Tilbage til oversigt
18. juni 2020

Sommertid er persondatatid

Måske ikke helt, men databeskyttelsesreglerne er kommet for at blive, og i sommermånederne kan der måske findes tid til et kvalitetstjek af virksomhedens arbejde med persondata. Herunder kan du læse om hvordan manglende iagttagelse af indsigtsretten konkret har ført til en politianmeldelse fra Datatilsynet samt en lovændring, der præciserer, at arbejdsgivere i visse tilfælde må sende oplysninger om medarbejderne til Statens Serum Institut. Til sidst giver vi nogle bud på, hvad der kan (gen)overvejes i forbindelse med en gennemgang af virksomhedens persondata.

Datatilsynets politianmeldelse

Datatilsynet har for nyligt politianmeldt og indstillet et vikarbureau til en bøde på 50.000 kr. Baggrunden var, at virksomheden efter modtagelsen af en indsigtsanmodning, valgte at slette visse personoplysninger samtidig med, at man gav afslag på anmodningen. De slettede oplysninger var omfattet af den pågældende registreredes indsigtsanmodning, og Datatilsynet fandt derfor, at sletningen udgjorde en krænkelse af borgerens grundlæggende rettigheder og dermed var i strid med god databehandlingsskik. De snævre betingelser for at undlade at imødekomme en indsigtsanmodning var ikke opfyldt.

Sagen viser, at man som dataansvarlig skal forholde sig til de grundlæggende behandlingsprincipper og de registreredes rettigheder i sammenhæng. Man kan ikke undslå sig en indsigtsanmodning blot ved at skynde sig at slette personoplysninger, når en begæring om indsigt modtages.

Nye regler vedr. videregivelse af personoplysninger til SSI

Også COVID-19 giver anledning til en række persondataretlige overvejelser. Den 14. juni 2020 blev reglerne for behandling af personoplysninger i forbindelse med tilbudt test for COVID-19 som følge af ansættelsesforhold, indrejse i Danmark eller som tilbud til befolkningen ændret. Såfremt Statens Serum Institut anmoder om det, er det præciseret, at arbejdsgivere har mulighed at videregive personoplysninger om deres medarbejdere. Det er dog et krav, at videregivelsen sker på Statens Serum Instituts initiativ. Oplysningerne, der kan anmodes om er oplysninger, der entydigt identificerer medarbejdere, f.eks. CPR-nummer. Inden videregivelse skal arbejdsgiveren sikre at dette er i overensstemmelse med datalovgivningen. Det er derfor vigtigt allerede inden en eventuel anmodning at tage højde for en sådan situation i virksomhedens persondatamateriale, f.eks. ved udarbejdelse af instruks samt ajourføring af fortegnelser, risikovurderinger mv.

Vær opmærksom på at denne ændringsbekendtgørelse ikke vedrører arbejdsgivers tilbud til medarbejderne om COVID-19 test i forbindelse med ansættelsen. Datatilsynet har udtalt at arbejdsgivere kan være berettiget til at registrere helbredsoplysninger, f.eks. at en medarbejder er smittet med COVID-19, så virksomheden har kunnet træffe nødvendige forholdsregler, eller har skullet søge sygedagpengerefusion fra første fraværsdag. Det skal dog overvejes konkret om en registrering er nødvendig eller om formålet kan opnås uden, og virksomheden skal ligeledes tage højde herfor i sit persondatamateriale mv.

Genopfriskning af persondata

Hvis man alligevel kigger virksomhedens persondatamateriale og rutiner efter i sømmene kan det overvejes, om der er flere områder, der trænger til en genopfriskning. Her er et par bud på hvor man kan starte.

  1. Har virksomheden startet nye projekter, fået nye ansvarsområder eller lignende, der har medført, at virksomheden behandler yderligere eller andre persondata end tidligere?
  2. Opfyldes oplysningspligten overfor nyansatte/kunder/medarbejdere mv.?
  3. Er der kommet nye medarbejdere, der skal sættes ind i virksomhedens persondatapolitik eller er det lang tid siden denne er drøftet med virksomhedens medarbejdere?
  4. Efterleves virksomhedens politikker? Særligt virksomheders slettepolitik eller mangel på samme har givet anledningen til en række sager
  5. Er der kommet nye databehandlere til, eller har man afbrudt samarbejdet med en eller flere databehandlere? Har man som dataansvarligt ført tilstrækkeligt tilsyn med sine databehandlere?

Kontakt GLS-A’s sekretariat hvis du har spørgsmål eller behov for konkret rådgivning.

Tilbage til oversigt