.3, s. 20.
[5] Datatilsynets vejledning om samtykke, september 2019, afsnit 3, side 15