Persondata i HR - nyhedsbreve

Nyhedsbrev :: Oktober 2019

11.10.2019

Kære abonnent

Denne opdatering til Persondata i HR indeholder opdatering af følgende kapitler:

3.2 Ledelsesret og god databehandlingsskik
5.2 Oplysninger i antidiskriminationslovgivning
5.3 Særlige typer indsamlinger af personoplysninger
5.5 Særligt om oplysningspligten

Området for persondata bliver ved at udvikle sig, og der kommer flere og flere vejledninger, domme og udtalelser.

Dermed bliver vi klogere på et område, som ikke er enten ja eller nej, men et skøn.

Praksis begynder nu også at vise den vigtigste grundregel i arbejdet med persondata, nemlig at identificere en problemstilling, tage stilling til den i forhold til kravene i GDPR, og derefter konkludere.

Det er dette materiale, som kan vise Datatilsynet, at man som dataansvarlig arbejder struktureret og organiseret.

Men det er også det arbejde, som har været og fortsat er noget af det vanskeligste.

Rigtig mange elementer i GDPR er blot gengangere fra persondatadirektivet, men dokumentationskravet er nyt og dermed også det, der trækker mest ressourcer.

Siden sidst
Jeg vil fremhæve, at vejledningen om samtykke er blevet opdateret. En god øvelse kan være at gennemgå den tjekliste, som vejledningen indeholder, for at sikre sig, at i de sammenhænge, hvor samtykke anvendes som behandlingshjemmel, vil det være gyldigt.

Jeg vil dog understrege, at samtykket er en vanskelig behandlingshjemmel at arbejde med, blandt andet fordi det kan trækkes tilbage. Det er derfor vigtigt først at undersøge, om behandlingen af persondata kan have en anden hjemmel først.

Sikkerhed i transmission af personoplysninger via mail, har haft stort fokus på baggrund af Datatilsynets udtalelser. Datatilsynet har også haft lejlighed til at afgøre, hvorvidt manglende kryptering i forbindelse med fremsendelse af fortrolige oplysninger, var en overtrædelse af reglerne.

Spørgsmålet var, om anvendelse af såkaldt opportunistisk TSL-kryptering var tilstrækkelig. Opportunistisk betyder, at mailsystemet vil anvende krypteringen, hvis modtagerens mail er i stand til at modtage krypteret mail. Ellers ville kryptering ikke blive anvendt.

Den dataansvarlige havde vurderet, at omfanget af situationer, hvor modtageren ikke kunne modtage krypteret mail var et fåtal. Dette sammenholdt med at det var et fåtal af situationer, hvor der var fortrolige oplysninger.

Derfor havde den dataansvarlige efter Datatilsynets opfattelse fastsat et passende sikkerhedsniveau, da Datatilsynet ikke havde grundlag for at tilsidesætte den dataansvarliges vurdering.

Anvendes SMS til transmission af personoplysninger, skal man ligeledes være opmærksom på at få fastsat et passende beskyttelsesniveau. Datatilsynet har lavet en tekst om, hvornår SMS er en brugbar kommunikationsform til personoplysninger.

Jeg vil i den forbindelse slå et slag for de i øvrigt gode alternativer, som der kan være til SMS. Det kan kræve, at modtageren opretter sig på en service, men eksempelvis Wire eller Signal giver end-to-end-kryptering i transportlaget.

Det kan være godt at orientere sig om alternativer, som kan være mere passende at anvende både i forhold til sikkerhed, men også i forhold til eksempelvis overførsel af data til tredjelande.

Grunden til at det kan være relevant at se på europæiske alternativer er blandt andet de to afgørelser, som pt. er under behandling i EU-Domstolen.

Den ene vil afgøre, hvorvidt Privacy Shield yder tilstrækkelig beskyttelse, og den anden vil afgøre det samme for Modelkontrakterne.

Særligt sagen om Modelkontrakter påkalder sig opmærksomhed, dels fordi den er anlagt af Max Schrems, som også var ham, der fik lukket Safe Harbour, men i særdeleshed fordi Modelkontrakterne er en overførselsmekanisme, som vi har brugt siden Persondatadirektivets vedtagelse i 1995.

Hives tæppet væk under den overførselshjemmel, vil det være yderst vanskeligt lovligt at overføre persondata ud af EU/EØS. Afgørelsen forventes i begyndelsen af 2020.

Datatilsynet har i øvrigt på deres hjemmeside etableret en oversigt over igangværende EU-sager, som er relevante for området.

Datatilsynets årsberetning viser en fortsat stigning i brud på persondatasikkerheden, og i top ligger fortsat fremsendelse af mails til forkert modtager. Dette er altså en risikofaktor, som man bør lave en særlig indsats mod. Det kan dels være at slå autoudfyld fra i mailfeltet, eller som minimum få ryddet op samme liste.

For så vidt angår fysisk bærbare enheder, understreger Datatilsynet, at de som udgangspunkt ikke skal indeholde personoplysninger. Hvis det er nødvendigt, skal det sikres, at harddisk er krypteret og personoplysningerne er tilstrækkeligt beskyttede.

Endelig fremhæver Datatilsynet igen, at produktionsdata som udgangspunkt ikke skal bruges til test. Har man behov for at anvende produktionsdata til test, er der modeller, hvor det kan ske anonymiseret eller i hvert fald tilstrækkeligt begrænset til, at det kan være lovligt.

Som et lidt kuriøst sikkerhedsbrud nævner Datatilsynet den situation, hvor dokumenter med personoplysninger er fløjet ud ad et vindue, som stod åbent i sommervarmen.

I den konkrete situation afgjorde Datatilsynet, at det ikke var tilfældet, dels fordi klageren rent faktisk havde modtaget mailen krypteret.

Datatilsynet er kommet med en række andre afgørelser og udtalelser, og jeg vil klart opfordre til, at man følger Datatilsynet på LinkedIn. Det er desværre ikke nok at følge deres nyheder på hjemmesiden, da de eksempelvis opdaterer artikler under emner uden at gøre opmærksom på det i nyhedsarkivet.

Mere om billeder
I pressen har der været omtale af en sag fra en børneinstitution, som var nødsaget til at gennemgå institutionens mange tusinde billeder for at efterkomme en indsigtsanmodning fra en forælder.

Der er ikke tvivl om, at tager man billeder af datasubjekter, så skal man være i stand til at kunne besvare en indsigtsanmodning med at identificere de billeder, datasubjektet er på.

Man skal samtidig være i stand til at fjerne/hasche andre datasubjekter, som optræder sammen med rekvirenten. Der er ikke tvivl om, at der snart vil blive udviklet en teknologi til formålet, men indtil da må man indstille sig på at gennemgå samtlige billeder for at kunne besvare indsigtsanmodning.

Billeder giver fortsat anledning til mange udfordringer, og jeg har derfor i denne opdatering inkluderet et eksempel på en modelkontrakt, som man kan indgå med datasubjekter, som skal optræde på et billede. Det kan eksempelvis være medarbejdere, der indgår i billeder, der anvendes i markedsføringssammenhæng, udbudsmateriale eller på anden måde. Anvendelse af en modelkontrakt kan for mange virke voldsomt.

Persondataretligt vil man kunne anvende et samtykke som behandlingshjemmel, men man risikerer, at medarbejderen mv. trækker samtykket tilbage, og så kan man ikke anvende billedet i materialet længere. Derfor er modelkontrakten det redskab, som kan bruges til at lade behandlingen omfatte af at være nødvendig for en kontrakt i GDPR-artikel 6, stk. 1, litra b.

Billeder kan gemme sig i mange behandlinger, eksempelvis også i forbindelse med afholdelse af kurser og konferencer. Her skal man sikre sig deltagernes samtykke til, at de billeder, som måtte blive taget, eksempelvis kan blive brugt i forbindelse med den dataansvarliges markedsføring.

En enkel måde, hvor man kan frasortere deltagere, som ikke ønsker at figurere på billeder, er at udstyre deres badges med en særlig farve eller lade snoren om halsen med badges have forskellig farve. Livestreamer man fra eksempelvis paneldebatter, skal man sikre sig paneldeltagerens accept af dette. Det kan godt hænge sammen med, at paneldeltageren i øvrigt har frabedt sig at optræde på billeder.

Det sidste element i denne omgang er at påpege behovet for identifikation. Det drejer sig både om at sikre sig identifikation, når et datasubjekt henvender sig, eller sikre sig, at en repræsentant har den fornødne fuldmagt. Men det vedrører også behovet for at sikre sig identifikation, når myndigheder henvender sig. Datatilsynet har i hvert fald gjort opmærksom på, at der er svindlere, som udgiver sig for at være Datatilsynet.

Risikovurdering
Datatilsynet har i samarbejdet med Rådet for Digital Sikkerhed udarbejdet en vejledning og en skabelon til brug for risikovurdering. Den kan anbefales at studere, om end den nok for mange vil forekomme meget omfangsrig. Der er jo ikke krav om at skabelonen skal bruges, men den kan muligvis tjene som inspiration til arbejdet med risikovurdering.

Det er i øvrigt i den forbindelse vigtigt at fremhæve, at den persondataretlige risikovurdering ikke 1:1 er den samme som risikovurderingen i forhold til eksempelvis IT-sikkerhed. For at opfylde GDPR risikovurderingen er der ikke lovpligt om at anvende eksempelvis ISO-standarder. Men en ISO-standard kan tjene til inspiration til at overveje, hvordan en høj risiko i en persondataretlig sammenhæng kan minimeres.

I næste opdatering vil der være fokus på risikovurderingen efter GDPR, da overblikket på dette område er bedre velfunderet nu.

Lydoptagelse af møde med chef
I krydsfeltet mellem ansættelsesret og persondataret, har en bestemt afgørelse været ventet med en vis spænding. Den 19. august 2019 afgjorde Højesteret, hvorvidt en lydoptagelse af et møde mellem en medarbejder og en chef, var en misligholdelse. Medarbejderen havde optaget mødet uden chefens vidende, og både byret og landsret havde været enig med virksomheden i, at det udgjorde en grov misligholdelse.

Højesteret fastslog først, at vurderingen af om en medarbejders hemmelige lydoptagelse af samtaler med sin arbejdsgiver, skal baseres på en konkret afvejning af hensynet til den ansatte overfor hensynet til arbejdsgiveren og andre berørte. I den forbindelse kan der blandt andet lægges vægt på, hvad formålet og baggrunden for lydoptagelsen er, herunder om der er en særlig anledning for medarbejderen til at sikre sig bevis for arbejdsgiverens adfærd.

Det kan også tillægges vægt, hvilke oplysninger, medarbejderen havde til hensigt at optage, herunder om der er tale om rent private eller fortrolige forhold. Det var et element i sagen, at medarbejderen ikke på anden vis havde haft mulighed for at sikre sig beviset, eksempelvis ved at medbringe en bisidder. I den forbindelse fastslog Højesteret, at det hverken var lovligt at bortvise eller opsige medarbejderen på baggrund af den skjulte lydoptagelse.

Det kan altså med andre ord – afhængig af omstændighederne – være bortvisnings- eller opsigelsesgrund, hvis en medarbejder hemmeligt optager en samtale. Dommen ændrer ikke på, at arbejdsgiveren kan fastsætte regler for samtalerne, og derved også kan beslutte, at en samtale ikke må optages.

Den afvejning, som Højesteret foretager, minder meget om afvejningen af legitime interesser i GDPR-artikel 6, stk. 1, litra f, og der kan være grund til at udarbejde retningslinjer for hemmelige optagelser af såvel arbejdsgiveren som kollegaer.

GDPR-poesi
Jeg har efterhånden set mange eksempler på tiltag, som skal højne opmærksomheden om persondatabeskyttelse og efterlevelse af GDPR-kravene. Det har eksempelvis været GDPR som tema til en hel julefrokost. Der er også lavet flere sange om GDPR, og senest har DTU Space lavet GDPR-poesi. Det består af såkaldt udstregningspoesi, hvor man tager en tekst og kun beholder det essentielle.

Jeg ønsker dig rigtig god fornøjelse med det fortsatte arbejde.

De bedste hilsner

Redaktionen
v/ Catrine Søndergaard Byrne,
Partner, advokat, CIPP/E
Labora Legal

Bestil Persondata i HR

BASIS
PREMIUM
Trykt håndbog
 
 
Online håndbog
 
 
Årligt kursus
 
 
Opdateringer
 
 
Q&A
 
 
Pris 4480,- 4980,-
  Bestil Bestil

Alle priser er ekskl. moms

Referencer

Vi er stolte af vores kundeliste, der dækker en bred vifte af private, små og store virksomheder samt offentlige institutioner. Er du endnu ikke kunde, kan du læse mere om, hvordan vi kan hjælpe dig

  • Novo Nordisk
  • Genmab
  • Maersk Broker
  • Nordea
  • Pandora
  • Grundfos
  • Arla Foods
  • Den Kongelige Civilliste
  • Region Hovedstaden
  • Aarhus Kommune
  • Sygeforsikringen Danmark
  • Det Kongelige Teater
  • CBS
  • 3F
  • Bogholderi Hjørnet
  • Strates Maskinfabrik
  • Legro Gartneri
  • Fleggaard
  • 3x53 Transport
  • Tivoli
  • ...med flere