Arbejdsgivere glemmer at oplyse om overvågning

Mange virksomheder har stadig svært ved at overholde centrale dele af de europæiske GDPR-regler, selv om de trådte kraft helt tilbage i maj 2018.

Reglerne er ellers klare: De ansatte skal modtage skriftlig og let tilgængelig information om indsamlingen af data og om formålet med databehandlingen. 

Men en stikprøveundersøgelse foretaget af Datatilsynet blandt fem udvalgte virksomheder viser, at ingen af dem levede op til bestemmelserne om oplysningspligt til medarbejderne, når arbejdspladsen indsamler data om de ansatte eller indfører kontrolforanstaltninger som for eksempel tv-overvågning, logning af brugen af internet, tidsregistrering, logning af adgang til fysiske lokationer, adgang til medarbejderes e-mails eller GPS-tracking.

Ridser i lakken

Datatilsynets undersøgelse fokuserede blandt andet på, om virksomhederne – tre offentlige myndigheder og to private virksomheder – efterlevede princippet om gennemsigtighed og oplysningspligt. Men alle fem virksomheder kom ud af undersøgelsen med ridser i lakken.

”Datatilsynet har på baggrund af tilsynene udtalt alvorlig kritik i tre af de fem sager. I to af sagerne er tilsynet kommet med en udtalelse med kritik”, skriver Datatilsynet.

Overholdelsen af oplysningspligten er en grundforudsætning for ethvert ansættelsesforhold - og det er noget, der skal tages alvorligt, fastslår Dataløn, der udarbejder lønsedler for cirka 60.000 danske virksomheder.

"Medarbejderen skal uden videre detektivarbejde kunne tilgå viden om hvilke personoplysninger, du som arbejdsgiver opbevarer og behandler. Ansvaret er dit. Du skal altid informere medarbejderne om, hvilke data du indsamler om dem - og hvad du skal bruge dem til", skriver Dataløn om oplysningspligten i GDPR-reglerne.​

Overvågning uden formål

De fem virksomheder, som ikke levede op til GDPR-artiklerne 13 og 14, er ATP, TDC, Kolding Kommune, Nævnenes Hus og SIF Gruppen.

Konkret modtog ATP alvorlig kritik, fordi der ikke var udarbejdet skriftlige procedurer for, hvordan man efterlever GDPR-reglerne om oplysningspligt. Dermed svigtede ATP sin forpligtelse til at give ”forudgående information i forbindelse med brugen af kontrolforanstaltninger over for medarbejderne”.

Godt nok havde ATP lagt en tekst på sin interne medarbejderportal om behandling af medarbejderes personoplysninger, men ifølge Datatilsynet indeholdt den ikke specifik information om ”de enkelte kontrolforanstaltninger, som myndigheden gør brug af over for medarbejdere”.

Logning af internetbrug

Blandt kontrolforanstaltningerne var logning af de ansattes brug af internet og afviste adgangsforsøg, logning af adgang til fysiske lokationer og tidsregistrering samt adgang til medarbejdernes e-mails.

Desuden havde ATP indført tv-overvågning af visse områder af arbejdspladsen, men medarbejderne fik ikke information om, hvad formålet med behandlingen af personoplysningerne, og hvad retsgrundlaget for behandlingen var.

”Efter tilsynets opfattelse fremgår det ikke tilstrækkelig tydeligt, at oplysninger, der behandles i forbindelse med tv-overvågning, også kan anvendes til kontroløjemed over for medarbejderne”, skriver Datatilsynet i sin afgørelse.

Tv-overvågning af medarbejdere

SIF Gruppen er en anden af de virksomheder, der får alvorlig kritik fra Datatilsynet. SIF Gruppen oplyser selv, at 400 medarbejdere er berørt af tv-overvågning på virksomhedens adresse, og at 200 medarbejdere er berørt af GPS i deres servicebilerne.

Virksomheden har ikke udarbejdet procedurer for virksomhedens efterlevelse af GDPR-reglerne om oplysningspligt og kravet om forudgående information i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere.

Ifølge Datatilsynet har det derfor ikke været gennemsigtigt for medarbejderne, at tv-overvågningen kan anvendes til kontrol af medarbejderne.

GPS-overvågning af biler

Også når det gælder GPS i bilerne, er Datatilsynet kritiske. SIF Gruppen oplyser, at det overordnede formål med GPS-overvågning af servicebilerne er at indsamle data vedrørende kørselshistorik, kørselsadfærd og tekniske data. Hvis data fra systemet viser, at der eksempelvis er sket hårde opbremsninger, kraftige accelerationer eller høj fart, kan det udløse en samtale med den daglige leder.

”Det er Datatilsynets vurdering, at medarbejderne ikke bliver givet information om retsgrundlaget for behandlingen. Herudover er det tilsynets vurdering, at medarbejderne ikke bliver givet tilstrækkelig information om retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger”, skriver Datatilsynet i sin afgørelse.

Læs alle fem afgørelser fra Datatilsynet

Læs mere om reglerne i kapitel 6 i Datatilsynets vejledning om databeskyttelse i ansættelsesforhold