Forkert behandling af medarbejderoplysninger gav bøde på 1,1 mio. kr.

PwC i Grækenland fik en bøde på 150.000 euro, svarende til ca. 1,1 mio. danske kroner, fordi de behandlede personoplysninger om deres medarbejdere på et forkert grundlag.

Behandling af medarbejderdata

Alle virksomheder behandler oplysninger om deres medarbejdere. Behandlingen er nødvendig for at administrere den enkeltes ansættelsesforhold, men også for at drive virksomheden hensigtsmæssigt. Når man behandler personoplysninger, skal man overholde databeskyttelsesreglerne, og som arbejdsgiver er man dataansvarlig for de oplysninger, man behandler om sine medarbejdere. Det betyder, at man ikke blot skal overholde regler i GDPR, man skal også kunne dokumentere, at man overholder dem.

Man skal blandt andet altid have et lovligt grundlag for at behandle personoplysninger. GDPR oplister de forskellige lovlige grundlag, der kan begrunde behandlingen af medarbejderoplysninger. Nogle oplysninger, eksempelvis oplysninger til brug for indberetning af skat, må du behandle, fordi du skal opfylde en lovforpligtelse. Andre oplysninger, herunder oplysninger til brug for lønudbetalinger, behandler du, fordi du skal opfylde medarbejdernes ansættelseskontrakter og give dem løn. Det er vigtigt, at du har styr på, hvilket lovligt grundlag du har for behandlingen af medarbejderdata, og at du oplyser dine medarbejdere om det.

Bøde fra det græske datatilsyn

I sagen med PwC i Grækenland havde de krævet samtykke fra deres medarbejdere for at få lov at behandle deres personoplysninger. De oplyste derfor medarbejderne om, at de behandlede forskellige personoplysninger på baggrund af samtykke.

Det var ifølge det græske datatilsyn ikke et passende lovligt grundlag. Behandlingen var derimod nødvendig for at opfylde medarbejdernes ansættelseskontrakter og virksomhedens retlige forpligtelser. Derudover var en del af behandlingen afgørende for at sikre en effektiv drift af virksomheden, og derfor af legitim interesse for virksomheden. PwC havde altså ikke anvendt og oplyst om det korrekte grundlag for deres behandling af medarbejderdata. Det græske datatilsyn gav derfor PwC en bøde på ca. 1,1 mio. kroner for overtrædelse af GDPR.

Samtykke i ansættelsesforhold - vær særlig opmærksom

Som arbejdsgiver er det vigtigt, at du er opmærksom på, at et samtykke sjældent bliver accepteret som grundlag for behandling af medarbejderdata. Det skyldes, at et samtykke skal opfylde en række betingelser for at være gyldigt. Det er blandt andet vigtigt, at samtykket skal kunne trækkes tilbage. Det vil i mange tilfælde ikke være muligt i ansættelsesforhold.

Det er også et krav, at samtykket er afgivet frivilligt. Ansættelsesforhold er i den forbindelse særlige, fordi arbejdsgiver og medarbejdere ikke er ligestillet. Det kan være svært at bevise, at medarbejderne gav deres samtykke frivilligt, og ikke fordi de var bange for at få et dårligt forhold til arbejdsgiveren, miste deres stilling - eller hvis der er tale om en ansøger, bange for ikke at blive ansat.

Du skal derfor være forsigtig med at behandle medarbejderdata på baggrund af samtykke. Når det er muligt, bør du bruge et andet grundlag. I ansættelsesforhold vil det meste persondatabehandling om medarbejdere kunne begrundes i en retlig forpligtelse, opfyldelse af ansættelseskontrakten eller arbejdsgivers legitime interesse.

Hvis du er i tvivl, anbefaler vi at du søger juridisk rådgivning. Hvis du har spørgsmål til, hvordan du skal behandle oplysninger om dine medarbejdere, er du velkommen til at tage kontakt til DataLøns juridiske rådgivning på telefon 72 27 90 16.