Personoplysninger på medarbejdere – skal du have samtykke?

HR-Jura | 09/07/2018

af Lisbeth Lindorff Riis

 

Som arbejdsgiver behandler du personoplysninger på medarbejdere og nogle gange kan man blive i tvivl om, hvorvidt det kræver medarbejderens samtykke at behandle oplysningerne.

Hvornår må du behandle personoplysninger uden samtykke?

Som udgangspunkt må du, som arbejdsgiver, behandle personoplysninger uden samtykke, hvis de er nødvendige for ansættelsesforholdet, nødvendige i forhold til lovgivning eller hvis arbejdsgiveren har en legitim interesse i at behandle oplysningerne jf. Persondataforordningen art. 6, stk. 1, litra b, c og f.

Derimod vil du sjældent være i tvivl om hvilke oplysninger, du har brug for til f.eks. at kunne køre lønnen eller indberette til SKAT. I visse tilfælde er det dog svært at vurdere hvilke oplysninger du som arbejdsgiver har en legitim interesse i.

Grundlæggende kan du følge reglen, at oplysningerne skal være need to know, ikke nice to know.

Som arbejdsgiver skal du derfor være helt klar på, hvad du skal bruge oplysningerne til, samt hvor længe du har brug for at gemme dem.

Et eksempel på en sådan oplysning kan f.eks. være en påtale. Selvom påtalen som udgangspunkt ikke er skriftlig, har du som arbejdsgiver en legitim interesse i at kunne opbevare en oversigt om hvornår påtalen er givet, hvad påtalen vedrører og hvilke instrukser, der er givet. Du kan derfor opbevare påtalen uden samtykke. Vær dog opmærksom på, at oversigten kun må opbevares så længe det er nødvendigt. Derudover er det god databehandlingsskik at gøre medarbejderen opmærksom på, at oversigten opbevares i medarbejderens personalefil. En nem måde at gøre det på, er at skrive det i en HR-politik eller lignende.

Foretag en interesseafvejning

Når du som arbejdsgiver skal vurdere om du har en legitim interesse i at behandle personoplysninger, skal du foretage en interesseafvejning. I en interesseafvejning formulerer du, hvorfor at du som arbejdsgiver har brug for oplysningerne, samt hvorfor din interesse i at behandle oplysningerne er større, end medarbejderens interesse i at så få oplysninger som muligt bliver behandlet. Da afvejning af virksomhedens interesse mod medarbejderens kan være svær, kan det imidlertid være fristene at bruge samtykke som hjemmel. Der er dog flere ulemper ved dette.

Ulemper ved at bruge samtykke til hjemmel for behandling af personoplysninger

For det første kan et samtykke ifølge Persondataforordningen art. 7, stk. 3 altid trækkes tilbage. Selvom det ikke berører lovligheden af den behandling der har fundet sted indtil samtykket blev trukket tilbage, betyder det, at man ikke fremadrettet må behandle oplysningerne.

For det andet er der mange regler i forbindelse med afgivelse af samtykke. du skal som dataansvarlig kunne påvise, at medarbejderen har givet samtykke, hvilket vil sige at samtykket skal være skriftligt.

Anmodningen om samtykke skal være i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, så medarbejderne ikke kan være i tvivl om hvad de giver samtykke til. Medarbejderen må heller ikke kunne komme til at afgive sit samtykke ved en fejl. Derfor skal du sørge for at anmodningen om samtykke klart kan skelnes fra andre forhold, hvis den skriftlige erklæring vedrører flere forhold. Hvis reglerne ikke er overholdt i forbindelse med afgivelse af samtykket, er samtykket ikke bindende og kan ikke bruges som hjemmel.

For det tredje skal du gøre dig klart, om personoplysningerne er nødvendige for opfyldelsen af kontrakten. Hvis de ikke er nødvendige, vil samtykket blive vurderet til ikke at være afgivet frit, hvilket er en betingelse for at bruge det som hjemmel.

Vi anbefaler derfor, at du kun bruger samtykke i de tilfælde, hvor du ikke kan finde hjemmel til behandling af oplysningerne andre steder.

Derudover anbefaler vi, at I søger professionel rådgivning, hvis I er i tvivl om hvilken hjemmel I har til at behandle specifikke oplysninger eller har brug for hjælp til at få formuleret et samtykkedokument.

SE HER, HVORDAN AZETS KAN ASSISTERE MED HR-JURA

Om Lisbeth Lindorff Riis

Lisbeth Lindorff Riis er uddannet Cand.merc.jur fra Handelshøjskolen i Århus og senere Cand.jur fra Københavns Universitet. Lisbeth har 16 års erfaring med juridisk rådgivning inden for HR, herunder persondataretlige problemstillinger - GDPR, ansættelsesret og barsel. I Azets er Lisbeth Head of HR Legal.