Intern undersøgelse af sexchikanesag var i strid med persondatareglerne
En virksomhed iværksatte en undersøgelse af den ”usunde kultur” på arbejdspladsen og sager om krænkende handlinger. I forbindelse med undersøgelsen, mente en tidligere medarbejder, at behandlingen af hans oplysninger, herunder oplysninger om hans seksuelle forhold, var sket i strid med persondatareglerne. Datatilsynet var enig i, at undersøgelsen delvist havde overtrådt reglerne og udtalte alvorlig kritik.
En virksomhed besluttede at iværksætte en todelt undersøgelse via et advokatfirma for at afdække arbejdspladsens usunde kultur og potentielle konkrete sager om krænkende handlinger. Undersøgelsen var tilrettelagt sådan, at alle medarbejdere – også tidligere medarbejdere – kunne foretage indberetninger om konkrete og generelle oplevelser.
I den forbindelse blev der indberettet to hændelser fra 2001 og 2003. Den ene indberetning indeholdt blandt andet oplysninger om en medarbejders seksuelle forhold. Både under og efter undersøgelsen fik medarbejderen herefter en række oplysninger om behandlingsaktiviteterne, herunder konklusionen om, at virksomheden grundet handlingerne ikke længere anså ham for værdig. Et par måneder efter, klagede den tidligere medarbejder til Datatilsynet over den måde, undersøgelsen var foregået på.
Mange virksomheder risikerer fra tid til anden eller løbende at skulle udføre interne undersøgelser af forhold på arbejdspladsen. Datatilsynets nye afgørelse er derfor en god vejledning til, hvordan virksomheder bedre kan forberede sådanne undersøgelser, så de er i overensstemmelse med persondatareglerne.
Især behandlingsgrundlaget og oplysningspligten er faldgruber
Datatilsynet foretog en omfattende vurdering af den interne undersøgelse. Undersøgelsen indeholdt nemlig en række behandlingsaktiviteter med forskellige behandlingsgrundlag og datasubjekter.
Én af de ting, som Datarådet i den forbindelse navnlig fremhævede var, at virksomheden og advokatfirmaet ikke havde opfyldt den oplysningspligt, der gælder under reglerne. Virksomheder kan derfor fremadrettet især være opmærksomme på, at der ved interne undersøgelser helt overordnet skal være fokus på:
- At den tredjepart, der faciliterer en undersøgelse, kan opfylde oplysningspligten for virksomheden
- At samarbejdet skærper kravene til oplysningspligtens gennemsigtighed og forståelighed
- At oplysningerne skal være specifikke og ikke kan opfyldes via mere generelle dokumenter
- At undersøgelsens omfang, indgribende karakter og oplysningernes alder skærper kravene
I forhold til de anvendte behandlingsgrundlag, fremhævede Datarådet også andre konklusioner, som virksomheder også med fordel kan have fokus på, hvis der skal foretages en undersøgelse af, om der er begået eller har været begået sexchikane på arbejdspladsen:
- At legitim interesse godt kan bruges som behandlingsgrundlag for de almindelige oplysninger
- At fastlæggelse af et retskrav godt kan være behandlingsgrundlaget for følsomme oplysninger
- At generelle henvisninger til ”lovgivningen” ikke er nok til at vise at en retlig forpligtelse er grundlag
Derudover fremhævede Datarådet mere generelt i øvrigt:
- At virksomheder generelt godt kan indsamle oplysninger fra en bred personkreds
IUNO mener
Brugen af interne undersøgelser er kun steget som følge af #MeToo-bevægelsen. Undersøgelserne er praktiske, fordi de både kan give indsigt i en usund arbejdspladskultur samt hjælpe med at afdække konkrete krænkende handlinger. Undersøgelserne giver dog samtidig anledning til en række problemstillinger, der strækker sig bredt udover selve persondatareglerne, som virksomheder også vil skulle forberede sig på. Vi har tidligere skrevet mere om det, her.
IUNO anbefaler, at virksomheder har klare planer på plads for, hvordan interne undersøgelser skal gennemføres for at overholde alle de forskellige krav, der gælder på tværs af lovgivningen. Virksomheder bør endelig være opmærksomme på, at der i forhold til oplysningspligten er forskel på, om der er tale om en indberetning gennem en whistleblowerordning eller ej. Det har vi skrevet mere om her.
[Datatilsynets afgørelse i journal nr. 2021-31-4751 af 3. februar 2022]
En virksomhed besluttede at iværksætte en todelt undersøgelse via et advokatfirma for at afdække arbejdspladsens usunde kultur og potentielle konkrete sager om krænkende handlinger. Undersøgelsen var tilrettelagt sådan, at alle medarbejdere – også tidligere medarbejdere – kunne foretage indberetninger om konkrete og generelle oplevelser.
I den forbindelse blev der indberettet to hændelser fra 2001 og 2003. Den ene indberetning indeholdt blandt andet oplysninger om en medarbejders seksuelle forhold. Både under og efter undersøgelsen fik medarbejderen herefter en række oplysninger om behandlingsaktiviteterne, herunder konklusionen om, at virksomheden grundet handlingerne ikke længere anså ham for værdig. Et par måneder efter, klagede den tidligere medarbejder til Datatilsynet over den måde, undersøgelsen var foregået på.
Mange virksomheder risikerer fra tid til anden eller løbende at skulle udføre interne undersøgelser af forhold på arbejdspladsen. Datatilsynets nye afgørelse er derfor en god vejledning til, hvordan virksomheder bedre kan forberede sådanne undersøgelser, så de er i overensstemmelse med persondatareglerne.
Især behandlingsgrundlaget og oplysningspligten er faldgruber
Datatilsynet foretog en omfattende vurdering af den interne undersøgelse. Undersøgelsen indeholdt nemlig en række behandlingsaktiviteter med forskellige behandlingsgrundlag og datasubjekter.
Én af de ting, som Datarådet i den forbindelse navnlig fremhævede var, at virksomheden og advokatfirmaet ikke havde opfyldt den oplysningspligt, der gælder under reglerne. Virksomheder kan derfor fremadrettet især være opmærksomme på, at der ved interne undersøgelser helt overordnet skal være fokus på:
- At den tredjepart, der faciliterer en undersøgelse, kan opfylde oplysningspligten for virksomheden
- At samarbejdet skærper kravene til oplysningspligtens gennemsigtighed og forståelighed
- At oplysningerne skal være specifikke og ikke kan opfyldes via mere generelle dokumenter
- At undersøgelsens omfang, indgribende karakter og oplysningernes alder skærper kravene
I forhold til de anvendte behandlingsgrundlag, fremhævede Datarådet også andre konklusioner, som virksomheder også med fordel kan have fokus på, hvis der skal foretages en undersøgelse af, om der er begået eller har været begået sexchikane på arbejdspladsen:
- At legitim interesse godt kan bruges som behandlingsgrundlag for de almindelige oplysninger
- At fastlæggelse af et retskrav godt kan være behandlingsgrundlaget for følsomme oplysninger
- At generelle henvisninger til ”lovgivningen” ikke er nok til at vise at en retlig forpligtelse er grundlag
Derudover fremhævede Datarådet mere generelt i øvrigt:
- At virksomheder generelt godt kan indsamle oplysninger fra en bred personkreds
IUNO mener
Brugen af interne undersøgelser er kun steget som følge af #MeToo-bevægelsen. Undersøgelserne er praktiske, fordi de både kan give indsigt i en usund arbejdspladskultur samt hjælpe med at afdække konkrete krænkende handlinger. Undersøgelserne giver dog samtidig anledning til en række problemstillinger, der strækker sig bredt udover selve persondatareglerne, som virksomheder også vil skulle forberede sig på. Vi har tidligere skrevet mere om det, her.
IUNO anbefaler, at virksomheder har klare planer på plads for, hvordan interne undersøgelser skal gennemføres for at overholde alle de forskellige krav, der gælder på tværs af lovgivningen. Virksomheder bør endelig være opmærksomme på, at der i forhold til oplysningspligten er forskel på, om der er tale om en indberetning gennem en whistleblowerordning eller ej. Det har vi skrevet mere om her.
[Datatilsynets afgørelse i journal nr. 2021-31-4751 af 3. februar 2022]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet