Medarbejderes uberettigede håndtering af persondata
I forlængelse af sagen om bortførelsen af Fillipa har det fået ansættelsesretlige konsekvenser for en række medarbejdere i Region Sjælland og Region Hovedstaden, at de uberettiget har skaffet sig adgang til Fillipas patientjournal. Medarbejdere på hospitaler, hos læger mv. har som en del af deres arbejde adgang til registre med følsomme personoplysninger i form af patienternes helbredsoplysninger, og sagen er ikke uden fortilfælde. Der er flere sager, hvor en nysgerrig medarbejder f.eks. har undersøgt en kendt persons eller en tidligere ægtefælles helbredsoplysninger, hvilket er i strid med persondatareglerne, og for den enkelte kan få såvel ansættelsesretlige som strafferetlige konsekvenser.
Det er dog ikke kun offentligt ansatte eller medarbejdere i sundhedssektoren med adgang til særligt følsomme personoplysninger, som kan overtræde persondatareglerne. Det gælder for så vidt alle med adgang til registre med personoplysninger, at man kun må tilgå og behandle de registrerede persondata, hvis det er nødvendigt for arbejdets udførelse. Nysgerrighed og enhver anden uvedkommen privat anvendelse af personoplysningerne vil i princippet udgøre et datasikkerhedsbrud.
Derfor kan HR-medarbejderen, sælgeren, personalelederen og andre med adgang til interne journalsystemer med medarbejdermapper, kundekartoteker osv. også komme på tværs af persondatareglerne. Alt efter karakteren af medarbejderens uberettigede anvendelse af persondata, vil medarbejderen være ansættelsesretligt eller endda strafferetligt ansvarlig for sine handlinger, men selve sikkerhedsbruddet er som udgangspunkt arbejdsgiverens ansvar, da arbejdsgiver er dataansvarlig for de registrerede persondata.
Uanset at man som arbejdsgiver aldrig kan gardere sig fuldstændigt mod medarbejderes abnorme handlinger, er det derfor vigtigt at tage sig sine forholdsregler i form af fysiske, tekniske og organisatoriske sikkerhedsforanstaltninger, der begrænser medarbejdernes mulighed for uberettiget brug eller decideret misbrug af personoplysningerne mest muligt. Det gælder om at begrænse adgangen til persondata til relevante medarbejdere, indrette sine systemer på en måde, som begrænser uautoriseret adgang osv. Derudover handler det om at informere om og undervise medarbejderne, og i et passende omfang føre kontrol med at persondata anvendes korrekt og i overensstemmelse med reglerne.
Kun hvis arbejdsgiver i tilstrækkelig grad har opfyldt sine forpligtelser vil ansvaret alene være medarbejderens.
Læs mere om persondata her.