Gemt

Datatilsynet: Ikke i orden at oplyse om årsag til opsigelse

28. september 2020

Datatilsynet har udtalt alvorlig kritik af en virksomheds e-mail til en gruppe ledere, hvori virksomheden oplyste om årsagen til en medarbejders opsigelse.

Hvad siger reglerne?

Det følger af databeskyttelsesforordningen, at en dataansvarlig skal have en hjemmel til at behandle alle kategorier af personoplysninger. Det gælder både såkaldte almindelige og følsomme oplysninger. En dataansvarlig har også en oplysningspligt over for den registrerede. Oplysningspligten omhandler både de oplysninger, som den dataansvarlige indsamler hos den registrerede selv, og oplysninger, som indhentes hos andre om den registrerede.

Sagen kort

En medarbejder blev opsagt fra sin stilling og indbragte via sit forbund opsigelsen for Arbejdsretten med påstand om, at opsigelsen var udtryk for organisationsfjendtlig adfærd. På forbundets foranledning blev sagen bragt i pressen, men uden at medarbejderens navn blev nævnt. Samtidig arrangerede forbundet en protestdemonstration uden for virksomhedens hovedkontor.

I forlængelse heraf valgte virksomheden dagen efter demonstrationen at orientere en gruppe ledere via e-mail om baggrunden for konflikten med forbundet. Af e-mailen fremgik blandt andet medarbejderens og forbundets navn samt årsagen til opsigelsen af medarbejderen.

På baggrund af virksomhedens e-mail valgte medarbejderen at klage til Datatilsynet over virksomheden idet medarbejderen mente, at oplysningerne i e-mailen udgjorde en uberettiget videregivelse af hans personoplysninger. Medarbejderen klagede også over, at virksomheden ikke havde opfyldt sin oplysningspligt, idet ikke alle medarbejdere havde adgang til virksomhedens persondatapolitik på virksomhedens intranet.

Datatilsynets afgørelse

Datatilsynet lagde indledningsvist til grund, at virksomheden havde behandlet personoplysninger om medarbejderen i den interne e-mail i form af navn, årsag til afskedigelse, tidligere ansættelsesforhold og fagforeningsmæssigt tilhørsforhold.

På denne baggrund fandt Datatilsynet, at virksomhedens behandling af personoplysningerne ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f, (interesseafvejningsreglen i forhold til almindelige oplysninger) og artikel 9 (følsomme oplysninger).

Datatilsynet lagde vægt på, at oplysningerne om opsigelsen i e-mailen ikke var begrundet i et hensyn, som relaterede sig til medarbejderen, men i stedet relaterede sig til konflikten med forbundet, og at virksomheden derfor ikke havde en legitim interesse i at behandle oplysninger om medarbejderens opsigelse i sammenhæng med den sag, der verserede ved Arbejdsretten.

Derudover lagde tilsynet vægt på, at der i henhold til artikel 9, stk. 1, er et absolut forbud mod at behandle oplysninger om fagforeningsmæssige forhold, og at ingen af undtagelserne til bestemmelsen fandt anvendelse.

Oplysningspligten ikke overholdt

Datatilsynet fandt endvidere, at virksomheden ikke havde opfyldt sin oplysningspligt over for medarbejderne i henhold til forordningens regler. Ved vurderingen lagde Datatilsynet vægt på, at det ikke var tilstrækkeligt at have en persondatapolitik på virksomhedens intranet, når medarbejderne ikke var blevet specifikt henvist til den.

Efter en samlet vurdering udtalte Datatilsynet derfor alvorlig kritik af, at virksomhedens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet bemærkede i øvrigt, at virksomheden havde en legitim interesse i at orientere medarbejderne om den igangværende konflikt, henset til pressedækningen og den uro, som konflikten skabte på arbejdspladsen. Orienteringen skulle dog ikke indeholde personoplysninger.

Dansk Erhverv bemærker

Afgørelsen viser, at en virksomhed nøje skal overveje, om den har det fornødne behandlingsgrundlag til at offentliggøre personoplysninger i forbindelse med orientering af øvrige ansatte om en opsigelse. Afgørelsen understreger også det absolutte forbud mod at behandle oplysninger om fagforeningsmæssigt forhold, medmindre en af undtagelserne er til stede.

Datatilsynet fastslår endvidere, at det ikke er tilstrækkeligt at have en persondatapolitik på et intranet, hvis medarbejderne ikke specifikt er henvist til den. Dansk Erhverv anbefaler, at virksomhederne sikrer, at medarbejderne gøres specifikt opmærksom på persondatapolitikken, fx via e-mail eller et bilag til ansættelseskontrakten.

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}