Må virksomheder overvåge, om medarbejderne overholder persondatareglerne?
Virksomheder der behandler persondata skal have tilstrækkelige sikkerhedsforanstaltninger på plads for at overholde persondatareglerne. Nogle virksomheder og kommuner har taget pligten meget alvorligt og kontrolleret medarbejderne via skjult overvågning. Men hvor langt må virksomheder gå for at sikre overholdelse af persondatareglerne, uden at de krænker medarbejdernes rettigheder?
Selvom de fleste virksomheder har udarbejdet omfattende politikker og procedurer for at sikre, at de overholder persondatareglerne, er det ikke tilstrækkeligt, hvis medarbejderne ikke overholder reglerne i det daglige.
Virksomheder kan sikre, at de overholder reglerne ved for eksempel at udføre stikprøvekontroller, teste eller overvåge medarbejderens håndtering af persondata i hverdagen. Medarbejdernes arbejdsredskaber som telefon, tablets, GPS’er og computere gør det også muligt at foretage overvågning på mange forskellige måder. Virksomheder skal dog i alle tilfælde være opmærksomme på både persondata- og ansættelsesretlige regler.
Undercover overvågning af medarbejdernes behandling
Et par nyere sager illustrerer, at det er vigtigt at huske medarbejdernes rettigheder i forbindelse med overvågningen. En kommune fik for eksempel et sikkerhedsfirma til at gå undercover i et forsøg på at få en folkeskoles medarbejdere til at udlevere persondata. En anden kommune hyrede samme sikkerhedsfirma til at teste kommunens sikkerhedsforanstaltninger. Kontrollen skete blandt andet med skjult kamera og i et forsøg på at få adgang til persondata ved at sætte USB-stiks i computere på stedet.
I begge sager var medarbejderne ikke blevet oplyst om overvågningen, der både var i strid med persondatereglerne og ansættelsesretten.
Må virksomheder bruge overvågning til kontrol?
Muligheden for at indføre kontrolforanstaltninger er en del af virksomheders ledelsesret. Virksomheder har derfor som udgangspunkt ret til at overvåge og kontrollere sine medarbejdere.
Ved overvågning er det dog vigtigt, at virksomheder sikrer, at:
- Persondatareglerne overholdes
- Kontrollen er sagligt begrundet
- Kontrollen er proportionel i forhold til det formål, som virksomheden ønsker at opnå
- Medarbejderen på forhånd er informeret om, at gennemgang kan eller vil ske
Overvågning af medarbejdere indeholder ofte persondata - for eksempel en tv-optagelse, som medarbejderen indgår i eller en sporing af medarbejderens færden ved GPS-tracking. Virksomheder skal derfor overholde persondatareglerne i sådanne tilfælde.
Efter persondatareglerne kræver overvågning først og fremmest et lovligt grundlag. Det kan efter omstændighederne for eksempel være virksomheders legitime interesse eller retlige forpligtelser. Derudover skal de grundlæggende behandlingsprincipper, opbevarings- og formålsbegrænsning, gennemsigthed etc., også overholdes. Sidst men ikke mindst gælder reglerne om oplysningspligt. Medarbejderne skal derfor oplyses om, at overvågningen finder sted samt overvågningens formål og betingelser – som udgangspunkt inden overvågningen iværksættes.
Udover persondatareglerne kan der være særlige regler, som virksomheder skal være opmærksomme på, for eksempel straffelovens regler om brevhemmelighed, hvis der er tale om gennemgang af private e-mails og SMS’er og lov om tv-overvågning, hvis der er tale om tv-overvågning.
IUNO mener
Virksomheder kan på forskellige måder overvåge, om medarbejderne overholder interne politikker og retningslinjer om behandling af persondata. Det er dog vigtigt, at virksomheder er opmærksomme på at overholde både ansættelsesretlige regler om overvågning af medarbejdere, persondataregler, straffeloven og lov om tv-overvågning. Derudover kan der også være regler om overvågning i en eventuel overenskomst.
IUNO anbefaler desuden, at virksomheder som har en persondatapolitik også sikrer, at medarbejderne modtager den rette træning, så medarbejderne også i det daglige arbejde lever op til persondatareglerne
Selvom de fleste virksomheder har udarbejdet omfattende politikker og procedurer for at sikre, at de overholder persondatareglerne, er det ikke tilstrækkeligt, hvis medarbejderne ikke overholder reglerne i det daglige.
Virksomheder kan sikre, at de overholder reglerne ved for eksempel at udføre stikprøvekontroller, teste eller overvåge medarbejderens håndtering af persondata i hverdagen. Medarbejdernes arbejdsredskaber som telefon, tablets, GPS’er og computere gør det også muligt at foretage overvågning på mange forskellige måder. Virksomheder skal dog i alle tilfælde være opmærksomme på både persondata- og ansættelsesretlige regler.
Undercover overvågning af medarbejdernes behandling
Et par nyere sager illustrerer, at det er vigtigt at huske medarbejdernes rettigheder i forbindelse med overvågningen. En kommune fik for eksempel et sikkerhedsfirma til at gå undercover i et forsøg på at få en folkeskoles medarbejdere til at udlevere persondata. En anden kommune hyrede samme sikkerhedsfirma til at teste kommunens sikkerhedsforanstaltninger. Kontrollen skete blandt andet med skjult kamera og i et forsøg på at få adgang til persondata ved at sætte USB-stiks i computere på stedet.
I begge sager var medarbejderne ikke blevet oplyst om overvågningen, der både var i strid med persondatereglerne og ansættelsesretten.
Må virksomheder bruge overvågning til kontrol?
Muligheden for at indføre kontrolforanstaltninger er en del af virksomheders ledelsesret. Virksomheder har derfor som udgangspunkt ret til at overvåge og kontrollere sine medarbejdere.
Ved overvågning er det dog vigtigt, at virksomheder sikrer, at:
- Persondatareglerne overholdes
- Kontrollen er sagligt begrundet
- Kontrollen er proportionel i forhold til det formål, som virksomheden ønsker at opnå
- Medarbejderen på forhånd er informeret om, at gennemgang kan eller vil ske
Overvågning af medarbejdere indeholder ofte persondata - for eksempel en tv-optagelse, som medarbejderen indgår i eller en sporing af medarbejderens færden ved GPS-tracking. Virksomheder skal derfor overholde persondatareglerne i sådanne tilfælde.
Efter persondatareglerne kræver overvågning først og fremmest et lovligt grundlag. Det kan efter omstændighederne for eksempel være virksomheders legitime interesse eller retlige forpligtelser. Derudover skal de grundlæggende behandlingsprincipper, opbevarings- og formålsbegrænsning, gennemsigthed etc., også overholdes. Sidst men ikke mindst gælder reglerne om oplysningspligt. Medarbejderne skal derfor oplyses om, at overvågningen finder sted samt overvågningens formål og betingelser – som udgangspunkt inden overvågningen iværksættes.
Udover persondatareglerne kan der være særlige regler, som virksomheder skal være opmærksomme på, for eksempel straffelovens regler om brevhemmelighed, hvis der er tale om gennemgang af private e-mails og SMS’er og lov om tv-overvågning, hvis der er tale om tv-overvågning.
IUNO mener
Virksomheder kan på forskellige måder overvåge, om medarbejderne overholder interne politikker og retningslinjer om behandling af persondata. Det er dog vigtigt, at virksomheder er opmærksomme på at overholde både ansættelsesretlige regler om overvågning af medarbejdere, persondataregler, straffeloven og lov om tv-overvågning. Derudover kan der også være regler om overvågning i en eventuel overenskomst.
IUNO anbefaler desuden, at virksomheder som har en persondatapolitik også sikrer, at medarbejderne modtager den rette træning, så medarbejderne også i det daglige arbejde lever op til persondatareglerne