Persondata

Bliv klar til den nye persondataforordning – Del 3: Medarbejderes ret til indsigt

11. februar 2018

Persondataforordningen, der træder i kraft til maj medfører en række ændringer og stiller en del nye krav til virksomhederne. I dette nyhedsbrev sætter vi fokus på medarbejderes ret til indsigt.

En virksomhed registrerer ofte en lang række oplysninger om sine medarbejdere. Det gælder både generelle HR-relaterede oplysninger som navn, adresse og kontonummer, men også bevægelsesmønstre, hvis arbejdsbilen har monteret GPS, og arbejdsmails. Den nye persondataforordning sætter fokus på de registreredes rettigheder, herunder retten til at få indsigt i de personoplysninger, som virksomheden har registreret. Virksomheder skal derfor i højere grad være opmærksom på denne ret.

Hvad har medarbejderen ret til indsigt i?

En medarbejder har ret til at få af- eller bekræftet, om virksomheden har registreret oplysninger om vedkommende. I bekræftende fald, har medarbejderen også ret til at få adgang til alle disse oplysninger.

Der er ikke nogle krav til, hvordan medarbejderen skal have adgang til oplysningerne. I nogle tilfælde vil det være mest hensigtsmæssigt at udlevere en kopi, mens det i andre tilfælde – for eksempel på grund af mængden af information – vil være mere oplagt at bede medarbejderen komme ind på virksomheden og gennemgå oplysningerne eller bede medarbejderen præcisere, hvilke oplysninger eller behandling, som medarbejderen ønsker at få indsigt i. Virksomheden kan dog – bortset fra de begrænsninger der nævnes nedenfor – aldrig forhindre medarbejderen i at få indsigt i alle sine personoplysninger. Såfremt medarbejderen elektronisk har bedt om indsigt, skal oplysningerne også udleveres elektronisk.

EU-domstolen har tidligere fastslået, at det var tilstrækkeligt at udlevere en let forståelig oversigt over de registrerede oplysninger, som gør det muligt at kontrollere, om oplysningerne er rigtige, om de behandles lovligt, og som gør det muligt for den registrerede at gøre sine databeskyttelsesrettigheder gældende. Om dette også vil være tilstrækkeligt efter de nye regler, ved vi endnu ikke.

Hvornår kan virksomheden afvise anmodninger?

Der er i de nye regler fastsat visse undtagelser til indsigtsretten, som giver virksomheden mulighed for at afvise en medarbejders krav om indsigt.

En medarbejder kan ikke kræve oplysninger udleveret, hvis det krænker andres rettigheder eller frihedsrettigheder. Det kan for eksempel være en tavshedspligt, retten til privatliv eller forretningshemmeligheder. Virksomheden skal her afveje hensynet til indsigtsretten over for hensynet til andres modsatrettede rettigheder. I stedet for en afvisning bør virksomheden så vidt muligt fjerne de oplysninger, der kan krænke andres rettigheder, og på den måde alligevel give medarbejderen indsigt i sine oplysninger.

En medarbejders anmodning kan muligvis også afvises, hvis det vil forhindre en efterforskning eller retsforfølgelse af et strafbart forhold. Det kommer an på en konkret afvejning af, om hensynet til medarbejderens ret til indsigt skal vægtes tungere, en hensynet til efterforskningen.

En medarbejder har dog ikke krav på at få oplyst, hvilke oplysninger der tidligere har været behandlet. Man har altså ikke krav på at få oplyst, hvilke oplysninger der har været opbevaret, men som nu er slettet.

Endeligt har en medarbejder ikke ret til at få indsigt i oplysninger, hvis anmodningen er grundløs, overdreven eller fremsat gentagende gange. Der skal dog nok meget til, før denne grund kan anvendes, og reglerne indeholder en mulighed for i stedet at opkræve et rimeligt administrationsgebyr.

Hvad betyder alt dette i praksis?

For sædvanlige HR-oplysninger som navn, adresse, kontonummer, cpr.nr. og lønsedler, betyder reglerne i praksis, at virksomheder som udgangspunkt altid skal give indsigt i og udlevere disse.

Ligger virksomheden inde med GPS-logs, der viser, hvor medarbejdere har befundet sig på et givent tidspunkt, kan virksomhederne muligvis afvise at udlevere disse logs, da de kan afsløre forretningshemmeligheder såsom adresser på kunder eller potentielle kunder, og muligvis også bruges til at kortlægge virksomhedens salgsstrategi.

Det samme vil gælde i forhold til e-mails og oplysninger i en arbejdskalender. Begge kan indeholde oplysninger, der udgør forretningshemmeligheder, for eksempel kontaktoplysninger på kunder, priser på produkter, tegninger og strategiplaner. Såfremt dette er tilfældet, har medarbejderen ikke ret til at få oplysningerne udleveret.

Hvis virksomheden afviser en anmodning, er det vigtigt, at den sikrer sig beviser for, at de faktisk har foretaget en vurdering af, om det er muligt at udlevere oplysningerne. For eksempel i form af et memo, der gemmes på sagen, eller ved at beskrive vurderingen af afslaget.

IUNO mener

Der er med de nye databeskyttelsesregler kommet væsentligt større fokus på den registreredes datarettigheder, men det er endnu uvist, hvilken betydning det vil få i praksis.

Det kan blive en stor administrativ byrde for virksomheder, hvis de skal til at give en masse (tidligere) medarbejdere adgang til alle oplysninger, der er blevet registrerert i virksomheden i løbet af et ansættelsesforhold. Virksomheder kan lette denne byrde ved blandt andet at give elektronisk fjernadgang til en lang række af disse oplysninger, hvor det kan ske på sikker vis.

For at mindske den administrative byrde, anbefaler IUNO, at virksomheder implementerer effektive sletterutiner, der sikrer, at medarbejderes e-mails, kalenderoplysninger, logs og andre personoplysninger bliver slettet med jævne mellemrum og senest, når medarbejderne forlader virksomheden. Dette vil også være i overensstemmelse med princippet om dataminimering, der også er en helt central del af de nye regler.

[Databeskyttelsesforordningen art. 12 og 15 samt præambel 63]

En virksomhed registrerer ofte en lang række oplysninger om sine medarbejdere. Det gælder både generelle HR-relaterede oplysninger som navn, adresse og kontonummer, men også bevægelsesmønstre, hvis arbejdsbilen har monteret GPS, og arbejdsmails. Den nye persondataforordning sætter fokus på de registreredes rettigheder, herunder retten til at få indsigt i de personoplysninger, som virksomheden har registreret. Virksomheder skal derfor i højere grad være opmærksom på denne ret.

Hvad har medarbejderen ret til indsigt i?

En medarbejder har ret til at få af- eller bekræftet, om virksomheden har registreret oplysninger om vedkommende. I bekræftende fald, har medarbejderen også ret til at få adgang til alle disse oplysninger.

Der er ikke nogle krav til, hvordan medarbejderen skal have adgang til oplysningerne. I nogle tilfælde vil det være mest hensigtsmæssigt at udlevere en kopi, mens det i andre tilfælde – for eksempel på grund af mængden af information – vil være mere oplagt at bede medarbejderen komme ind på virksomheden og gennemgå oplysningerne eller bede medarbejderen præcisere, hvilke oplysninger eller behandling, som medarbejderen ønsker at få indsigt i. Virksomheden kan dog – bortset fra de begrænsninger der nævnes nedenfor – aldrig forhindre medarbejderen i at få indsigt i alle sine personoplysninger. Såfremt medarbejderen elektronisk har bedt om indsigt, skal oplysningerne også udleveres elektronisk.

EU-domstolen har tidligere fastslået, at det var tilstrækkeligt at udlevere en let forståelig oversigt over de registrerede oplysninger, som gør det muligt at kontrollere, om oplysningerne er rigtige, om de behandles lovligt, og som gør det muligt for den registrerede at gøre sine databeskyttelsesrettigheder gældende. Om dette også vil være tilstrækkeligt efter de nye regler, ved vi endnu ikke.

Hvornår kan virksomheden afvise anmodninger?

Der er i de nye regler fastsat visse undtagelser til indsigtsretten, som giver virksomheden mulighed for at afvise en medarbejders krav om indsigt.

En medarbejder kan ikke kræve oplysninger udleveret, hvis det krænker andres rettigheder eller frihedsrettigheder. Det kan for eksempel være en tavshedspligt, retten til privatliv eller forretningshemmeligheder. Virksomheden skal her afveje hensynet til indsigtsretten over for hensynet til andres modsatrettede rettigheder. I stedet for en afvisning bør virksomheden så vidt muligt fjerne de oplysninger, der kan krænke andres rettigheder, og på den måde alligevel give medarbejderen indsigt i sine oplysninger.

En medarbejders anmodning kan muligvis også afvises, hvis det vil forhindre en efterforskning eller retsforfølgelse af et strafbart forhold. Det kommer an på en konkret afvejning af, om hensynet til medarbejderens ret til indsigt skal vægtes tungere, en hensynet til efterforskningen.

En medarbejder har dog ikke krav på at få oplyst, hvilke oplysninger der tidligere har været behandlet. Man har altså ikke krav på at få oplyst, hvilke oplysninger der har været opbevaret, men som nu er slettet.

Endeligt har en medarbejder ikke ret til at få indsigt i oplysninger, hvis anmodningen er grundløs, overdreven eller fremsat gentagende gange. Der skal dog nok meget til, før denne grund kan anvendes, og reglerne indeholder en mulighed for i stedet at opkræve et rimeligt administrationsgebyr.

Hvad betyder alt dette i praksis?

For sædvanlige HR-oplysninger som navn, adresse, kontonummer, cpr.nr. og lønsedler, betyder reglerne i praksis, at virksomheder som udgangspunkt altid skal give indsigt i og udlevere disse.

Ligger virksomheden inde med GPS-logs, der viser, hvor medarbejdere har befundet sig på et givent tidspunkt, kan virksomhederne muligvis afvise at udlevere disse logs, da de kan afsløre forretningshemmeligheder såsom adresser på kunder eller potentielle kunder, og muligvis også bruges til at kortlægge virksomhedens salgsstrategi.

Det samme vil gælde i forhold til e-mails og oplysninger i en arbejdskalender. Begge kan indeholde oplysninger, der udgør forretningshemmeligheder, for eksempel kontaktoplysninger på kunder, priser på produkter, tegninger og strategiplaner. Såfremt dette er tilfældet, har medarbejderen ikke ret til at få oplysningerne udleveret.

Hvis virksomheden afviser en anmodning, er det vigtigt, at den sikrer sig beviser for, at de faktisk har foretaget en vurdering af, om det er muligt at udlevere oplysningerne. For eksempel i form af et memo, der gemmes på sagen, eller ved at beskrive vurderingen af afslaget.

IUNO mener

Der er med de nye databeskyttelsesregler kommet væsentligt større fokus på den registreredes datarettigheder, men det er endnu uvist, hvilken betydning det vil få i praksis.

Det kan blive en stor administrativ byrde for virksomheder, hvis de skal til at give en masse (tidligere) medarbejdere adgang til alle oplysninger, der er blevet registrerert i virksomheden i løbet af et ansættelsesforhold. Virksomheder kan lette denne byrde ved blandt andet at give elektronisk fjernadgang til en lang række af disse oplysninger, hvor det kan ske på sikker vis.

For at mindske den administrative byrde, anbefaler IUNO, at virksomheder implementerer effektive sletterutiner, der sikrer, at medarbejderes e-mails, kalenderoplysninger, logs og andre personoplysninger bliver slettet med jævne mellemrum og senest, når medarbejderne forlader virksomheden. Dette vil også være i overensstemmelse med princippet om dataminimering, der også er en helt central del af de nye regler.

[Databeskyttelsesforordningen art. 12 og 15 samt præambel 63]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Lignende nyt

logo
Persondata

13. december 2018

Databeskyttelse og hjemmearbejde

logo
Persondata

10. december 2018

Har du orienteret alle på virksomhedens medieliste?

logo
Persondata

6. december 2018

Ny vejledning om databeskyttelse i ansættelsesforhold

logo
HR-jura Persondata

19. november 2018

Persondataforordningen: Skal mindre virksomheder også føre fortegnelser?

logo
Persondata

7. september 2018

Oplysningspligt ved behandling af personoplysninger

logo
HR-jura Persondata

17. august 2018

Ingen godtgørelse til salgschef for GPS-overvågning