Journalnummer: 2020-431-0115
Resume
På baggrund af en række konkrete henvendelser fra tidligere medarbejdere indledte Datatilsynet af egen drift en sag om bl.a. Fitness World A/S’ tv-overvågning af medarbejdere.
Tv-overvågning var efter reglerne
Når man som arbejdsgiver vil iværksætte tv-overvågning af arbejdspladsen, skal man bl.a. sikre sig, at der er en saglig grund til det, og at overvågningen ikke er mere omfattende end nødvendigt. Samtidig skal man som arbejdsgiver sørge for at give medarbejderne en række informationer om tv-overvågningen - herunder om formålet med overvågningen, og om hvor længe optagelserne opbevares. Hvis oplysningerne bruges til kontrol af medarbejdere, skal arbejdsgiveren huske, at de ansatte på en klar og utvetydig måde skal være informeret om det, inden en sådan kontrol kan finde sted.
I den konkrete sag fandt Datatilsynet ikke anledning til at udtale kritik af Fitness Worlds tv-overvågning af medarbejdere.
Datatilsynet udtalte imidlertid alvorlig kritik af, at der i et center var blevet opbevaret oplysninger om medarbejdere i form af bl.a. lægeerklæringer og opsigelser på en fælles computer, hvor oplysningerne havde været tilgængelige for andre medarbejdere, fordi de var blevet gemt på et forkert drev.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, som Datatilsynet af egen drift har iværksat vedrørende Fitness World A/S’ (herefter Fitness World) behandling af personoplysninger om medarbejdere.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Fitness Worlds behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens[1] artikel 32, stk. 1.
Datatilsynet finder herudover, at Fitness Worlds behandling oplysninger om medarbejdere er sket inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f, og artikel 14.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet blev gennem henvendelser fra tidligere og nuværende medarbejdere ved Fitness World A/S bekendt med, at Fitness World A/S foretager tv-overvågning af medarbejdere, og at optagelserne efterfølgende er blevet anvendt til bl.a. at give skriftlige advarsler til medarbejdere. Af henvendelserne fremgår det, at medarbejderne ikke er blevet oplyst om formålet med tv-overvågningen, herunder at optagelser kan blive anvendt som kontrolforanstaltning.
Henvendelserne indeholdt også oplysninger om, at Fitness World A/S ikke havde sikret medarbejdernes oplysninger tilstrækkeligt, idet en lokal leder havde downloadet og opbevaret oplysninger om bl.a. opsigelser, kontrakter, skriftlige advarsler, lægeerklæringer og tv-overvågningsoptagelser lokalt på en fælles computer, som var frit tilgængelig for øvrige medarbejdere. Ifølge henvendelserne kunne oplysningerne også tilgås af medlemmer, da computeren ikke blev ”låst” efter brug.
Herudover havde Fitness World A/S ifølge det oplyste heller ikke sikret medlemmernes oplysninger tilstrækkeligt, idet der var fri adgang til systemet “Exerp”, hvor alle oplysninger om medlemmer fremgår, idet computerne ikke blev ”låst” efter brug, og oplysningerne derfor var frit tilgængelige for både ansatte og medlemmer.
Datatilsynet besluttede at undersøge sagen nærmere af egen drift og anmodede derfor ved brev af 23. november 2020 Fitness World om en redegørelse i sagen. Fitness World fremkom den 20. december 2020 med en udtalelse i sagen. Ved breve af 25. maj 2021 og 17. august 2021 anmodede Datatilsynet Fitness World om yderligere oplysninger, som Fitness World fremkom med den 6. juli 2021 og 30. august 2021.
2.1. Fitness Worlds bemærkninger
2.1.1.
Fitness World har overordnet oplyst, at der foretages tv-overvågning i samtlige af Fitness Worlds centre med henblik på at forebygge kriminalitet, øge trygheden for medarbejdere og medlemmer, samt for at forebygge grove overtrædelser af Fitness Worlds interne regler.
Fitness World har oplyst, at retsgrundlaget for behandlingen er databeskyttelsesforordningens artikel 6, stk. 1, litra f, samt artikel 10, jf. databeskyttelseslovens §§ 6 og 8. Fitness World har en legitim interesse i at tv-overvåge bl.a. indgangspartier, receptionsområder, fitnessområder og træningssale med henblik på at forebygge og opklare kriminalitet, sikkerheds- og forsikringsmæssige årsager samt for at kunne gøre retskrav gældende i forbindelse med ansættelsesforhold.
Der er opsat skilte om tv-overvågning ved indgangene, og medarbejderne oplyses om tv-overvågning i ansættelseskontrakten, personalehåndbogen, persondatapolitik for ansatte og Fitness Worlds politik om tv-overvågning. Af Fitness Worlds politik om tv-overvågning – som udleveres ved ansættelse – bliver medarbejderne oplyst om formål med tv-overvågningen, og at de steder, hvor Fitness World har valgt at foretage tv-overvågning er markeret med tydelige skilte, før man træder ind i det overvågede område, f.eks. ved indgangsdøre. Medarbejderne bliver samtidig oplyst om, at der ikke foretages tv-overvågning i omklædningsarealer eller ved toiletfaciliteter.
Optagelser opbevares i maksimalt 21 dage, hvorefter de slettes ved overspilning. Ved konkrete sager opbevares uddrag af optagelserne i det omfang, der er grundlag herfor i lovgivningen, hvorefter de slettes.
Tv-overvågningen gennemgås i form af stikprøvekontrol ved konkret mistanke eller andre uregelmæssigheder. Det kan i forhold til medarbejdere være tilfældet ved grove overtrædelser af Fitness Worlds interne regler, f.eks. tyveri eller internt svind, chikane, vold eller systematisk snyd med tidsregistrering. Fitness World har videre oplyst, at der som udgangspunkt ikke følges ”live” med på tv-overvågningen, men hvis der foreligger en konkret mistanke, er det en mulighed at følge med ”live”. Fitness World har i forhold til de konkrete sager ikke kunne konstatere, at der skulle være fulgt med ”live” på tv-overvågning.
Fitness World har videre oplyst, at der udleveres en vejledning til alle ledere i lokale centre med information om tv-overvågning, hvor det fremgår, man som leder ikke må anvende tv-overvågning til at tjekke, hvorvidt ansatte foretager deres arbejde korrekt. Videre fremgår det, at misbrug af tv-overvågning vil være i strid med Fitness Worlds persondatapolitik og kan udløse en advarsel eller opsigelse som leder. Endvidere fremgår det af vejledningen til centerlederne, at hvis en leder har en legitim grund til at ville se tv-overvågning, skal lederne kontakte HR for en vurdering af sagen.
Det er alene sikkerhedsafdelingen på Fitness Worlds hovedkontor, som har adgang til tv-overvågningsoptagelser, og optagelser udleveres kun til centerledere, hvis der modtages en specifik og skriftlig anmodning herom. Fitness World har i forhold til de konkrete sager ikke kunne konstatere, at der skulle være anmodet om udlevering af optagelser. Det er alene sikkerhedsafdelingen, der har adgang til at downloade materiale fra serverne. Hvis materialet er indhentet i tilfælde af kriminalitet, sendes materialet direkte fra sikkerhedsafdelingen til politiet, og hvis materialet vedrører interne forhold sendes materiale direkte fra sikkerhedsafdelingen til HR.
I forhold til de konkrete episoder, som Datatilsynet har modtaget henvendelser om – hvor en centerleder har gemt tv-overvågningsoptagelser af nogle af centerets medarbejdere – har Fitness World oplyst, at optagelserne stammer fra 2018, og at proceduren for håndtering af tv-overvågning efterfølgende er blevet ændret, således at optagelser fra tv-overvågning ikke længere kan gemmes lokalt eller downloades af en leder. I forhold til de konkrete episoder har der været tale om en fejl fra lederens side, som er påtalt og håndteret internt, og den enkelte leders adgang til at anmode om udlevering af overvågningsmateriale er desuden blevet indskrænket betydeligt.
2.1.2.
Om behandlingssikkerheden har Fitness World oplyst, at alle computere i Fitness World er beskyttet med personligt login og password, og at adgangen til personoplysninger i systemet Exerp og på computerne i øvrigt er isoleret til medarbejdere med et arbejdsbetinget behov for at kunne tilgå disse personoplysninger. Adgangene er tilpasset den enkeltes stilling og med personligt password, og systemerne opererer med automatisk log ud.
Fitness World har oplyst, at personale ved ansættelse instrueres om korrekt brug af computere, herunder låsning af computeren, når de forlader den, og at der foreligger skriftligt materiale om informationssikkerhed i flere forskellige politikker – herunder sikkerhedspolitik i forbindelse med personaleadministration og medarbejderhåndbogen. I on boarding-processen for nye medarbejdere undervises der desuden i et GDPR-modul om bl.a. IT-sikkerhed.
Tidligere indeholdt Fitness Worlds computere en delt centerpostkasse, der var tilgængelig for alle medarbejdere, og en lederpostkasse der kun var forbeholdt lederen af centeret. Dokumenter såsom filer med opsigelser, kontrakter, skriftlige advarsler, lægeerklæringer og tv-overvågning blev altid sendt til lederpostkassen. Login til lederpostkassen skete ifølge det oplyste via særskilt browser og med et personligt password.
I forhold til de henvendelser, som Datatilsynet har modtaget om, at personaleoplysninger konkret ikke er blevet sikret tilstrækkeligt, har Fitness World oplyst, at lederen af centeret desværre havde gemt dokumenter på et forkert drev, hvilket ikke er acceptabelt, og hvilket Fitness World beklager. Der har været tale om en ledelsesfejl, som efterfølgende er blevet rettet, således at det ikke kan ske igen.
I anledning af Datatilsynets henvendelse har alle ledere i centrene nu fået tildelt personlige computere med personligt brugernavn og adgangskode til både computeren og de enkelte systemer, hvor oplysninger om opsigelser, kontrakter, skriftlige advarsler, lægeerklæringer mv. ligger, således at alle oplysninger om medarbejdere nu bliver opbevaret sikkert på en computer tilknyttet en leder og ikke på en fælles computer i centeret.
Oplysninger om medarbejdere har ifølge Fitness World aldrig været frit tilgængelige for medlemmerne, da alle Fitness Worlds systemer kræver medarbejderlogin med password, og personalet ved ansættelse instrueres om korrekt brug af computere, herunder låsning af computeren, når medarbejderen forlader den, og endvidere ”låser” computerne automatisk. Alle medarbejdere, der håndterer oplysninger om en kollega, oplyses desuden om retningslinjerne for dette som beskrevet i Fitness Worlds sikkerhedspolitik i forbindelse med personaleadministration.
Fitness World har desuden peget på, at der arbejdes på yderligere separation af medarbejdernes adgange i forhold til funktion, så virksomheden opnår en bedre fordeling mellem delt adgang og individuel adgang. Endvidere indledes en systematisk gennemgang af centrene med henblik på at kontrollere hvert enkelt centers overholdelse af persondatapolitikken og informationssikkerhedspolitikken. Fitness World arbejder endvidere på at skærpe sikkerhedsforanstaltningerne i forbindelse med medarbejdernes brug af computere, herunder undervisning og påmindelser om korrekt brug af computere. Fitness World vil også udarbejde nyt og mere omfattende undervisningsmateriale både til brug for on boarding af nye medarbejdere samt løbende obligatorisk efteruddannelse.
3. Begrundelse for Datatilsynets afgørelse
3.1. TV-overvågning af medarbejdere – kontrolforanstaltning
Reglerne i databeskyttelsesforordningen og databeskyttelsesloven gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning. Hjemmel til behandlingen vil kunne findes i databeskyttelseslovens § 12, stk. 1, hvis behandling sker som led i en kontrolforanstaltning i henhold til en kollektiv aftale om kontrolforanstaltninger. Er foranstaltningen ikke reguleret i en sådan aftale, vil hjemmel til behandlingen skulle findes i enten databeskyttelsesforordningens artikel 6, stk. 1, litra e (myndighedsudøvelse), eller artikel 6, stk. 1, litra f (interesseafvejningsreglen).
Behandlingen kan endvidere kun finde sted, hvis de grundlæggende behandlingsprincipper i forordningens artikel 5 om bl.a. lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning og opbevaringsbegrænsning er opfyldt. Det indebærer bl.a., at en arbejdsgiver kan foretage tv-overvågning på en arbejdsplads, hvis der er en saglig grund til det, og overvågningen ikke er mere omfattende end nødvendigt.
Herudover følger det af databeskyttelsesforordningens artikel 13 og 14, at dataansvarlige har pligt til at give en række informationer til den registrerede, når der behandles oplysninger om vedkommende. Medarbejderne skal bl.a. modtage oplysning om, at der foretages tv-overvågning, formålet med tv-overvågningen, og om i hvilke tilfælde optagelserne kan blive gennemgået og videregivet til politiet. Informationen skal som udgangspunkt være forudgående, og nye medarbejdere skal have besked i forbindelse med deres ansættelse, eller senest når de begynder at arbejde i tv-overvågede lokaler.
Ved arbejdsgivers behandling af personoplysninger i forbindelse med kontrolforanstaltninger over for de ansatte medfører princippet om gennemsigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra a, at arbejdsgiveren som udgangspunkt skal give de ansatte forudgående information om de anvendte kontrolforanstaltninger, herunder særligt om kontrolformålet.
Datatilsynet lægger på baggrund af sagens oplysninger til grund, at Fitness World behandler oplysninger om virksomhedens medarbejdere i form af tv-overvågning i kriminalitetsforebyggende og -opklarende øjemed samt for at kunne gøre retskrav gældende over for medarbejderne.
Datatilsynet lægger desuden til grund, at Fitness Worlds’ tv-overvågning af medarbejderne ikke sker i henhold til en kollektiv aftale om kontrolforanstaltninger, og at der som det klare udgangspunkt kun behandles oplysninger omfattet af databeskyttelsesforordningens artikel 6.
Datatilsynet finder ikke grundlag for at tilsidesætte Fitness Worlds vurdering af, at behandling af oplysninger om medarbejdere i form af tv-overvågning kan ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Datatilsynet har herved lagt vægt på, at behandlingen foretages med henblik på at forebygge kriminalitet samt for at sikre bevismateriale og dermed oplysninger til brug for politiets efterforskning i tilfælde af kriminalitet, og for at kunne gøre eventuelle retskrav gældende over for medarbejderne.
På baggrund af Fitness Worlds oplysninger i sagen lægger Datatilsynet endvidere til grund, at medarbejdere i forbindelse med deres ansættelse er blevet oplyst om tv-overvågningen og formålene hermed – herunder at formålet bl.a. er at kunne gøre retskrav gældende over for medarbejderne – hvorfor tilsynet ikke finder grundlag for at konkludere, at behandlingen skulle være sket i strid med databeskyttelsesforordningens artikel 14.
3.2. Behandlingssikkerhed
Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
I forhold til behandlingen af oplysninger om Fitness Worlds medlemmer finder Datatilsynet ikke grundlag for konkludere, at Fitness Worlds ikke i tilstrækkelig grad har indført passende sikkerhedsforanstaltninger. Datatilsynet har i den forbindelse lagt vægt på, at medlemmernes oplysninger – ud fra det oplyste – ikke kunne tilgås af medlemmer, da computerne blev ”låst” efter brug.
Det fremgår imidlertid af sagen, at Fitness World har opbevaret oplysninger om en række medarbejdere i form af lægeerklæringer, opsigelser, kontrakter og skriftlige advarsler samt tv-overvågningsbilleder på en fælles computer, hvor oplysningerne har været tilgængelige for andre medarbejdere, fordi de var gemt på et forkert drev.
Det er i den forbindelse Datatilsynets vurdering, at en fælles computer, som benyttes af både medarbejdere til daglig brug, og af ledere til håndtering af oplysninger om opsigelser, kontrakter, skriftlige advarsler, lægeerklæringer m.v., udgør en nærliggende risiko for de registreredes – i dette tilfælde medarbejdernes – rettigheder.
Datatilsynet finder derfor, at der er grundlag for at udtale alvorlig kritik af, at Fitness Worlds behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
I den konkrete sag har Datatilsynet lagt vægt på, at brugen af den fælles computere medførte videregivelse af lægeerklæringer, opsigelser, kontrakter og skriftlige advarsler samt tv-overvågningsbilleder mellem de ansatte.
Datatilsynet har noteret sig, at ledere i Fitness Worlds centre efterfølgende har fået tildelt personlige computere med personligt login til både computeren og de enkelte systemer, og at
Fitness World endvidere har sikret mere uddannelse af medarbejdere, bl.a. en uddannelse, som særligt er rettet mod lokale ledere.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).