Journalnummer: 2009-321-0202
1. Ved e-post af 2. juni 2009 rettede Økonomistyrelsen henvendelse til Datatilsynet med en anmodning om, at tilsynet meddeler dispensation fra kravet om kryptering af korrespondance fra et rekrutteringssystem til ansøger via e-post over det åbne internet.
Det fremgår af Økonomistyrelsens beskrivelse af rekrutteringssystemet, at det skal understøtte hele rekrutteringsprocessen, dvs. fra planlægning og annoncering over udvælgelse og samtale til ansættelse. Relevante HR-medarbejdere, ledere og øvrige brugere skal løbende kunne følge rekrutteringsprocessen i systemet, og ansøgere skal selv kunne registrere deres stamdata, uploade relevante filer mv.
Rekrutteringssystemet vil indebære en tilslutning til en portal / hjemmeside, og enhver behandling af personoplysninger i den forbindelse, herunder up- og download til og fra systemet, vil ske under iagttagelse af de fornødne sikkerhedsforanstaltninger, herunder kryptering af transmission af oplysninger med HTTPS/SSL.
Desuden vil rekrutteringssystemet indebære fremsendelse af e-mails (standardmeddelelser) fra systemet til ansøger. Økonomistyrelsens anmodning om dispensation fra kravet om kryptering vedrører alene denne e-mailkorrespondance.
2. Økonomistyrelsen har bl.a. anført, at der i en ansøgningssituation ikke bør være forskel på de krav, der stilles til henholdsvis en offentlig og privat arbejdsgiver. Den offentlige arbejdsgiver udøver i ansættelsessituationen ikke traditionel myndighedsudøvelse, hvilket blandt andet kommer til udtryk ved, at ansøger har valgfrihed med hensyn til at søge job hos den offentlige arbejdsgiver.
Desuden har styrelsen anført, at krav til kryptering af e-mail eller privat kryptering (f.eks. af vedhæftede filer) efter styrelsens vurdering er forbundet med en sandsynlig teknisk udelukkelse af ansøgere, hvilket ville være en uønsket begrænsning i den offentlige arbejdsgivers mulighed for at gennemføre rekruttering på konkurrencemæssigt lige vilkår.
Økonomistyrelsen har oplyst, at en ansøger, der ikke ønsker at korrespondere via e-mail med rekrutteringssystemet, kan vælge at sende ansøgningen uden om systemet.
3. Sagen er blevet drøftet på et møde i Datarådet, og Datatilsynet skal herefter udtale følgende:
3.1. Det er Datatilsynets opfattelse, at oplysningen om, at man har ansøgt om en stilling hos en offentlig myndighed, er af fortrolig karakter.
Det er endvidere Datatilsynets opfattelse, at der generelt er behov for at træffe sikkerhedsforanstaltninger, når offentlige myndigheder sender (transmitterer) oplysninger af fortrolig karakter over det åbne internet.
Tilsynet henviser herved til § 14 i Justitsministeriets bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, hvorefter der for den offentlige forvaltning kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. De nærmere krav er omtalt i Datatilsynets sikkerhedsvejledning.
Datatilsynet kan endvidere henvise til foranstaltningerne i forbindelse med eDag2-projektet, hvorefter alle borgere og virksomheder skal have tilbud om at kommunikere digitalt og sikkert med offentlige myndigheder.
3.2. Det er Datatilsynets opfattelse, at mange borgere vil benytte og sætte pris på muligheden for at kommunikere elektronisk med offentlige myndigheder i forbindelse med en stillingsansøgning.
Det er i dag teknologisk muligt at sende og modtage krypterede e-postmeddelelser. Det må imidlertid erkendes, at afsendelse og modtagelse af krypterede e-postmeddelelser endnu ikke er særlig udbredt i befolkningen, hvilket bl.a. kan skyldes, at de aktuelle muligheder for kryptering af mange opleves som mindre brugervenlige.
Datatilsynet finder undtagelsesvist at kunne acceptere, at offentlige myndigheder fremsender ukrypterede standardmeddelelser som de i sagen omhandlede i forbindelse med stillingsansøgninger.
Datatilsynet har herved lagt vægt på karakteren af oplysninger i de fremsendte eksempler på standardmeddelelser, nemlig e-mails vedrørende kvittering for modtagelse af en ansøgning, indkaldelse til jobsamtale, optagelse i emnebank samt afslag på en ansøgning, der alene indeholder en standardiseret begrundelse for, hvad der er lagt vægt på ved besættelse af stillingen.
Desuden har Datatilsynet lagt vægt på, at behandlingen af en stillingsansøgning efter tilsynets opfattelse adskiller sig fra andre områder for forvaltningsvirksomhed, bl.a. derved at en stillingsansøger ikke står i samme afhængighedsforhold til ansættelsesmyndigheden som f.eks. borgere, der ansøger en offentlig myndighed om en tilladelse, ydelse el. lign.
Datatilsynet har noteret sig, at de fremsendte eksempler på standardmeddelelser ikke – ud over oplysningen om, at man har søgt en stilling og eventuelt fået afslag – indeholder fortrolige oplysninger om ansøgeren, f.eks. personnummer, eller vurdering af pågældende.
Endvidere har Datatilsynet noteret sig og lagt vægt på det oplyste om, at en ansøger, der ikke ønsker at korrespondere via e-mail med rekrutteringssystemet, kan vælge at sende ansøgningen uden om systemet.
Endelig skal Datatilsynet understrege, at undtagelsen fra kravet om kryptering alene vedrører e-mails til ansøgere. Der skal således fortsat være de fornødne sikkerhedsforanstaltninger, herunder kryptering, når f.eks. ansøgere indsender en ansøgning via en hjemmeside, eller når autoriserede medarbejdere hos en offentlig myndighed modtager oplysninger indsendt via et rekrutteringssystem. Der henvises herved til sikkerhedsbekendtgørelsen og den tilhørende vejledning om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3.3. Afslutningsvis bemærkes, at hvis der i praksis skulle vise sig konkrete uhensigtsmæssigheder ved den omhandlede løsning set i forhold til de beskyttelseshensyn, persondataloven varetager, vil Datatilsynet tage sagen op til fornyet overvejelse.