Datatilsynet udtaler kritik af behandling af oplysninger vedr. opsagte medarbejdere
Datatilsynet har for nyligt i to forskellige sager kritiseret henholdsvis en privat virksomhed og en kommune for deres behandling af oplysninger vedr. opsagte medarbejdere. I forhold til virksomheden fandt Tilsynet, at en intern orientering fra virksomheden om baggrunden for en verserende personalesag, der havde skabt uro på arbejdspladsen pga. stor mediedækning, ikke var sket i overensstemmelse med persondatareglerne. I forhold til kommunen påtalte Tilsynet, at kommunen, som havde sendt en partshøring forud for en påtænkt opsigelse til en forkert medarbejder, der på den måde havde fået oplysninger om en kollegas påtænkte opsigelse, var et sikkerhedsbrud der skulle have været anmeldt.
Datatilsynet kritiserer privat arbejdsgiver for behandling af personoplysninger om opsagt medarbejder
En virksomhed havde i november 2018 opsagt en medarbejder, som efterfølgende gennem sin fagforening anlagde sag ved Arbejdsretten med påstand om organisationsfjendtlig adfærd i forbindelse med opsigelsen. Medierne dækkede sagen, dog uden at den opsagte medarbejders navn kom frem. I februar året efter orienterede virksomheden en række ledende medarbejdere om baggrunden for konflikten, da mediedækningen havde udløst en protestdemonstration og i øvrigt skabt uro blandt virksomhedens medarbejdere. I mailen var angivet navn, årsag til afskedigelsen og tidligere ansættelsesforhold samtidig med at medarbejderens fagforeningsmæssigt tilhørsforhold fremgik indirekte, eftersom det i medierne var oplyst hvilken fagforening virksomheden var i konflikt med.
Tilsynet fandt at virksomheden ikke havde haft lovligt grundlag til den interne orientering, der indeholdt både følsomme og almindelige personoplysninger. Virksomheden skulle og kunne have varetaget deres interesser uden at medtage personoplysningerne i mailen, og særligt det forhold at der var tale om følsomme personoplysninger vejede tungt overfor virksomhedens ellers legitime interesse i at forsvare sig internt.
Tilsynet fandt desuden, at virksomheden ikke overfor medarbejderen havde opfyldt oplysningspligten, blandt andet fordi de ikke kunne bevise, at klageren var gjort opmærksom på persondatapolitikken for medarbejderen. Den omstændighed, at politikken blot var tilgængelig på et intranet, var ikke tilstrækkelig, såfremt medarbejderen ikke specifikt var blevet henvist til den.
Læs hele afgørelsen her. Behandling af oplysninger om opsagt medarbejder (Datatilsynet.dk)
Datatilsynet kritiserer kommune som arbejdsgiver for ikke at have anmeldt sikkerhedsbrud
En kommune havde ved en fejl fremsendt en påtænkt opsigelse indeholdende oplysninger om navn, adresse, fagforeningsmæssigt tilhørsforhold og helbredsoplysninger til en anden af kommunens medarbejdere. Først da klager selv rettede henvendelse gav kommunen klager en skriftlig orientering herom. Tilsynet lagde vægt på tre forhold:
Først og fremmest fandt Tilsynet at kommunen ved at sende en påtænkt opsigelse til en forkert medarbejder ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, særligt henset til at der var tale om følsomme oplysninger. Kommunen havde ikke udført passende kvalitetskontrol, men Tilsynet noterede sig at kommunen ville gennemgå arbejdsskrivelser og procedurer med henblik på at sikre tilstrækkelige sikkerhedsforanstaltninger.
Derudover fandt Tilsynet, at der var tale om et sikkerhedsbrud, der skulle have været anmeldt, da bruddet efter Tilsynets opfattelse indebar en risiko for klager; der var særlig risiko for tab af omdømme og fortrolighed særligt henset til, at der var tale om et dokument af fortrolig personalemæssig karakter henset til de helbredsmæssige forhold og fagforeningsmæssige tilhørsforhold, der var angivet.
Endeligt kritiserede Tilsynet kommunen for ikke at have underrettet klager om bruddet uden unødig forsinkelse. Mailen var (fejl)sendt den 15. november 2019, klager havde selv henvendt sig den 17. februar 2020, da hun blev bekendt med fejlen, mens først den 21. februar 2020 blev der sendt en skriftlig underretning til klager.
Læs hele afgørelsen her. Sikkerhedsbrud skulle have være anmeldt til Datatilsynet
Sagerne illustrerer at den dataansvarlige virksomhed skal:
- være særlig opmærksom på behandlingsgrundlaget, når der er tale om følsomme oplysninger, herunder fagforeningsmæssigt tilhørsforhold, da der som udgangspunkt gælder et forbud mod at behandle disse
- sikre sig, at alle medarbejdere specifikt ved, hvor de kan finde virksomhedens persondatapolitik, og dette kan dokumenteres, f.eks. ved henvisning til politikken i en personalehåndbog og at lade medarbejderne kvittere for modtagelsen heraf
- have procedurer, der sikrer, at de organisatoriske sikkerhedsforanstaltninger og interne retningslinjer er tilstrækkelige
- vide at en opsigelse eller informationer om en påtænkt afskedigelse, der kommer i de forkerte hænder ved f.eks. fremsendelse til en uvedkommende kollega, kan udgøre et sikkerhedsbrud, der skal anmeldes til Tilsynet og den registrerede (den medarbejder, som opsigelsen var tiltænkt) uden unødigt ophold
Læs mere om en arbejdsgivers forpligtelser som ansvarlig persondatabehandler her.