Databeskyttelse ved ansættelsesforhold

Opbevaring af personoplysninger om ansøgere, som ikke bliver ansat

Virksomheder og offentlige myndigheder rekrutterer løbende nye medarbejdere og indsamler i den forbindelse oplysninger om de personer, der søger stillingerne. Her opstår spørgsmålet – som det også gør i så mange andre sammenhænge – hvornår skal virksomheden eller myndigheden slette oplysningerne om de ansøgere, som ikke blev tilbudt en stilling?

Personoplysninger skal nemlig slettes, når det ikke længere er nødvendigt at opbevare disse længere. Dette følger af det grundlæggende princip om opbevaringsbegrænsning (databeskyttelsesforordningens artikel 5, stk. 1, litra e).

Hverken private virksomheder eller offentlige myndigheder har som udgangspunkt en pligt til at opbevare personoplysninger om ansøgere, der ikke er blevet tilbudt en stilling, i en bestemt periode.

Det kan dog være både hensigtsmæssigt og sagligt, at virksomheder og myndigheder opbevarer oplysningerne i en vis periode efter rekrutteringsforløbet er færdigt. Dette kan fx være hensigtsmæssigt, fordi kandidaten efter afslag kan klage til bl.a. Ligebehandlingsnævnet.

En dataansvarlig skal derfor foretage en vurdering af, hvor længe det er nødvendigt at opbevare oplysningerne. I denne vurdering skal virksomheden eller myndigheden afveje behovet for opbevaring, herunder hvor længe oplysningerne har en retlig eller administrativ betydning, over for princippet om, at oplysningerne ikke må opbevares i længere tid end nødvendigt.

Datatilsynet vil acceptere en opbevaringsperiode på op til 3 år efter endt rekrutteringsproces for oplysninger om ansøgere, der ikke blev tilbudt en stilling. Hvis man som dataansvarlig opbevarer personoplysningerne i mere end 3 år, skal der være helt særlige grunde hertil.

Det er altid vigtigt, at man som dataansvarlig kan forklare, hvorfor man er kommet frem til en bestemt opbevaringsperiode. Datatilsynet anbefaler derfor, at dataansvarlige skriver sine overvejelser ned – særligt, hvis oplysningerne skal opbevares i mere end 3 år, da dette kræver helt særlige grunde. På den måde kan den dataansvarlige bl.a. dokumenterer over for Datatilsynet, hvorfor det er nødvendigt at opbevare oplysningerne.

Nej, det skal en dataansvarlig ikke, hvis det ikke er nødvendigt. Hvis en dataansvarlig fx kun ønsker at opbevare oplysningerne i 6 måneder, og det faktisk slet ikke er nødvendigt at have dem i længere tid, så skal oplysningerne slettes efter 6 måneder.

Den dataansvarlige skal også altid huske at undersøge, om der er særlige regler, som pålægger den dataansvarlige at opbevare oplysningerne i en bestemt periode.

Jo, alle offentlige myndigheder har en journaliseringspligt (offentlighedslovens § 15). Dette betyder, at offentlige myndigheder skal journalisere dokumenter, som myndigheden modtager eller afsender i forbindelse med myndighedens sagsbehandling, hvis dokumentet har betydning for sagen eller sagsbehandlingen i øvrigt.

Journaliseringspligten betyder ikke, at offentlige myndigheder er forpligtet til at opbevare oplysninger om ansøgere, som ikke er blevet tilbudt en stilling i en bestemt periode. Disse oplysninger er ikke bevaringsværdige (i arkivlovgivningens forstand) og kan altså kasseres.

En offentlig myndighed skal derfor også vurdere, hvor længe myndigheden kan opbevare oplysninger om ansøgere, som ikke er blevet tilbudt en stilling.

Flere myndigheder gør brug af et separat rekrutteringssystem til at modtage og behandle ansøgninger og kan dermed styre sletningen af disse oplysninger adskilt fra myndighedens øvrige sagsbehandling. Dette betyder dog ikke, at det er et krav, at myndigheder har et separat system til håndteringen af disse oplysninger, hvis sletningen af oplysningerne kan ske i myndighedens almindelige sagsbehandlingssystem.

Det sker, at en virksomhed eller myndighed vil gemme en ansøgning for senere at kunne tilbyde ansøgeren en anden stilling.

I så fald skal den dataansvarlige have et samtykke fra ansøgeren til at beholde ansøgningen. Den dataansvarlige bør i den forbindelse oplyse om, hvor lang tid ansøgningen vil blive gemt. At ansøgeren har givet sit samtykke betyder ikke, at oplysningerne kan gemmes i en ubegrænset periode. Den dataansvarlige må vurdere, hvor lang en periode det vil være relevant at have ansøgningen. Derudover skal ansøgeren oplyses om, at han eller hun kan trække samtykket tilbage når som helst.

Behandling af personoplysninger i forbindelse med advokatundersøgelser

Indledende overvejelser

Hvis en advokatundersøgelse indebærer behandling af personoplysninger, skal man tænke databeskyttelse ind helt fra starten.

Det er blandt andet vigtigt, at man sørger for at tilrettelægge undersøgelsen, så der ikke indsamles oplysninger om en større personkreds, end hvad der er nødvendigt for at gennemføre undersøgelsen.

Datatilsynet har gennem behandlingen af flere sager om advokatundersøgelser erfaret, at det særligt er identifikation af et behandlingsgrundlag i databeskyttelsesforordningens artikel 6, stk. 1, og en undtagelse i artikel 9, stk. 2, samt opfyldelsen af oplysningspligten efter artikel 14, som har voldt vanskeligheder, og som man derfor bør være særligt opmærksom på.

I teksten omtales arbejdsgivere som den part, der initierer iværksættelsen og gennemførelsen af en undersøgelse af bestemte forhold – eksempelvis om (seksuelt) krænkende adfærd – på en arbejdsplads, og advokatvirksomheder som den part, der af arbejdsgiveren får til opgave at foretage undersøgelsen.

1.1. Artikel 6

Før der indsamles personoplysninger, skal man sikre sig, at der kan findes et grundlag for behandlingen af oplysningerne i databeskyttelsesforordningens artikel 6, stk. 1.

Som to selvstændigt dataansvarlige skal arbejdsgiveren og advokatvirksomheden hver især sikre sig et behandlingsgrundlag.

For offentlige arbejdsgivere vil behandlingsgrundlaget ofte kunne findes i artikel 6, stk. 1, litra e, hvis arbejdsgiveren ønsker at iværksætte og gennemføre en undersøgelse af, om der er begået (seksuelt) krænkende handlinger på arbejdspladsen mv. Bestemmelsen fastsætter, at behandling af personoplysninger kan ske, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

Bestemmelsen kan ikke anvendes ”direkte”, men kræver, at der i EU-ret eller dansk ret er et supplerende retsgrundlag. Det betyder dog ikke, at der kræves en specifik lov til hver enkelt behandling, og det vil dermed være tilstrækkeligt med én lov som grundlag for adskillige behandlingsaktiviteter – i det omfang behandlingen er nødvendig for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse.

Offentlige myndigheders opgaver og aktiviteter vil typisk være reguleret i lovgivningen. Dertil kommer, at arbejdsgivere er pålagt forpligtelser efter forskellig lovgivning – eksempelvis arbejdsmiljøretlige regler, ligebehandlingsloven, forskelsbehandlingsloven og ligestillingsloven – til at sikre, at der ikke finder krænkende handlinger sted i arbejdspladsens regi.

Hvor den offentlige arbejdsgiver er underlagt sådanne forpligtelser, og hvor det er nødvendigt at iværksætte en undersøgelse for at opfylde disse, vil det være muligt at behandle personoplysninger med grundlag i artikel 6, stk. 1, litra e.

Det kan f.eks. være nødvendigt at iværksætte en undersøgelse, hvis man har modtaget henvendelser fra personer, som har været udsat for krænkelser, eller andre, som har viden herom. Derimod vil det i en databeskyttelsesretlig sammenhæng sjældent kunne anses for nødvendigt at iværksætte en undersøgelse, hvis man ikke har konkrete omstændigheder, som giver anledning hertil.

For private arbejdsgivere vil det ofte være artikel 6, stk. 1, litra f, som udgør behandlingsgrundlaget, hvis arbejdsgiveren ønsker at iværksætte og gennemføre en undersøgelse af, hvorvidt der er begået (seksuelt) krænkende handlinger på arbejdspladsen mv. Bestemmelsen angiver, at behandling af personoplysninger kan foretages, hvis behandlingen er nødvendig for, at den dataansvarlige eller tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor.

Også private arbejdsgivere er pålagt forpligtelser efter forskellig lovgivning – eksempelvis arbejdsmiljøretlige regler, ligebehandlingsloven, forskelsbehandlingsloven og ligestillingsloven – til at sikre, at der ikke finder krænkende handlinger sted i arbejdspladsens regi.

Interesseafvejningen i artikel 6, stk. 1, litra f, vil derfor oftest falde ud til den dataansvarliges side, hvis man har modtaget henvendelser fra personer, som har været udsat for krænkelser, eller andre, som har viden herom. Det skyldes, at et opgør med en usund kultur og en granskning af, om der forekommer eller er forekommet (seksuel) chikane og krænkelser, som udgangspunkt vil udgøre en legitim interesse. I den forbindelse vil behandling af personoplysninger ofte være nødvendig for at undersøge (udviklingen af) kulturen og eventuelle krænkelser, og interessen heri vil ofte gå forud for de registreredes interesser.

Artikel 6, stk. 1, litra f, kan derimod ikke udgøre behandlingsgrundlaget, hvis en undersøgelse iværksættes for ”en sikkerheds skyld”.

Den advokatvirksomhed, der indgår aftale om at udføre en opgave for en klient, vil normalt på baggrund af artikel 6, stk. 1, litra f, kunne foretage den behandling af personoplysninger, der er nødvendig for at opfylde aftalen, hvis opgaven hviler på et sagligt grundlag.

Det er forekommet, at nogle offentlige og private arbejdsgivere har gjort gældende, at artikel 6, stk. 1, litra c, udgør grundlaget for behandling af personoplysninger i forbindelse med advokatundersøgelser. Bestemmelsen angiver, at behandling kan ske, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

Den retlige forpligtelse, som artikel 6, stk. 1, litra c, henviser til, bør være klar og præcis, ligesom den bør være forudsigelig for personer, der er omfattet af dens anvendelsesområde. I mange tilfælde vil retlige forpligtelser dog ikke fremstå tilstrækkeligt klare og præcise til, at artikel 6, stk. 1, litra c, kan anvendes som behandlingsgrundlag.

1.2. Artikel 9

Når det er forventeligt, at der vil blive indsamlet oplysninger, der er omfattet af forbuddet i artikel 9, stk. 1, skal man sikre sig, at der kan peges på en af undtagelserne til dette forbud i bestemmelsens stk. 2.

Det skal i den forbindelse bemærkes, at oplysninger om seksuelt krænkende adfærd ikke nødvendigvis udgør oplysninger omfattet af artikel 9. Behandling af oplysninger om krænkelser vil derfor i en lang række tilfælde kunne foretages alene på grundlag af artikel 6. Det kan imidlertid være vanskeligt at vurdere på forhånd, om der f.eks. vil blive indberettet oplysninger omfattet af artikel 9.

For både offentlige og private arbejdsgivere udgør artikel 9, stk. 2, litra f, den i praksis eneste undtagelse, som kan påberåbes, hvis det ønskes at iværksætte og gennemføre en undersøgelse af, om der er begået (seksuelt) krænkende handlinger på arbejdspladsen mv. Bestemmelsen angiver, at oplysninger omfattet af artikel 9, stk. 1 – eksempelvis oplysninger om seksuelle forhold – kan behandles, når behandling er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

Bestemmelsen omhandler såvel behandling med henblik på at fastlægge retskrav mv., der sker i den dataansvarliges interesse, og behandling, der sker i den registreredes interesse. Også behandling, der er nødvendig for, at en tredjemands retskrav kan fastlægges mv., vil skulle anses for omfattet af bestemmelsen. Bestemmelsen kan anvendes, uanset om det er i forbindelse med en retssag eller en administrativ eller udenretlig procedure.

Retskravet vil eksempelvis kunne udspringe af de eventuelle ansættelsesretlige krav eller sanktioner, som registrerede kan blive mødt med i et ansættelsesforhold. Retskravet vil også kunne bestå i krav om godtgørelse eller erstatning fra personer, som er blevet udsat for krænkelser i forbindelse med deres arbejde.

En behandling skal i øvrigt altid være nødvendig. Hvis man eksempelvis har grundlag for at behandle oplysninger om personer, fordi de pågældende har en sådan tilknytning, at et retskrav (i form af eksempelvis en ansættelses- eller kontraktretlig sanktion) kan blive aktuelt, bør undersøgelsen indrettes på en sådan måde, at det ikke risikeres, at der bliver indberettet oplysninger omfattet af artikel 9 om andre personer, f.eks. personer, der ikke længere er ansat eller i øvrigt ikke længere har nogen aktuel tilknytning til arbejdspladsen.

1.3. Oplysninger om (muligt) strafbare forhold

Hvis man har identificeret en undtagelse til forbuddet mod at behandle oplysninger omfattet af databeskyttelsesforordningens artikel 9, kan man allerede af den grund i henhold til databeskyttelseslovens § 8, stk. 5, også behandle oplysninger om strafbare forhold – forudsat det er nødvendigt at behandle sådanne oplysninger. 

Hvis dette ikke er tilfældet, skal man finde anden hjemmel i databeskyttelseslovens § 8.

For offentlige arbejdsgivere gælder, at der for den offentlige forvaltning ikke må behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver, jf. databeskyttelseslovens § 8, stk. 1.

For private – herunder private arbejdsgivere og advokatvirksomheder – gælder, at oplysninger om strafbare forhold må behandles, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede, jf. lovens § 8, stk. 3. Bestemmelsens 2. pkt. indeholder således en skærpet vurdering i forhold til artikel 6, stk. 1, litra f, idet den berettigede interesse klart skal overstige hensynet til den registrerede.

Hvor der – eksempelvis på baggrund af konkrete henvendelser – er en berettiget interesse i nærmere at undersøge arbejdsmiljøet og eksistensen af eventuelle retskrav, kan behandlingen af oplysninger om strafbare forhold ske inden for rammerne af § 8, stk. 3, 2. pkt.

2.1. Opfyldelse af oplysningspligten

Når der indsamles oplysninger om den registrerede hos den pågældende selv, skal man iagttage oplysningspligten efter databeskyttelsesforordningens artikel 13 over for den registrerede. Det vil eksempelvis være tilfældet for de personer, som indberetter hændelser.

Når der indsamles oplysninger om den registrerede hos en anden end den pågældende selv, skal man iagttage oplysningspligten efter artikel 14 over for den registrerede. Eksempelvis kan man have modtaget en indberetning fra en person, som omtaler en anden person. I forhold til denne anden person vil det altså være oplysningspligten efter artikel 14, som gælder.

Enhver oplysning som omhandlet i artikel 13 og 14 skal gives til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, jf. artikel 12, stk. 1. 

Det nærmere indhold af artikel 13 og 14 er omtalt i Datatilsynets vejledning om de registreredes rettigheder, som kan findes her: vejledning (afsnit 3).

Det vil ofte være muligt at indrette samarbejdet mellem arbejdsgiver og advokatvirksomhed således, at advokatvirksomheden opfylder oplysningspligten på vegne af såvel arbejdsgiveren som sig selv. Det stiller dog yderligere krav til særligt oplysningspligtens gennemsigtighed og forståelighed at indrette et samarbejde således.

Det er vigtigt, at de oplysninger, som den registrerede modtager, reelt henvender sig til den registrerede. Det betyder eksempelvis, at de oplysninger, som gives til de personer, der indberetter oplysninger, ikke nødvendigvis vil være de samme oplysninger, som skal gives til de personer, der bliver indberettet om. Det skal altså sikres, at der ikke blot gives generelle oplysninger om undersøgelsens proces.

I mange tilfælde vil advokatundersøgelsens omfang og kompleksitet stille (skærpede) krav til den information, som gives til de personer, som er omfattet af undersøgelsen. 

Navnlig for offentlige arbejdsgivere indebærer det blandt andet, at når behandlingen sker på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra e, skal der oplyses om det supplerende retsgrundlag. Det er altså ikke tilstrækkeligt, at der henvises til de bestemmelser i forordningen, som en behandling baseres på, uden samtidig at angive, hvilke specifikke bestemmelser i anden lovgivning som hjemler behandlingen.  

2.2. Undtagelser

Der gælder nogle undtagelser til oplysningspligten efter artikel 13 og artikel 14, som kan være relevante.

Efter artikel 14, stk. 5, litra b, har den dataansvarlige ikke pligt til at give oplysninger om behandlingen, hvis meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, eller i det omfang oplysningspligten sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling. I sådanne tilfælde træffer den dataansvarlige i stedet passende foranstaltninger for at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

Derudover kan den registreredes ret til at modtage oplysninger efter artikel 13 og artikel 14 helt eller delvist begrænses, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, jf. databeskyttelseslovens § 22, stk. 1.

Tilsvarende kan retten til at modtage oplysninger helt eller delvist begrænses, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, jf. databeskyttelseslovens § 22, stk. 2, herunder navnlig hensynet til de offentlige interesser, som fremgår af stk. 2, nr. 1-10.

Den omstændighed, at der er usikkerhed om oplysningernes rigtighed, udgør ikke en interesse, der skal tages afgørende hensyn til, og som derfor i sig selv kan begrunde, at oplysningspligten helt eller delvis undlades efter § 22.

Hensynet til at hindre, at den registrerede kan påvirke indberetninger, udgør dog en interesse, der efter omstændighederne kan tages afgørende hensyn til, og som derfor konkret kan begrunde, at opfyldelse af oplysningspligten undlades (i et vist tidsrum).

Hvis man – på grund af afgørende hensyn til private eller offentlige interesser – i første omgang undlader at opfylde oplysningspligten, skal man iagttage denne (helt eller delvis), når forudsætningerne for at undlade at opfylde oplysningspligten er (helt eller delvis) bortfaldet.

Overvågning på arbejdspladsen

En arbejdsgiveren må under visse betingelser gerne gennemføre kontrolforanstaltninger i relation til medarbejderne, herunder bl.a. registrere medarbejdernes hjemmesidebesøg, sikkerhedskopiere og gennemgå medarbejdernes e-mails, registrere de ansattes færden via GPS mv.

Sådanne kontrolforanstaltninger vil ofte udgøre en behandling af personoplysninger om medarbejderne, og som følge heraf, skal foranstaltningerne gennemføres i overensstemmelse med databeskyttelsesreglerne.

På baggrund af Datatilsynets praksis har tilsynet fastsat en række retningslinjer for arbejdsgiverens gennemførsel af sådanne kontrolforanstaltninger.

Arbejdsgiveren må under visse betingelser gerne registrere medarbejdernes hjemmesidebesøg og gennemgå loggen ved mistanke om misbrug. Det kræver dog, at følgende betingelser er opfyldt:

  • Registreringen af internetbrugen og gennemgangen af loggen skal være nødvendig for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til de ansatte må ikke overstige disse interesser. Det kan fx være af tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet.
  • Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom.

Arbejdsgiveren må også under visse betingelser gerne sikkerhedskopiere og gennemgå medarbejdernes e-mails ved mistanke om misbrug. Det kræver dog, at følgende betingelser er opfyldt:

  • Sikkerhedskopieringen af e-mails og en eventuel gennemgang af en medarbejders e-mails må kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. Det kan fx være af hensyn til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug.
  • Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-mails.
  • Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren ikke læse medarbejderens private e-mails.

Når det kommer til gennemgang af fratrådte medarbejderes e-mails, har Datatilsynet fastlagt følgende retningslinjer, som lægges til grund for tilsynets vurdering af dette spørgsmål, medmindre andet er aftalt mellem arbejdsgiveren og medarbejderen:

  • Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mail-konto på arbejdspladsen, må e-mail-kontoen kun holdes aktiv i en periode, der er så kort som muligt. 
  • Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. 
  • Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mail-konto, sættes et auto-svar på e-mail-kontoen med besked om medarbejderens fratræden og eventuel anden relevant information.
  • Den aktive e-mail-konto benyttes kun til modtagelse af e-mail – hvis der modtages privat e-mail, kan e-mail-kontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private e-mail-konto.
  • Oplysninger om den personlige e-mail-adresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder. 
  • Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e-mail-konto. 
  • Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt mv., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders e-mail-konto åben.
  • Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes e-mail-konti og informere medarbejderne herom.

Fratrådte medarbejderes private e-mails
Persondataloven giver ikke en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed mv. Bedømmelsen af, om arbejdsgiverens eventuelle læsning af den ansattes private e-mails er i strid med straffelovens regler om brevhemmelighed mv., henhører ikke under Datatilsynets kompetence, men under anklagemyndigheden og domstolene.

Det kan også være lovligt for arbejdsgiveren at registrere de ansattes færden via GPS.Det vil dog som udgangspunkt indebære en elektronisk behandling af personoplysninger, og arbejdsgiveren skal derfor overholde persondataloven.

Det betyder bl.a., at arbejdsgiveren skal overveje, hvorvidt registreringen lever op til persondatalovens krav om proportionalitet, og hvorvidt arbejdsgiveren har et grundlag i persondataloven for at registrere de pågældende oplysninger.