Videregivelse af personoplysninger levede op til GDPR

Dato: 22-12-2022

Datatilsynet har truffet afgørelse i en sag, hvor Securitas A/S havde videregivet personoplysninger i forbindelse med en sikkerhedsgodkendelse af en medarbejder.

Journalnummer: 2021-31-5654

Resume

Datatilsynet har truffet afgørelse i en sag, hvor en tidligere vagtmedarbejder klagede over, at Securitas A/S havde videregivet oplysninger om vedkommende til Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste i forbindelse med en sikkerhedsgodkendelse. Datatilsynet fandt i sagen, at der var et lovligt grundlag for den omhandlede videregivelse af oplysninger.

Securitas A/S videregav I forbindelse med ansættelsen oplysninger om vedkommendes jobtitel, fulde navn og personnummer, og oplyste i forbindelse med sagen at det er en forudsætning for ansættelsen hos Securitas A/S, at man som medarbejder bliver sikkerhedsgodkendt.

Datatilsynet lagde i sin afgørelse blandt andet vægt på, at indhentelsen af sikkerhedsgodkendelse var nødvendig for, at Securitas A/S som arbejdsgiver kunne sikre sig, at vedkommende, som arbejdstager, kunne varetage de opgaver, der var nødvendige i forbindelse med ansættelsen.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor [X] (herefter klager) den 20. oktober 2021 har klaget til tilsynet over, at Securitas A/S har videregivet klagers personoplysninger til Forsvarets Efterretningstjeneste (fremover ”FE”) og Politiets Efterretningstjeneste (fremover ”PET”) uden samtykke.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Securitas A/S’ behandling af personoplysninger er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6, stk. 1, litra f, og databeskyttelseslovens[2] § 11, stk. 2.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager har været ansat ved Securitas A/S som vagtmedarbejder.

Ansættelse hos Securitas A/S som vagtmedarbejder er betinget af Rigspolitichefens godkendelse. For medarbejdere, der udfører vagtopgaver tilknyttet kunder med særlige sikkerhedskrav på deres lokationer, er ansættelsen endvidere betinget af registergodkendelse hos PET og sikkerhedsgodkendelse til tjenestebrug, fortrolig og/eller HEM.

Klager blev i forbindelse med sin ansættelse hos Securitas A/S kontaktet af FE, da klager var blevet indstillet til en sikkerhedsgodkendelse, og derfor skulle udfylde en elektronisk formular til brug for sagsbehandlingen.

Klager klagede efterfølgende til Datatilsynet over Securitas A/S’ videregivelse af sine personoplysninger til FE, idet klager anførte, at klager ikke havde givet samtykke hertil.

2.1. Klagers bemærkninger

Klager har overordnet anført, at Securitas A/S har videregivet klagers personoplysninger (jobtitel, fulde navn og personnummer) til FE uden sit samtykke. Klager har oplyst, at klager har navne- og adressebeskyttelse.

Klager har anført, at klager modtog besked fra FE den 22. december 2020 i forbindelse med sikkerhedsgodkendelse.

Klager har endvidere anført, at klager ikke har udfyldt oplysningsskema 2, som Securitas A/S henviser til, og dermed heller ikke samtykkeerklæring, og at klagers personoplysninger derfor er videregivet til FE uden klagers viden.

2.2. Securitas A/S’ bemærkninger

Securitas A/S har overordnet anført, at Securitas A/S’ videregivelse af klagers personoplysninger til Forsvarets Efterretningstjeneste (fremover ”FE”) og Politiets Efterretningstjeneste (fremover ”PET”) var berettiget.

Securitas A/S har endvidere anført, at klager på tidspunktet for videregivelsen af personoplysninger var ansat som vagtmedarbejder ved Securitas A/S. Securitas A/S har anført, at alle vagtmedarbejdere er informeret om kravet om sikkerhedsgodkendelse via kommunikationsportalen.

Herudover har Securitas A/S anført at en medarbejder i forbindelse med HEM-godkendelse udfylder fysiske papirer, som Securitas A/S i en lukket kuvert videregiver til Statens IT i Ballerup, som står for endelig HEM-godkendelse. Securitas A/S har oplyst, at de ikke har kopi af udfyldte papirer.

Der peges i den forbindelse på, at klager har udført oplysningsskema 2 og samtykkeerklæring, da ansøgningen om sikkerhedsgodkendelse ville være blevet afvist, såfremt klager ikke havde udfyldt, underskrevet og samtykket til det.

Endelig har Securitas A/S henvist til, at klager blev sikkerhedsgodkendt den [Y måned 2020].

3. Begrundelse for Datatilsynets afgørelse

Behandling af almindelige personoplysninger kan ske efter databeskyttelsesforordningens artikel 6. Behandling af personnumre kan for private dataansvarlige ske med hjemmel i databeskyttelseslovens § 11, stk. 2.

Datatilsynet bemærker indledningsvis, at samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, kun sjældent vil opfylde gyldighedsbetingelsen om at være afgivet frivilligt grundet det ulige forhold, der typisk består mellem arbejdsgiveren og den ansatte.

Datatilsynet lægger på den baggrund til grund, at det samtykke, som klager og Securitas A/S henviser til, ikke udgør et databeskyttelsesretligt samtykke.

Datatilsynet finder imidlertid, at Securitas A/S i nærværende sag har haft hjemmel til at videregive klagers personoplysninger i medfør af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f, hvorefter behandling af personoplysninger kan ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser går forud herfor.

Datatilsynet har herved lagt vægt på, at indhentelsen af den pågældende sikkerhedsgodkendelse var nødvendig for, at Securitas A/S som arbejdsgiver kunne sikre sig, at klager som arbejdstager kunne varetage de opgaver, som var nødvendige i forbindelse med ansættelsen.

Datatilsynet finder endvidere, at Securitas A/S’ videregivelse af klagers personnummer ligger inden for rammerne af databeskyttelseslovens § 11, stk. 2, nr. 3, hvorefter videregivelse af oplysninger om personnummer bl.a. kan ske med henblik på entydig identifikation.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).