Det græske datatilsyn har givet et internationalt revisionshus en bøde på 150.000 euro grundet navnlig anvendelse af en forkert hjemmel for behandling af medarbejdernes personoplysninger og deraf følgende fejlinformation til medarbejderne i informationen om deres rettigheder.

Som svar på en klage har det græske datatilsyn undersøgt, om et internationalt revisionshus har overholdt databeskyttelsesreglerne, når de har krævet, at medarbejderne skulle give samtykke til virksomhedens behandling af deres personoplysninger.

Tilsynsmyndigheden bemærker i afgørelsen, at personoplysningerne i den konkrete sag skulle anvendes til udførsel af handlinger direkte forbundet med ansættelseskontrakten, til efterlevelse af retlige forpligtelser, som påhviler den dataansvarlige, samt til den smidige og effektive drift af virksomheden, som er virksomhedens legitime interesse. 

Det græske tilsyn fandt på den baggrund at samtykke (GDPR art. 6, stk. 1, litra a) ikke var det rigtige grundlag for behandlingen af de omhandlede oplysninger om medarbejderne. Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne. 

Det græske tilsyn fandt endvidere, at grundprincippet om lovlig, rimelig og gennemsigtig behandling (GDPR art. 5, stk. 1, litra a) medfører, at samtykke kun kan anvendes som retsgrundlag for behandlingen, når ingen andre behandlingsgrundlag er anvendelige. 

Der var givet forkert information til medarbejderne, som aldrig var blevet informeret om de rigtige retsgrundlag. Dette var et brud med princippet om transparens (GDPR art. 5, stk. 1, litra a) og forpligtelsen til at informere medarbejderne (oplysningspligten efter GDPR art. 13 og 14). 

Det græske tilsyn fandt også, at revisionshuset overtrådte princippet om ansvarlighed (GDPR art. 5, stk. 2), da det ikke kunne fremlægge bagvedliggende dokumentation for behandlingens lovlighed, og ved at revisionshuset havde overført bevisbyrde til de ansatte.  

Sagen har givet det græske datatilsyn anledning til at bruge to af de korrigerende beføjelser, som tilsynet har til rådighed efter GDPR:

  • Revisionshuset er blevet pålagt at bringe behandlingsaktiviteterne i overensstemmelse med bestemmelserne i GDPR indenfor tre måneder.
  • Revisionshuset er blevet pålagt en administrativ bøde på 150.000 euro (hvilket i forhold til den oplyste nettoomsætning på 41.936.426 euro svarer 0.35% af omsætningen.

 

tastatur

Bech-Bruuns kommentarer
Sagen understreger vigtigheden af, at de dataansvarlige myndigheder og virksomheder identificerer de korrekte retsgrundlag for behandling af personoplysninger. Hvis retsgrundlaget er forkert, bliver informationen til de registrerede også forkert og evt.  utilstrækkelig og vildledende. Dette forstærkes af, at de registreredes rettigheder er forskellige, alt efter hvilket retsgrundlag der er tale om.

Opfyldelse af oplysningsforpligtelsen overfor medarbejdere er også et af de emner, der kommer på agendaen, når det danske datatilsyn foretager tilsyn senere i år. I en nyhed af 2. juli 2019 publicerede Datatilsynet sine planer for tilsyn, som i andet halvår af 2019 bl.a. omfatter spørgsmål om databeskyttelse i forbindelse med ansættelsesforhold, herunder:

  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten? 
  • Sletning af oplysninger indsamlet i forbindelse med rekruttering.

For de dataansvarlige myndigheder og virksomheder kan dette være en anledning til at gennemgå de anvendte privatlivspolitikker og oplysningsmeddelelser samt den øvrige GDPR-dokumentation, som skal være på plads.

Bech-Bruun yder blandt andet bistand til virksomheder og myndigheder, som ønsker kvalitetssikring af deres oplysningspligtsmeddelelser og privatlivspolitikker – fx for at sikre, at de beskrevne retsgrundlag er korrekte. 

Du er velkommen til at kontakte os, hvis du er interesseret i at høre om mulighederne for at få gennemgået jeres GDPR-dokumentation eller anden bistand. Ligeledes vil du kunne høre mere om sagen og andre HR-relaterede problemstillinger i vores kommende kursus om Praktisk databeskyttelse.

Læs mere om Datatilsynets planer om tilsyn i Bech-Bruuns nyhed

Læs et resume af det græske datatilsyns afgørelse (på engelsk)