I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-04-20 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96694' · pdf

Vejledning om databeskyttelse i ansættelsesforhold

abstract:



Documento annotato il 20.04.2023 Fonte: GPDP
Link: https://www.datatilsynet.dk/Media/0/8/Vejledning%2




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:




testo:

E

estimated reading time: 92 min Databeskyttelse i
ansættelsesforhold
Vejledning
Marts 2023

Databeskyttelse i ansættelsesforhold 2
Indhold


Forord 4
1. Begreber i databeskyttelsesretten 5
1.1 Dataansvar 5
Arbejdsg iveren 5
1.2 Grundlag for behandling af personoplysninger 5
Databeskyttelsesforordningens artikel 6 5
Databeskyttelsesforordningens artikel 9 7
Oplysninger om strafbare forhold 8
Personnummer 8
Databeskyttelseslovens § 12 8
1.3 Grundlæggende principper for behandling af personoplysninger 9
2. Arbejdsgivers behandling af oplysninger under rekrutteringsprocessen 11
2.1 Grundlag for behandling af personoplysninger 11
2.2 Behandling af oplysninger, der tilvejebringes under processen 11
Referencer 11
Straffeattester og børneattester 13
RKI -register 14
IQ- og personlighedstest 15
Oplysninger på sociale medier 15
2.3 Opbevaring af oplysninger om ansøgere 15
3. Arbejdsgivers behandling af oplysninger under og efter ansættelsen 16
3.1 Arbejdsgivers registrering og opbevaring af oplysninger 16
MUS -skemaer 16
Arbejdspladsvurderinger, medarbejdertilfredshedsundersøgelser, mv. 17
Optagelse af telefonsamtaler 17
3.2 Opbevaring a f oplysninger efter ophør af ansættelse 18
3.3 Arbejdsgiverens videregivelse af personoplysninger 18
Videregivelse af lønoplysninger internt på arbejdspladsen 18
Videregivelse af oplysninger til tillidsrepræsentanten 18
Videregivelse af oplysni nger til en fagforening 20
Videregivelse af oplysninger til pensionsselskaber 20
Offentlige arbejdsgiveres videregivelse og deling af medarbejderoplysninger 20
Private arbejdsgiveres videregivelse af oplysninger inden for koncerner 21
Orientering om fratrædelse/afskedigelse og sygefravær internt på arbejdspladsen
21
Videregivelse af oplysninger om fratrædelse/afskedigelse til eksterne 23
Arbejdsgiverens hjemmeside 23
4. Rettigheder for ansøgere og ansatte 25
4.1 Oplysningspligt 25
Hvordan oplysningerne skal gives 25
Ny oplysningspligt ved behandling til nye formål 25

Databeskyttelse i ansættelsesforhold 3
4.2 Indsigtsret 26
4.3 Ret til berigtigelse 28
4.4 Sletning 28
4.5 Indsigelse 29
5. Kontrol af medarbejdere 31
5.1 Oplysningspligt ved kontrolforanstaltninger 31
Viderebehandling af personoplysninger til kontrolformål 32
5.2 TV -overvågning 32
5.3 GPS -overvågning af køretøjer 33
5.4 Logning og kontrol af medarbejderes brug af internettet og e -mails 34
Tidligere medarbejderes e -mailkonti 34
5.5 Kontrol af medarbejderes komme -gå -tider 35
6. Faglige organisationers og tillidsrepræsentanters behandling af
personoplysninger 36
6.1 Dataansvar 36
Tillidsrepræsentanten og den faglige organisation 36
Tillidsrepræsentantens anven delse af arbejdsgivers it -udstyr 37
6.2 Fagforeningens behandling af personoplysninger 38
6.3 Videregivelse fra fagforening til hovedorganisation 39
6.4 Udveksling af oplysninger mellem fagforening og tillidsrepræsentant 39
6.5 Tillidsrepræsentantens videregivelse af personoplysninger 40
Videregivelse af oplysninger til medlemmer 40
Faglige klubber 40
7. Fag lige organisationers forpligtelse til at udpege en databeskyttelsesrådgiver 42

Databeskyttelse i ansættelsesforhold 4
Forord


Dette er en revideret udgave af vejledningen om databeskyttelse i ansæt-
telsesforhold fra december 2020 . Datatilsynet har opdatere t vejledningen i
lyset af tilsynets seneste praksis, herunder om indhentelse af straffeatte-
ster og referencer. Datat ilsynet har endvidere præciseret en række afsnit ,
herunder om arbejdsgiverens oplysningspligt og videregivelse af person-
oplysninger. Endelig er vejledningens opbygning justeret for at gøre vej-
ledningen mere letlæselig og brugbar.


Databeskyttelse i ansættelsesforhold er et komplekst område, hvor bl.a. de overordnede da-
tabeskyttelsesretlige regler, ansættelsesretlige regler samt kollektive overenskomster og afta-
ler har betydning for de behandlinger af personoplysninger, der sker på arbejdspladser og i
fagforeninger mv.
Såvel offentlige som private arbejdsgi vere behandler en stor mængde personoplysninger om
ansøgere i forbindelse med rekruttering og om medarbejdere . Dette gælder både under an-
sættelsen og efter ansættelsens ophør. Tilsvarende behandler faglige organisationer o g tillids-
repræsentanter person oply sninger om både deres medlemmer og andre medarbejdere på ar-
bejdspladsen. Hertil kommer, at der i vidt omfang udveksles oplysninger mellem de enkelte
aktører.
For at gøre vejledningen overskuelig og brugbar for så mange som muligt er der først og frem-
mest f okuseret på de mest almindeligt forekommende databeskyttelsesretlige problemstillin-
ger ved behandling af personoplysninger i ansættelsesforhold. I den forbindelse omtales bl.a.
dataansvar, behandlingsgrundlag (hjemmel) for behandling af personoplysninger, herunder
ved kontrol af medarbejdere, videregivelse af oplysninger og sletning samt rettigheder for de
registrerede (dvs. de ansatte samt ansøgere til ledige stillinger). Vejledningen indeholder imid-
lertid ikke en udtømmende beskrivelse af alle de situatio ner og databeskyttelsesretlige pro-
blemstillinger, der kan opstå i forbindelse med ansættelsesforhold.
Vejledningen om databeskyttelse i ansættelsesforhold kan med fordel læses i sammenhæng
med de øvrige vejledninger, der kan findes på Datatilsynets hjemmeside www.da tatilsynet.dk.
Der henvises navnlig til vejledning om samtykke, vejledning om registreredes rettigheder, vej-
ledning om dataansvarlige og databehandlere og vejledning om databeskyttelsesrådgivere.
Vejledningen forholder sig alene til de dat abeskyttelsesretlige aspekter og tager således ikke
stilling til arbejds - og ansættelsesretlige regler.

Databeskyttelse i ansættelsesforhold 5
1. Begreber i databeskyttelsesretten


Vejledningens indledende afsnit har til formål på en enkel og kor tfattet
måde at beskrive de vig tigste databeskyttelsesbegreber, som vil blive om-
talt i de enkelte afsnit i vejlednin gen. Endvidere omtales de bestemmelser
og principper i databeskyt telsesforordningen 1 og databeskyttelsesloven 2,
som er relevante for behandling af personoplysninger i ansættelses forhold.


1.1 Dataansvar
I databeskyttelsesreglerne sondre s der mellem, om man er ”dataansvarlig” eller ”databehand-
ler”.
Når man som privat virksomhed, offentlig myndighed, organisation, person mv. behandler per-
sonoplysninger, er det vigtigt at gøre sig kl art, hvilken rolle man har .
Den dataansvarlige er den private virksomhed, offentlige myndighed, organisation, person
mv., som har det overordnede ansvar for behandlingen af oplysningerne.
Ved fastlæggelsen af, hvem der er dataansvarlig, kan der lægges væ gt på, hvem der bestem-
mer formålet med behandlingen (hvorfor der behandles oplysninger) , hvordan oplysningerne
skal behandles (med hvilke hjælpemidler ) og af hvem oplysningerne må behandles.
En databehandler behandler derimod oplysninger på vegne af – og efter instruks fra – den
dataansvarlige.
Arbejdsgiveren
Det er arbejdsgiveren, der træffer beslutning om at ansætte og afskedige medarbejdere, og
det er arbejdsgiveren, der (overordnet) tilrettelægger udførelsen af det arbejde, som de an-
satte skal udføre. Arbejdsgiveren er derfor dataansvarlig for behandlingen af de oplysninger,
der indsamles i forbindelse med ansættelse, som registreres og behandles om den ansatte
under ansættelsesforholdet og som behandles efter ansættelsens ophør.
Det er også arbejdsgiveren, der har ansvaret for datasikkerhed i forbindelse m ed elektronisk
behandling af personoplysninger og i forbindelse med arbejdspladsens fysiske indretning.
Hvad angår den databeskyttelsesretlige rollefordeling i forholdet mellem arbejdsgiver , tillidsre-
præsentanter og faglige organisationer henvises til vejl edning en s afsnit 6.1. For yderligere
information om vurdering af databeskyttelsesretlige roller generelt henvises til vejledning en
om dataansvarlige og databehandlere , som kan tilgås på Datatilsynets hjemmeside.
1.2 Grundlag for behandling af personoplysninge r
Databeskyttelsesforordningens artikel 6
Behandling af persono plysninger må finde sted, hvis én af betingelserne i forordningens artikel
6, stk. 1, litra a - f, er opfyldt.

1 Europa -Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger). 2 Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Databeskyttelse i ansættelsesforhold 6
Af relevans for behandling af oplysninger i ansættelsesforhold kan særligt nævnes opfyldelse
af kontrakt 3, retlig forpligtelse 4, samfundets interesse elle r offentlig myndighedsudøvelse 5 samt
interesseafvejning 6. Man skal som arbejdsgiver sikre sig, at man vælger det mest passende
behandlingsgrundlag.
Kontrakt
En ansættelseskontrakt (ansættelsesbevis) kan udgøre hjemmel til behandling af personop-
lysninger , forudsat at behandlingen er nødvendig af hensyn til arbejdsgiverens opfyldelse af
kontrakten. I ansættelsesforhold kan ansættelses kontrakt en f.eks. tillade behandling af lønop-
lysni nger og kontooplysninger, således at der kan udbetales løn.
Retlig forpligtelse
Behandling af personoplysninger kan basere sig på en retlig forpligtelse. Dette er i ansættel-
sesforhold f.eks. tilfældet, når arbejdsgivere skal indberette oplysninger om dere s medarbej-
deres løn til eksempelvis SKAT.
Interesseafvejningsreglen
Brugen af interesseafvejningsreglen kræver, at der foretages en afvejning af på den ene side
arbejdsgiverens interesser og på den anden side medarbejderens interesser og frihedsret-
tighede r. I denne vurdering kan indgå karakteren af de oplysninger, som behandles , og hvilket
formål behandling en sker af hensyn til.
Nogle oplysninger har en sådan karakter, at de efter den almindelige opfattelse i samfundet
bør kunne forlanges unddraget offent lighedens kendskab. Der kan efter omstændighederne
være tale om oplysninger om formueforhold eller oplysninger om interne familieforhold, her-
under oplysninger om f.eks. selvmordsforsøg og ulykkestilfælde. Behandling af oplysninger af
denne karakter kan end videre være underlagt særregulering i anden lovgivning, jf. f.eks. for-
valtningslovens § 27 om tavshedspligt.
Den særlige interesse, som den registrerede har i, at behandling af sådanne oplysninger be-
grænses, vil i praksis især have betydning, når der er ta le om behandling af oplysninger på
baggrund af en interesseafvejning og navnlig i forbindelse med videregivelse.
Offentlige myndigheder kan som udgangspunkt ikke behandle personoplysninger på grundlag
af interesseafvejning sreglen i databeskyttelsesforordn ingens artikel 6, stk. 1, litra f . Det er
imidlertid Datatilsynets opfattelse, at der eksisterer et snævert rum for, at offentlige myndighe-
der kan behandle personoplysninger på grundlag af databeskyttelsesforordningens artikel 6,
stk. 1, litra f.
Dette vil være tilfældet, hvor behandlingen ikke vedrører den offentlige myndigheds opgave-
varetagelse, men hvor behandlingen ikke desto min dre er nødvendig af hensyn til, at myndig-
heden kan fungere på en tilfredsstillende og hensigtsmæssig måde, herunder i forhold til den
daglige drift af myndigheden, og aktiviteten, som foranlediger behandling af personoplysnin-
ger, i øvrigt er både saglig og lovlig for myndigheden at udføre. Datatilsynet har i en konkret
sag udtalt, at dette gjorde sig gældende for en offentlig myn digheds registrering af kontaktop-
lysninger på en pårørende til en ansat på dennes personalesag med henblik på, at den pårø-
rende kunne kontaktes, hvis der skulle ske et uheld involverende den ansatte.
Hvis man som arbejdsgiver behandl er oplysninger om ansatte på grundlag af en interesseaf-
vejning , skal man være opmærksom på, at den ansatte har ret til at gøre indsigelse. Læs mere
om den ansattes ret til at gøre indsigelse, og hvad dette indebærer, nedenfor i afsnit 4.5.

3 Databeskyttelsesforordningens artikel 6, stk. 1, li tra b. 4 Databeskyttelsesforordningens artikel 6, stk. 1, litra c. 5 Databeskyttelsesforordningens artikel 6, stk. 1, litra e. 6 Databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Databeskyttelse i ansættelsesforhold 7
Samtykke
Samtykke i ansættelsesforhold vil sjældent opfylde gyldighedsbetingelsen om at være afgivet
frivilligt grundet det ulige forhold, der typisk består mellem arbejdsgiveren og den ansatte.
Arbejdsgiveren skal derfor være opmærksom på, om samtykke er en passende beha ndlings-
hjemmel, herunder om den ansattes samtykke reelt er udtryk for den ansattes valg, eller om
samtykket er afgivet med frygt for væsentlige negative konsekvenser 7. Selv om samtykke ikke
er behandlingsgrundlag for en given behandling, kan den ansattes i ndforståelse eller indvilli-
gelse i nogle situationer være nødvendig for, at en behandling kan anses for rimelig .
Det er dog ikke udelukket, at b ehandling af personoplysninger i ansættelsesforhold kan finde
sted på baggrund af den ansattes samtykke 8.
Databeskyttelsesforordningens artikel 9
Særlige kategorier af person oplysninger (følsomme oplysninger) efter databeskyttelsesforord-
ningens artikel 9 er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk
overbevisning eller fagf oreningsmæssigt tilhørsforhold og behandling af genetiske data, bio-
metriske data med henblik på entydigt at identificere en fysisk person, helbredsoplysninger
eller oplysninger om en persons seksuelle forhold eller seksuelle orientering. Det er kun de
oply sninger, der er nævnt i forordningens artikel 9, som er følsomme oplysninger .
Efter artikel 9, stk. 1, må de omhandlede oplysninger ikke behandles, medmindre der kan
identificeres en undtagelse til dette forbud i enten forordningens artikel 9, stk. 2, elle r bestem-
melser, der gennemfører forordningens artikel 9, og der samtidig foreligger et lovligt grundlag
for behandling i forordningens artikel 6.
Af relevans for behandling af oplysninger i ansættelsesforhold kan særligt nævnes arbejdsret-
lige forpligtelse r9, fagforeningers behandling af oplysninger om medlemmer 10 og fastlæggelse
mv. af retskrav 11.
Databeskyttelseslovens § 7 supplerer bestemmelserne i forordningens artikel 9. Behandling
af oplysninger omfattet af artikel 9, stk. 1, kan bl.a. ske, hvis behan dling er nødvendig for at
overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser og specifikke
rettigheder .12
Helbredsoplysninger
Af følsomme oplysninger vil det navnlig være helbredsoplysninger, som kan indgå i en perso-
nalesag.
Efter de databeskyttelsesretlige regler forstås ved ”helbredsoplysninger” oplysninger, der ved-
rører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser,
og som giver information om vedkommendes helbredstilstand .13 Både den registreredes tidli-
gere, nuværende og fremtidige fysiske og mentale helbredstilstand er omfattet af begrebet.
Omfattet af begrebet er endvidere oplysninger om medicinmisbrug og misbrug af narkotika,
alkohol og lignende nydelsesmidler.
Det er et krav, at oplysningen i et vist omfang er konkretiseret. En oplysning om, at en person
er syg, uden angivelse af, hvori sygdommen består, kan eksempelvis ikke anses for at udgøre
en helbredsoplysning i databeskyttelsesforordningens forstand.

7 I Datatilsynets vejledning om samtykke kan man læse mere om, hv ilke betingelser – udover betingelsen om frivillighed – som skal være opfyldt for, at der foreligger et gyldigt samtykke.
8 Databeskyttelseslovens § 12, stk. 3.
9 Databeskyttelsesforordningens artikel 9, stk. 2, litra b. 10 Databeskyttelsesforordningens artikel 9, stk. 2, litra d. 11 Databeskyttelsesforordningens artikel 9, stk. 2, litra f. 12 Databeskyttelsesforordningens artikel 9, stk. 2, litra b jf. databeskyttelseslovens § 7, stk. 2. 13 jf. definitionen i databeskyttelses forordningen artikel 4, nr. 15. Af databeskyttelsesforordningen præambelbetragtning nr. 35 fremgår en række eksempler på oplysninger om helbredsforhold.

Databeskyttelse i ansættelsesforhold 8
Oplysninger om strafbare forhold
Oplysninger om strafbare forhold kan være en oplysning om, at en person har begået et straf-
bart forhold, men det kan også f.eks. være en oplysning om, at en person har adresse i et
fængsel. Også en påstand om eller undersøgelse af, om der er begåe t et strafbart forhold , kan
efter omstændighederne være oplysninger om strafbare forhold.
Det er imidlertid ikke enhver oplysning eller påstand om et muligt strafbart forhold, herunder
om enhver anmeldelse til politiet, der kan anses for omfattet. Hertil kræves, at oplysningen i
en eller anden form er underbygget, førend der er tale om oplysninger om strafbare forhold.
I databeskyttelsesloven s § 8 , der bygger på databeskyttelsesforordningens artikel 10, er der
særlige nationale bestemmelser , der regulerer behandling af oplysninger om strafbare forhold .
Personnummer
Reglerne om behandling af oplysninger om personnummer er fastsat i databeskyttelseslovens
§ 11.
Offentlige arbejdsgivere vil efter omstændighederne kunne finde hjemmel til behandling af op-
lysning er om personnummer i databeskyttelseslovens § 11, stk. 1, mens private arbejdsgivers
behandling af personnummer vil kunne ske med hjemmel i databeskyttelseslovens § 11, stk.
2, nr. 4, jf. § 7, stk. 2, og § 12, stk. 1.
Databeskyttelseslovens § 12
I databes kyttelseslovens § 12 er fastsat behandlingsgrundlag, der supplerer de øvrige hjem-
melsbestemmelser i loven og forordningen. Hensigten med bestemmelsen er at bringe fuld-
stændig sikkerhed for, at der på det offentlige og private arbejdsmarked lovligt kan beha ndles
personoplysninger i samme omfang om hidtil.
§ 12 vedrører ansættelsesretlige forhold og kan finde anvendelse både før, under og efter et
ansættelsesforhold og uafhængigt af, om den registrerede er medlem af en fagforening, så
længe den registreredes ansættelsesforhold /arbejde er omfattet af den pågældende overens-
komst mv.
Dette gælder både, hvor overenskomsten, herunder kollektive aftaler, foreskriver en pligt til
behandlingen – f.eks. en pligt til at underrette tillidsrepræsentanten eller den faglig e organisa-
tion ved afskedigelser – og hvor overenskomsten giver mulighed for eller forudsætter behand-
ling af personoplysninger – f.eks. hvis overenskomsten, herunder kollektive aftaler, forudsæt-
ter videregivelse af personoplysninger til tillidsrepræsentant en eller den faglige organisation,
som led i lønforhandlinger eller fagretlig konfliktløsning .
Databeskyttelseslovens § 12 omhandler oplysninger omfattet af såvel forordningens artikel 6,
stk. 1 , som artikel 9, stk. 1 . Det betyder, at der i de situationer, hvor § 12 finder anvendelse i
forbindelse med behandling af følsomme oplysninger , ikke skal identificeres både en undta-
gelse til forbuddet mod behandling af følsomme oplysninger og et lovligt grundlag. Behan dlin-
gen kan således ske alene på baggrund af § 12.
Bestemmelsen omhandler derimod ikke oplysninger om strafbare forhold omfattet af forord-
ningens artikel 10. For behandling af oplysninger om strafbare forhold – f.eks. oplysninger i en
straffeattest – gælder alene bestemmelserne i lovens § 8. Behandling af oplysninger om per-
sonnummer reguleres heller ikke direkte af § 12, men af databeskyttelseslovens § 11. Behand-
ling af oplysninger i medfør af § 11, stk. 2, nr. 4, jf. § 7, stk. 2, vil imidlertid også være omfattet
af § 12.
Bestemmelsen i § 12 må anses for at omfatte oplysninger om såvel medarbejdere som andre
personer, når betingelserne i bestemmelsen er opfyldt. Dette kunne være oplysninger om
medarbejdernes familie, f.eks. ægtefæller eller børn, i de situ ationer, hvor en sådan behand-
ling sker på baggrund af medarbejderens ansættelsesforhold.

Databeskyttelse i ansættelsesforhold 9
1.3 Grundlæggende principper for behandling af personoplysninger
Ved b ehan dling af personoplysninger i ansættelsesforhold skal arbejdsgiveren overholde en
række grundlæggende principper i databeskyttels esforordningens artikel 5 , hvilket indebærer ,
at personoplysninger skal:

• behandles lovligt, rimeligt og p å en gennemsigtig måde i forhold til den registrerede
(»lovlighed, rimelighed og gennemsigtighed«)
Lovlig hed betyder, at der skal være et lovligt gru ndlag for behandlingen, og at databeskyttel-
sesreglerne generelt skal overholdes. Det betyder også, at behandlingen ikke må ske i strid
med andre love og regler, f .eks. straffeloven .
Rimelighed vil sige, at behandlingen skal stå i et rimeligt forhold til de fordele, den medfører,
og ikke må stride mod den ansattes rimelige forventninger. Behandlingen skal være forståelig
for den ansatte og må ikke finde sted på skjulte eller manipulerende måder.
Gennemsigtigh ed indebærer, at det skal være klart for den ansatte , hvordan og hvorfor de nnes
personoplysninger behandles. De ansatte skal også underrettes om deres rettigheder, f.eks.
hvordan oplysningerne kan berigtiges eller slettes. Oplysningerne herom skal være let te at
finde og formuleret på en enkel og forståelig måde.

• indsamles til udtrykkeligt angivne og legitime formål og m å ikke viderebehandles p å
en måde, der er uforenelig med disse formål (»formålsbegrænsning«)
Formålsbegrænsning vil sige, at personoplysninger kun må indsamles til specifikke, udtrykke-
lige og legitime formål. Formålet skal være fastlagt, før behandlingen påbegyndes, og være
specifikt og konkret. Det betyder i praksis, at man som arbejdsgiver fra start skal gøre sig klart,
hvorfo r man indsamler personoplysningerne, og hvad man har tænkt sig at bruge dem til.
Princippet om formålsbegrænsning betyder også, at man som arbejdsgiver ikke må bruge op-
lysninger, som er indsamlet til ét formål, til et andet, uforeneligt formål.

• være tilst rækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de
formål, hvortil de behandles (»dataminimering«)
Dataminimering betyder, at man som arbejdsgiver ikke må behandle flere personoplysninger
end det, der er tilstrækkeligt og releva nt i forhold til formålet. Med andre ord må man ikke
behandle flere personoplysninger, end der reelt er behov for.
For at vurdere, om man behandler den rette mængde oplysninger, skal man derfor først gøre
sig klart, hvorfor der er brug for oplysningerne. Personoplysninger må ikke behandles ud fra
en svag formodning om, at oplysningerne måske kunne være nyttige i fremtiden.

• være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for
at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behand-
les, straks slettes eller berigtiges (»rigtighed«)
Princippet om rigtighed indebærer, at de behandlede personoplysninger skal være rigtige og
om nødvendigt ajourførte. Hvis personoplysningerne er forkerte, skal de berigtiges eller slet-
tes.

• opbevares p å en sådan måde, at det ikke er muligt at identificere de registrerede i et
længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende per-
sonoplysninger behandles (»opbevaringsbegrænsning«)

Databeskyttelse i ansættelsesforhold 10
Opbevaringsbegrænsning betyder, at man som arbejdsgiver kun må opbevare personoplys-
ninger, så længe det er nødvendigt at behandle dem af hensyn til formålet. Når personoplys-
ningerne ikke længere er nødvendige til formålet, skal de slette s eller anonymisere s.
For at kunne påvise , at man overholder databeskyttelsesreglerne, skal der indføre s procedurer
for sletning af personoplysninger, f.eks. at oplysningerne slettes efter en vis periode, eller, hvis
dette ikke er muligt, at der regelmæssigt sker kontrol af, om oplysningerne fortsat er nødven-
dige.
Princippet om opbevaringsbegrænsning er således ikke til hinder for generelle slettefrister for
bestemte sagstyper, når fristerne er sagligt begrundet , ligesom der ikke gælder en forpligtelse
til løbende at gennemg å samtlige sager, dokumenter mv. med henblik på at sikre, at der ikke
opbevares konkrete personoplysninger i strid med princippet om opbevaringsbegrænsning , så
længe man har procedurer, som sikrer, at der sker sletning i overensstemmelse med de fast-
satte f rister.

• behandles p å en måde, der sikrer tilstrækkelig sikkerhed for de pågældende person-
oplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod
hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende te k-
niske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
Dette indebærer bl.a., at en arbejdsgiver skal sikre, at de behandlede oplysninger om den
enkelte ansatte ikke falder i de forkerte hænder.

Databeskyttelse i ansættelsesforhold 11
2. Arbejdsgivers behandling af
oplysninge r under
rekrutteringsprocessen


2.1 Grundlag for behandling af person oplysninger
En rekrutterings - og ansættelsesproces vil bestå af flere stadier, fra en stilling opslås, og indtil
der er indgået en ansættelseskontrakt. Behovet og dermed grundlaget for at behandle person-
oplysninger kan variere, alt efter hvor langt man er nået i proce ssen.
Under forløbet vil personoplysninger efter omstændighederne kunne behandles efter artikel 6,
stk. 1, litra e (for offentlige arbejdsgivere), artikel 6, stk. 1, litra f (for private arbejdsgivere),
artikel 9, stk. 2, litra f, databeskyttelseslovens § 8 og/eller databeskyttelseslovens § 12 .
Oplysninger o m ansøgeren, som vedkommende på eg et initiativ aktivt overlader til arbejdsgi-
veren i forbindelse med fremsendelse af en jobansøgning, herunder selve ansøgningen, CV
mv., må ligeledes anses for at kunne behandles på baggrund af de o vennævnte bestemmel-
ser.
Under et rekrutteringsforløb vil a rbejdsgiveren ofte modtage en række oplysninger, som ikke
vil være nødvendige for at træffe beslutning om mulig ansættelse. Der kan imidlertid ikke an-
ses at eksistere en pligt for arbejdsgiveren til under selve processen at tage stilling til spørgs-
målet om oplysningernes relevans med henblik på eventuel sletning af oplysninger ne .
2.2 Behandling af oplysninger, der tilvejebringes under processen
Referencer
Under rekrutteringsforløbet vil det ofte være aktuelt at indhente referencer vedrørende én eller
flere ansø gere.
Databeskyttelsesreglernes anvendelsesområde
Hvis referenceoplysninger udveksles elektronisk, f.eks. via e -mail, vil databeskyttelsesreg-
lerne uden videre finde anvendelse.
Referenceoplysninger , som udveksles mundtligt, er alene omfattet af databeskyt telsesreg-
lerne, hvis der er tale om oplysninger, der er – eller vil blive – registreret elektronisk.
Hvorvidt referenceoplysninger , som udveksles mundtligt, er omfattet af databeskyttelsesreg-
lerne afhænger derfor af de nærmere omstændigheder omkring indhe ntelsen og videregivel-
sen af oplysningerne.
Offentlige myndigheder skal imidlertid være opmærksom på, at databeskyttelsesreglerne også
gælder for manuel videregivelse, f.eks. telefonisk videregivelse, af personoplysninger til en
anden forvaltningsmyndighed. 14
Indhentelse af referenceoplysninger
For så vidt angår indhentels e af referenceoplysninger finde r databeskyttelses reglerne anven-
delse, hvis man som arbejdsgiver registrere r oplysningerne elektronisk – eller hvis oplysnin-
gerne er bestemt til at blive registrer et elektronisk – f.eks. i et notat . Databeskyttelsesreglerne
vil også finde anvendelse, hvis oplysningerne registreres i et manuelt register.

14 jf. databeskyttelseslovens § 2, stk. 1.

Databeskyttelse i ansættelsesforhold 12
Sker der ikke nogen registrering af de indhentede referenceo plysninger, finder databeskyttel-
sesreglerne ikke anvendelse. Offentlige myndigheder skal imidlertid være opmærksomme på ,
om de indsamlede reference oplysninger er underlagt regler om notat - og journaliseringspligt .
Offentlige myndigheders indhentelse af ref erenceoplysninger om en ansøgers rent private for-
hold er desuden særreguleret i forvaltningslovens § 29. Samtykket , som skal gives efter for-
valtningslovens § 29 , er ikke et databeskyttelsesretligt samtykke.
Videregivelse af referenceoplysninger
En mundt lig videregivelse af referenceoplysninger er omfattet af databeskyttelsesreglerne,
hvis det , der gengive s, har nær sammenhæng med oplysninger , som i forvejen er registreret
elektronisk på f.eks. en personalesag. Det gengivne vil i hvert fald have nær sammenhæng
med oplysninger, som i forvejen er registreret elektronisk, hvis man forinden en mundtlig vide-
regivelse har sat sig ind i den ( tidligere) ansatte s personalesag eller lignende. I sådan en situ-
ation skal den, der videregiver referenceoply sninger, sikre at databeskyttelsesreglerne over-
holdes i forbindelse med videregivelsen.
Offentlige myndigheder skal desuden være opmærksomme på at overholde eventuelle regler
om tavshedspligt.
Hvis der er tvivl om, hvorvidt databeskyttelsesreglerne finde r anvendelse, bør man agere som
om, at reglerne finder anvendelse.
Hjemmel
Hvis indhentelse eller videregivelse af referenceoplysninger ud fra ovenstående er omfattet af
databeskyttelsesreglerne , kræver en sådan behandling en hjemmel efter databeskyttelse sfor-
ordningens artikel 6 . Følsomme o plysninger omfattet af databeskyttelsesforordningens artikel
9 kan som udgangspunkt ikke videregives ved udveksling af referencer .15
Samtykke 16 vil som udgangspunkt ikke kunne danne grundlag for indhentelse/videregivelse af
referencer, idet et sådan t samtykke – i en rekrutterings - og ansættelsesproces – ofte ikke lever
op til betingelsen om at være afgivet frivilligt, og derfor ikke kan anses som gyldigt.
Det rette grundlag for indhentelse af reference oplysninger vil i st edet efter en konkret vurdering
skulle findes i databeskyttelsesforordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere)
eller artikel 6, stk. 1, litra f (private arbejdsgivere).
For så vidt angår videregivelse n af referenceo plysninger vil det efter en konkret vurdering
skulle findes i databeskyttelsesforordningens artikel 6, stk. 1, litra f (offentlige og private ar-
bejdsgivere) .
Ved vurderingen af, om der foreligger hjemmel til indhentelse/videregivelse af referenceoplys-
ninger, skal hensynet t il den registrerede (ansøg eren) tillægges betydelig vægt på grund af de
potentielle konsekvenser en sådan udveksling af oplysninger kan have for den registrerede.
Den ansættende arbejdsgiver skal derfor sikre forudsigelighed og gennemsigtighed , herunder
at ansøgeren er informeret om, at – og fra hvem og hvornår – der vil blive indhentet referencer,
hvilke oplysninger der vil blive indhentet og at ansøgeren er indforstået med dette . Det kunne
f.eks . ske ved, at det fremgår af det pågældende stillingsopslag, at referencer fra (tidligere)
arbejdsgiver indhentes, eller hvis ansøgeren selv har opgivet referencen .
Ved indhentelse af oplysninger af mere beskyttelsesværdig karakter , f.eks. oplysninger om
sygehistorik, vil den ansættende arbejdsgiver i særlig grad skulle sikre sig, at den registrerede
er informeret om behandlingen, og a t denne er indforstået hermed.
Den , som videregiver referenceoplysninger, kan som udgangspunkt lægge til grund, at den
registrerede er in dforstået med , at der indhentes oplysninger om den pågældende , hvis den

15 Oplysninger om strafbare forhold kan alene videregives, hv is der foreligger en hjemmel hertil i databeskyttelseslovens § 8. 16 Databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Databeskyttelse i ansættelsesforhold 13
ansættende arbejdsgiver oplyser dette , med min dre der i den konkrete situation skulle være
en formodning om andet.
Ved videregivelse af oplysninger af mere beskyttelsesværdig karakter , f.eks. oplysninger om
sygehistorik, vil den , som videregiver, dog i særlig grad skulle sikre sig, at den registrerede er
informeret om behandlingen, og at denne er indforstået hermed.
Straffeattester og børneattester
En arbejdsgiver kan altid indhente en straffe - eller børneattest, hvis der efter lovgivningen er
en pligt hertil.
Det kan herudover i visse situationer være relevant for en arbejdsgiver at ind hente oplysninger
om strafbare forhold i form af straffeattester på personer, som påtænkes ansat, og på medar-
bejdere, som allerede er ansat .
I det omfang, straffeattester indeholder oplysninger om strafbare forhold , kan oplysninger
herom behandles , hvis der er hjemmel i databeskyttelseslovens § 8, stk. 1 17 (offentlige ar-
bejdsgivere) eller § 8, stk. 3 18 (pr ivate arbejdsgivere) .
Indeholder straffeattesten ikke oplysninger om strafbare forhold , er grundlaget i databeskyttel-
sesforordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere) eller artikel 6, stk. 1, litra f
(private arbejdsgivere).
Arbejdsgiverens behandling af personoplysninger i forbindelse med indhentelse af straffeatte-
ster skal også være i overensstemmelse med de grundlæggende principper i databeskyttel-
sesforordningens artikel 5, herunder særligt princippet om dataminimering. 19
F.eks. vil e n generel politik, hvorefter der standardmæssigt indhentes straffeattester for ansø-
gere, som man påtænker at ansætte, ikke være i overensstemmelse med artikel 5. Det må i
stedet bero på en konkret vurdering i de enkelte ansættelsessituationer e ller i forbindelse med
ansættelse i nærmere bestemte stillingskategorier, om indhentning af en straffeattest kan an-
ses for saglig og proportional og dermed i overensstemmelse med artikel 5.
Dette betyder, at indhentelse af straffeattest på en ansøger kræve r, at rekrutteringsforløbet er
så fremskredent, at den pågældende, om hvem der indhentes straffeattest, er i betragtning til
stillingen.
Dette betyder også , at indhentelsen af straffeattest på en ansøger, som påtænkes ansat, skal
være nødvendig for, at ar bejdsgiveren kan sikre sig, at en ansøger ikke er straffet af relevans
for en stilling, hvor det vil have betydning, om den pågældende er straffet, eller nødvendig af
hensyn til arbejdsgiverens legitimitet , herunder troværdighed udadtil .
Det vil f.eks. vær e relevant for en arbejdsgiver at sikre sig, at en person, som har søgt en
stilling som bogholder, ikke tidligere er straffet for berigelseskriminalitet. Det vil også være
relevant for en arbejdsgiver at sikre sig, at en person, som har søgt en stilling in den for pleje -
og omsorgssektoren med direkte borgerkontakt , herunder adgang til borgerens hjem, ikke tid-
ligere er straffet for vold og/eller berigelseskriminalitet. Det vil derimod sjældent være relevant
at indhente straffeattester i forhold til stillinge r, hvor stillingen ikke indebærer adgang til betro-
ede midler, forretningshemmeligheder mv.
For så vidt angår hensynet til arbejdsgivers legitimitet vil dette primært gøre sig gældende i
den offentlige sektor, hvor det er af afgørende betydning, at personer , som træffer afgørelser
og beslutninger om spørgsmål af betydning for borgerne, lever op til dekorumkrav. Det kan
således være berettiget at indhente straffeattester på sagsbehandlere mv., men der kan også

17 Af databeskyttelseslovens § 8, stk.1 følger, at offentlige arbejdsgivere ikke må behandle oplysninger om strafbare forhold, medm indre det er nødvendigt for varetagelsen af myndighedens opgaver. 18 Af databeskyttelseslovens § 8, stk. 3 følger, at private arbejdsgivere må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herud over kan behandling ske, hvis det er nødvendigt til vareta- gelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. 19 Af databeskyttelsesforordningens artikel 5, stk. 1, litra c følger det, at personoplysninger skal være tilstrækkelige, releva nte og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) .

Databeskyttelse i ansættelsesforhold 14
i det offentlige være funktioner, hvor det som ud gangspunkt ikke er nødvendigt, f.eks. i forhold
til kantinepersonale.
En arbejdsgiver vil derfor ikke være berettiget at indhente en straffeattest i tilfælde, hvor dette
kun sker ”fordi man kan”, og hvor det i realiteten alene sker for at vurdere den pågæ ldende
ansøgers karakter.
Der gælder i det væsentligste samme adgang til løbende at indhente straffeattester på allerede
ansatte medarbejdere, idet de hensyn, som kan begrunde en indhentelse af straffeattester i
forbindelse med ansættelse, i mange tilfælde må antages også at ville gøre sig gældende
under ansættelsen . Dog bør man altid overveje, hvorvidt der er situationer , hvor det ikke vil
kunne anses for nødvendigt at indhente en straffeattest, fordi den pågældende arbejdsgiver
allerede har kendskab til d en pågældende medarbejder.
Offentlige arbejdsgivere har endvidere normalt ikke behov for løbende at indhente straffeatte-
ster på allerede ansatte medarbejdere , idet offentlige arbejdsgivere – i henhold til cirkulære
nr. 9723 af 27 . september 2021 – automatisk vil få oplysninger om (visse) straffesag er mod
offentlig t ansatte .
Straffe - og børneattester skal slettes eller anonymiseres, så snart formålet eller formålene med
indhentelse af attesterne er opnået.
Det er i første omgang op til arbejdsgivere n at vurdere, hvor længe det er nødvendigt at opbe-
vare oplysningerne ud fra det formål, som oplysningerne oprindeligt blev indsamlet til.
Offentlige arbejdsgiveres indhentelse af straffe - og børneattester i forbindelse med ansættel-
sessager er desuden regu leret af forvaltningslovens § 29.
På politiets hjemmeside www.politi.dk findes oplysninger om betingelserne for og fremgangs-
måden ved indhentelse af straffe - og børneattester.

Eksempel 1
I et jobopslag anmoder en arb ejdsgiver om, at jobansøgere vedlægger en privat straf-
feattest til deres ansøgning. Der er tale om en betroet stilling, hvor det er afgørende,
at der ansættes en person med pletfri vandel.
En sådan generel indhentelse af straffeattest vil ikke være i overe nsstemmelse med
betingelsen om, at behandling skal være nødvendig.
Arbejdsgiveren må indrette sin ansættelsesprocedure på en sådan måde, at der kun
anmodes om straffeattester fra de ansøgere, der for alvor er med i opløbet om stillin-
gen.

RKI -register
En arbejdsgiver kan have et ønske om at indhente oplysninger fra RKI i forbindelse med re-
kruttering af medarbejdere .
En arbejdsgiver må ikke indhente kreditoplysninger om ansøgere , medmindre der er tale om
ansættelse i en særligt betroet stilling.
Særligt betroede stilling er kan eksempelvis være stillingsbetegnelser som varehuschef, bu-
tikschef, souschef, afdelingsleder, bogholder og ledende medarbejder med økonomiansvar.
Det er Datatilsynets opfattelse, at stillinger som eksempelvis servicemedarbejder, buti ks- eller
salgsassistent ikke vil have karakter af særligt betroede stillinger. Medarbejdere, hvis opgaver
er af mere praktisk karakter, såsom journaliseringsarbejde, telefonomstilling m.v., anses heller
ikke for at bestride særligt betroede stillinger. Hv ad der er en betroet stilling, beror (også ) på
arbejdsretlig praksis.

Databeskyttelse i ansættelsesforhold 15
IQ - og p ersonlighedstest
Gennemførelse af en IQ- og personlighedstest forudsætter ansøgerens aktive medvirken. Det
vil normalt ikke være følsomme oplysninger, der afgives, og behandling af disse vil kunne ske
med hjemmel i forordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere) eller litra f (private
arbejdsgivere).
Oplysninger på sociale medier
En arbejdsgiver kan indsamle og anvende offentligt tilgængelige oplysninger, som e n ansøger
har offentliggjort om sig selv, f.eks. på sociale medier 20. En arbejdsgiver kan endvidere ind-
samle og anvende oplysninger om en ansøger, som andre har offentliggjort om den pågæl-
dende .
Som arbejdsgiver skal man imidlertid være opmærksom på de gru ndlæggende principper i
databeskyttelsesforordningens artikel 5 og reglerne i artikel 13 og 14 om oplysningspligt.
2.3 Opbevaring af oplysninger om ansøgere
I en ansættelsessituation vil der som regel være flere ansøgere, som ikke bliver ansat . Her
opstår spø rgsmålet, hvornår virksomheden eller myndigheden skal slette oplysninger om an-
søgere, som ikke blev tilbudt en stilling.
Personoplysninger skal slettes, når det ikke længere er nødven digt at opbevare disse 21.
Hverken private virksomheder eller offentlige myndigheder har som udgangspunkt en pligt til
at opbevare personoplysninger om ansøgere, der ikk e er blevet tilbudt en stilling i en bestemt
periode . Det kan dog være både hensigtsmæssigt og sagligt, at virksomheder og myndigheder
opbevarer relevante oplys ninger i en vis periode , efter at rekrutteringsforløbet er færdig t.
Denne periode skal imidlertid være så kort som mulig t.
Der kan i særlovgivningen være regler, som pålægger arbejdsgiveren at opbevare personop-
lysninger i en bestemt periode.
En arbejdsgiver kan have en interesse i at opbevare oplysninger om ansøgere med henblik
på mulig senere ansættelse. Opbevaring til dette formål skal ske med ansøgers samtykke.
Den dataansvarlige skal oplyse ansøgeren om , hvor lang tid ansøgningen vil blive ge mt , og at
vedkommende kan trække sit samtykke tilbage . At ansøgeren har givet sit samtykke betyder
ikke, at oplysningerne kan gemmes i en ubegrænset periode. Den dataansvarlige må vurdere,
hvor lang en periode det vil være relevant at have ansøgningen.





20 Hjemmel hertil fi ndes i forordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere) eller litra f (private arbejdsgivere) og artikel 9, stk. 2, litra e, for så vidt angår særlige kategorier af personoplysninger. 21 Databeskyttelsesforordningens artikel 5, stk. 1, l itra e.

Databeskyttelse i ansættelsesforhold 16
3. Arbejdsgivers behandling af
oplysninger under og efter
ansættelsen


3.1 Arbejdsgivers registrering og opbevaring af oplysninger
Arbejdsgiveren kan lovligt registrere en række oplysninger om medarbejderen, i det omfan g
arbejdsgiveren skal bruge oplysningerne 22. Dette kan f.eks. omfatte følgende oplysninger:
Identifikationsoplysninger såsom medarbejderens navn, adresse og telefonnummer, fødselsdato,
nær familie, oplysninger om uddannelse, udtalelser, tidligere beskæftigelse, nuværende stilling, ar-
bejdsopgaver, arbejdstider og andre tjenstlige forhold, herunder gennemførte kurser, oplysninger
om løn, skat, sygefravær og sygdomsperioder, oplysninger om andet fravær fra arbejdet, oplysnin-
ger om pensionsforhold, skatteoplysninger og oplysninger om konto nummer, hvortil løn skal anvi-
ses.
Særlige kategorier af personoplysninger omfattet af databeskyttelsesforordningens artikel 9
En arbejdsgiver kan registrere følsomme oplysninger, hvis det er nødvendigt for at opfylde
bestemmelser i en lov eller bekendtgøre lse eller i en kollektiv overenskomst . Der kan f.eks.
registreres helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale om refusion
efter § 56 i lov om sygedagpenge, ligesom det kan være nødvendigt at registrere årsag til
afskedigelse .23
Behan dling af oplysninger om fagforeningsmæssig t tilhørsforhold kan ske, hvis behandlingen
er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller den
registreredes sp ecifikke rettighede r.24
De r kan endvidere være behov for at registrere følsomme oplysninger , som er nødvendig e for,
at der kan fastlægges et retskrav . 25 Hvis der kan tænkes at opstå et retskrav for en medarbej-
der, f.eks. et krav på erstatning som følge af en arbejdsskade, kan det være nødvendigt at
registrere følso mme oplysninger til brug for en eventuel sag.
Det er vigtigt at være opmærksom på, at bestemmelser i særlove kan begrænse adgangen til
at indsamle, registrere eller i øvrigt behandle følsomme oplysninger . Dette vil efter omstæn-
dighederne kunne være tilfæld et i forhold til f.eks. lov om brug af helbredsoplysninger mv. på
arbejdsmarkedet og lov om forbud mod forskelsbehandling på arbejdsmarkedet mv.
Oplysninger om strafbare forhold
Det vil også kunne forekomme, at en arbejdsgiver har behov for at registrere oplysninger om
et strafbart forhold, f.eks. i form af underslæb begået af en medarbejder, hvis dette er nødven-
digt for at kunne gøre virksomhedens krav på erstatning gældende over for medarbejderen
eller for at kunne dokumentere sagligheden af en bortvisni ng eller afskedigelse. Registrering
af sådanne oplysninger kan ske i medfør af databeskyttelseslovens § 8.
MUS -skemaer
I flere overenskomster anbefales det at afholde medarbejderudviklingssamtaler, ligesom der
findes overenskomster, som indeholder en egent lig forpligtelse for arbejdsgiver til at udarbejde
en udviklingsplan for hver medarbejder. Herudover afholdes der efter arbejdsretlige kutymer
medarbejdersamtaler inden for flere overenskomstområder. På såvel det statslige som det

22 Hjemlen hertil findes i databeskyttelsesforordningens artikel 6, stk. 1, litra b. 23 Funktionærlovens § 2, stk. 7, 3. pkt. 24 Databeskyttelsesforordningens artikel 9, stk. 2, litra b, jf. databeskyttelseslovens § 7, stk. 2, og § 12. 25 Databeskytte lsesforordningens artikel 9, stk. 2, litra f.

Databeskyttelse i ansættelsesforhold 17
kommunale og regionale om råde er der indgået aftaler om kompetenceudvikling, hvoraf det
fremgår, at der skal afholdes medarbejderudviklingssamtaler. Behandling af oplysninger i
denne forbindelse kan ske med hjemmel i databeskyttelseslovens § 12, stk. 1 og 2.
I det omfang , der uden for de ovennævnte tilfælde afholdes medarbejderudviklingssamtaler
på det private arbejdsmarked, vil personoplysninger kunne behandles på grundlag af artikel 6,
stk. 1, litra f . I disse tilfælde kan følsomme oplysninger ikke registreres eller på anden måde
behandles.
Medarbejderudviklingssamtaler afholdes med det formål at drøfte den enkelte medarbejders
mulighed for faglig og personlig udvikling. Ofte anvendes et skema til brug for samtalen. Kopi
af skemaet kan blive opbevaret på medarbejderens personalesag og er omfattet af databe-
skyttelsesforordningens regler, hvis der er sket en elektronisk behandling af skemaet, f.eks.
fordi der er anvendt tekstbehandling, eller fordi skemaet er indscannet på sagen. Hvis der er
tale om et håndskrevet dokument , der er lagt i en ikke -elektronisk personalemappe, vil be-
handlingen af oplysningerne være omfattet af databeskyttelsesreglerne, hvis der er tale om et
manuelt register, dvs. hvis det manuelle materiale opbevares struktureret efter bestemte kri-
terier vedrø rende personer for at lette adgangen til personoplysninger.
Arbejdspladsvurderinger, medarbejdertilfredshedsundersøgelser, mv.
Der er efter arbejdsmiljølovgivningen en pligt for de fleste arbejdsgivere – både offentlige og
private – til at udarbejde en arb ejdspladsvurdering (APV).
Behandling af personoplysninger i forbindelse med en APV vil være omfattet af databeskyttel-
sesreglerne , hvis der foretages elektronisk behandling af oplysninger, som siger noget om
identificerbare medarbejdere. Hvis der behandles oplysninger, som er gjort anonyme, dvs. at
de registrerede ikke længere kan identificeres, vil der ikke være tale om behandling af person-
oplysninger, og databeskyttelses reglerne finder ikke anvendelse.
Hvis det er muligt at identificere en bestemt medarbej der i en APV, vil arbejdsgiveren kunne
be handle oplysningerne med hjemmel i forordningens artikel 6, tik. 1, litra c eller e , og databe-
skyttelseslovens § 12, stk. 1.
For medarbejdertilfredshedsundersøgelser, lederevalueringer, mv., der ikke er lovpligtige og
ikke følger af overenskomst mv., vil behandlingshjemmel kunne findes i artikel 6, stk. 1, litra e
(offentlige arbejdsgivere) eller litra f (private arbejdsgivere).
Optagelse af telefonsamtaler
En arbejdsgiver kan i visse tilfælde have en berettiget interesse i at optage medarbejderes
telefonsamtaler med f.eks. kunder, borgere mv. af hensyn til oplæring, løbende uddannelse
og kvalitetssikring for at kunne yde bedre vejledning.
Arbejdsgiveren skal være opmærksom på, at der vil ske be handling af persono plysninger om
medarbejdere, når en arbejdsgiver optager en telefonsamtale , f.eks. i forbindelse med telefo-
nisk kundeservice.
Optagelse af telefonsamtaler kan som udgangspunkt ikke baseres på medarbejderens sam-
tykke, idet der er et ulighedsforhold mellem a rbejdsgiver og medarbejderen, hvorfor samtykket
ikke vil kunne anses for afgivet frivilligt og dermed ikke vil opfylde betingelserne for et gyldigt
samtykke.
Optagelse af medarbejdere kan imidlertid efter omstændighederne ske med hjemmel i data-
beskyttelses forordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere ) eller artikel 6, stk.
1, litra f (private arbejdsgivere ), hvis optagelsen på baggrund af ovennævnte hensyn er be-
grundet i f.eks. uddannelse af medarbejdere.
Dette vil i hvert fald være til fældet, hvis der er hjemmel til at optage telefonsamtalen for så vidt
angår oplysninger om kunder og lignende, f.eks. fordi kunden har samtykket hertil.
Optagelse af medarbejderes telefonsamtaler forudsætter, at optagelsen er egnet og nødven-
dig af hensyn til det formål , arbejdsgiveren har med at optage medarbejderens samtale f.eks.
med uddannelse for sigte. Derudover skal man sikre sig, at optagne s amtale r bliver slette t med
faste korte intervaller, med min dre der konkret er en anledning til at opbevare en samtale.

Databeskyttelse i ansættelsesforhold 18
Optage lse af medarbejdere forudsætter desuden, at medarbejderen er blevet informeret om,
at samtaler optages , og oplyst om formålet med optagelsen .
3.2 Opbevarin g af oplysninger efter ophør af ansættelse
Oplysninger om tidligere medarbejdere må opbevare s, så længe der er et administrativt behov
for det , f.eks. fordi det er nødvendigt at dokumentere forløbet af en ansættelse. Det kunne
f.eks. være i relation til lønkrav, pensionsadministration og arbejdsskader.
Det kan desuden følge af lovgivning, at oplysninger skal opbevares i et vist tidsrum. Dette
gælder f.eks. i forhold til lønoplysninger, hvor der er skatteretlige regler, som arbejdsgiveren
skal overholde i f orhold til indberetning af oplysninger til SKAT. Også forældelsesfrister kan
efter omstændighederne have betydning for vurderingen af, hvor længe det er sagligt og pro-
portionalt at opbevare bestemte oplysninger.
I forbindelse med afskedigelse kan arbejdsgi veren endvidere have behov for at opbevare op-
lysninger, som er nødvendige for at fastlægge et eventuelt retskrav som følge af afskedigel-
sen. Tilsvarende kan gælde, hvis den ansatte har været udsat for en arbejdsskade , hvor op-
lysningerne kan være nødvendige af hensyn til behandling af et eventuelt krav om erstatning
som følge af arbejdsskaden .
For offentlige arbejdsgivere gælder herudover, at der som følge af notat - og journaliserings-
pligten i offentlighedsloven er begrænsede muligheder for at slette oplysni nger i personalesa-
ger. Også reglerne i arkivlovgivningen kan have betydning for adgangen til at slette oplysnin-
ger.
3.3 Arbejdsgiverens videregivelse af person oplysninger
Videregivelse af personoplysninger i forbindelse med ansættelsesforhold finder sted i en
række forskellige sammenhænge. I visse tilfælde følger det direkte af lovgivningen, at der skal
ske videregivelse af oplysninger – eksempelvis når arbejdsgiveren skal give SKAT oplysning
om de ansattes løn. Endvidere kan en videregivelse føl ge af en overen skomst.
Hvis der ikke foreligger et særligt lovgrundlag eller en overenskomst , må grundlaget for vide-
regivelsen findes i databeskyttelsesforordningen og i databeskyttelsesloven.
Videregivelse af lønoplysninger internt på arbejdspladsen
Spørgsmålet om , til hvem og i hvilke situationer oplysninger om løn og løntillæg kan videregi-
ves , må tage udgangspunkt i den enkelte arbejdsplads, herunder om lønforhandlinger vareta-
ges af en fagforening, en tillidsrepræsentant eller eventuelt foregår individuelt. Indholdet a f
overenskomster og eventuelle lokalaftaler om lønforhandlinger/ - politik mv. kan ligeledes til-
lægges betydning.
Oplysninger om løn og løntillæg kan som udgangspunkt videregives på arbejdspladsen set i
lyset af, at medarbejderne kan have en berettiget int eresse i at kende til sammenlignelige
gruppers løn og løn tillæg med henblik på at kunne danne sig en rimelig forventning om egne
lønmuligheder og for at få mulighed for at arbejde målrettet på at kvalificere sig til eventuelle
tillæg.
Overfor hensynet til at sikre en åben og gennemsigtig løndannelse står hensynet til den an-
sattes interesse i at beskytte sit privatliv og holde indtægtsforhold for sig selv. Det bør således
indgå i vurderingen, om samme formål kan opnås ved alene at videregive anonymiserede e ller
statistiske oplysninger.
Begrundelser for lønforbedringer, tillæg mv./afslag på tillæg, der indeholder negativt ladede
udtalelser om den enkelte ansatte, kan ikke videregives indenfor rammerne af databeskyttel-
sesreglerne. Sådanne oplysninger vil således skulle fjernes inden videregivelse.
Videregivelse af oplysninger til tillidsrepræsentanten
En arbejdsgiver vil i flere tilfælde have mulighed for at videregive oplysninger om ansatte til
tillidsrepræsentanten med det formål, at tillidsrepræsentanten kan udføre sine opgaver, her-
under opgaver der følger af overenskomst.

Databeskyttelse i ansættelsesforhold 19
I forbindelse med ansættelse af nye medarbejdere kan en arbejdsgiver videregive oplysninger
om de nyansattes navn, kontaktoplysninger, kvalifikationer , løn - og anciennitetsindplacering
og ansøgning og CV mv. , til en tillidsrepræsentant, hvis videregivelsen er nødvendig for, at
tillidsrepræsentanten kan udføre sit hverv, herunder påse at de ansættelsesretlige regler over-
holdes. 26
Hvad angår videregivelse af personnummer henvises til vejledningens afsnit 1.2. 4.
Hvis tillidsrepræsentanten vil skulle inddrages ved forhandling af løn, vil det normalt være nød-
vendigt for, at tillidsrepræsentanten kan udføre opgaven, at arbejdsgiveren videregiver en
række lønoplys ninger om de ansatte til tillidsrepræsentanten. En arbejdsgiver vil således
kunne videregive oplysninger til tillidsrepræsentanten om løn og løntillæg og begrundelser for
tildeling samt oplysninger om arbejdsopgaver , f.eks. i form af opgaveoversigter .27
Adg angen til at videregive lønoplysninger eller andre oplysninger om ansatte omfatter både
medlemmer af en fagforening og ansatte, som ikke er medlemmer af tillidsrepræsentantens
fagforening, hvis oplysningerne er relevante for tillidsrepræsentantens udøvelse af forhand-
lingsretten eller for varetagelsen af tillidsrepræsentantens hverv i øvrigt.
Oplysninger om fagforeningsmæssigt tilhørsforhold er omfattet af databeskyttelsesforordnin-
gens artikel 9. Der henvises til vejledningens afsnit 1.2.2 og 1.2.5 for infor mation om hjem-
melsgrundlag for behandling af disse typer oplysninger.
Eksempel 2
En arbejdsgiver holder på baggrund af et stillingsopslag samtaler med en række an-
søgere. Herefter tilbyder arbejdsgiveren en ansøger ansættelse. Ansøgeren er fort-
sat interesse ret i jobbet og lønforhandlingen starter.
Den for ansættelsen gældende overenskomst har f.eks. regler om, at løn og pension
afhænger af bl.a. uddannelse og erfaring fra tidligere relevante ansættelsesforhold,
og at den overenskomstbærende fagforening forh andler lønnen for alle ansatte om-
fattet af overenskomsten eller skal inddrages i lønforhandlingen for at varetage an-
søgerens interesser.
I disse situationer kan arbejdsgiveren sende eksempelvis ansøgerens navn, kontakt-
oplysninger, oplysninger om uddannels e og tidligere ansættelsesforhold (typisk CV),
ansættelseskontrakt og lønoplæg til den fagforening/tillidsrepræsentant, der har for-
handlingsretten, så fagforeningen/tillidsrepræsentanten kan tage den nødvendige
kvalificerede kontakt til ansøgeren med henbl ik på at forberede lønforhandlingen.

Eksempel 3
En tillidsrepræsentant på en arbejdsplads forhandler efter overenskomsten løntillæg
for de ansatte. Alle de ansatte er repræsenteret af tillidsrepræsentanten, der har for-
handlingsretten, uanset at ikke alle er medlemmer af den fagforening, som tillidsre-
præsentanten tilhører.

26 Afhængig af oplysningernes karakter vil videregivelsen kunne ske i medfør af databeskyttelseslovens § 12, stk. 1 eller 2, forordningens artikel 6 eller artikel 9, stk. 2, litra b, jf. databeskyttelseslovens § 7, stk. 2, for så vidt angår følsomme oplysnin- ger. 27 Videregivelse i forbindelse med lønforhandlinger vil kunne ske efter databeskyttelsesloven § 12, stk. 1 eller stk. 2.

Databeskyttelse i ansættelsesforhold 20
Fagforeningen har på grundlag af overenskomsten bemyndiget tillidsrepræsentanten
til at forestå de lokale forhandlinger om løntillæg. For at kunne håndtere lønforhand-
lingen beder til lidsrepræsentanten om lønoplysninger for alle de ansatte, der er om-
fattet af den kollektive overenskomst.
Arbejdsgiveren kan i denne situation udlevere lønoplysninger om alle de ansatte, som
tillidsrepræsentanten skal repræsentere. Ved at få oplysninger om alle og ikke kun de
ansatte, der er medlem af fagforeningen, kan tillidsrepræsentanten danne sig et sam-
let overblik over fordelingen af tillæg. Arbejdsgiverens videregivelse af oplysninger til
tillidsrepræsentanten vil kunne ske med hjemmel i databeskytte lseslovens § 12, stk.
1.
Arbejdsgiveren skal dog være opmærksom på kun at videregive oplysninger, der er
nødvendige i forhold til formålet. I det omfang arbejdsgiveren har oplysninger om fag-
foreningsmæssigt tilhørsforhold om de ansatte, vil dette ikke være oplysninger, der er
relevante i forhold til forhandling af løntillæg, og derfor må arbejdsgiveren ikke videre-
give disse oplysninger til tillidsrepræsentanten.
Videregivelse af oplysninger til en fagforening
Arbejdsgivers videregivelse af oplysninger om d e ansatte til en fagforening kan ske efter da-
tabeskyttelseslovens § 12, stk. 1, hvis videregivelsen sker for at overholde en forpligtelse i
enten lov eller overenskomst, eller efter § 12, stk. 2, hvis arbejdsgiveren, fagforeningen eller
en tredjemand har e n legitim interesse – som overstiger hensynet til den ansatte – i, at oplys-
ningerne videregives.
Hvad angår videregivelse af perso nnummer henvises til vejledningens afsnit 1.2. 4.

Eksempel 4
En arbejdsgiver videregiver oplysninger om en uansøgt afsked ti l en fagforening, som
har indgået overenskomst med virksomheden. Virksomheden videregiver samtidig
medarbejderens personnummer.
Hvis pligten til videregivelse fremgår af den relevante overenskomst, vil arbejdsgive-
ren kunne videregive oplysningen om afskedi gelse for at overholde en arbejdsretlig
forpligtelse, jf. databeskyttelseslovens § 12, stk. 1.
Hvis der tillige fremgår en forpligtelse til at videregive personnummer med henblik på
entydig identifikation, vil videregivelsen af personnummer kunne ske med h jemmel i
databeskyttelseslovens § 11, stk. 1, eller § 11, stk. 2, nr. 4, jf. § 7, stk. 2, og § 12, stk.
1.
Videregivelse af oplysninger til pensionsselskaber
En ansættelseskontrakt vil ofte indeholde aftaler omkring pension. Reglerne for, hvad der skal
indbetales til en pensionsordning, kan fremgå af overenskomsten, eller der kan være tale om
en arbejdsgiverordning, som medarbejderne ikke selv har fuld indflydelse på. Det vil derfor for
de fleste medarbejdere ikke være valgfrit, hvor de anbringer deres pen sionsopsparing.
Adgangen til at videregive oplysninger om medarbejdernes lønforhold til pensionsselskaber
må i almindelighed antages at følge af databeskyttelseslovens § 12, stk. 1, eller forordningens
artikel 6, stk. 1, litra b.
Offentlige arbejdsgiveres videregivelse og deling af medarbejderoplysninger
Kommuner og regioner

Databeskyttelse i ansættelsesforhold 21
Særligt på det kommunale og regionale område gælder, at de enkelte administrative enheder
i en kommune eller en region kan udgøre én samlet forvaltningsmyndighed (enhedsforvalt-
ning). Formålet med enhedsforvaltningerne er at gøre det lettere at koordinere og udføre ad-
ministrative opgaver. Det vil derfor ofte være en central HR -afdeling, der varetager personale-
administrationen og råder over oplysningerne om de ansatte. Hvis der er en dig ital personale-
sag i en sådan central HR -afdeling, er det en forudsætning, at adgang til sagen tilrettelægges
og teknisk indrettes sådan, at der alene er adgang for personer, som har sagligt behov for at
kunne tilgå oplysningerne, dvs. normalt alene (udvalg te) personaleadministrative medarbej-
dere og medarbejderens leder.
Hvis medarbejderen skifter tjenestested inden for kommunen, vil adgangen til personalesagen
herefter kunne flyttes over til medarbejderens nye leder og eventuelt andre (udvalgte) perso-
naleadministrative medarbejdere. Dette kræver ikke medarbejderens samtykke. Der er i dette
tilfælde tale om en intern deling og ikke en videregivelse .
Det statslige område
Der kan være forskel på, hvordan staten (centraladministrationen) har organiser et personale-
administrationen i de enkelte min isterier. For staten gælder der ikke det samme princip som
for kommunerne og regionerne om enhedsforvaltning, og der er derfor som udgangspunkt ikke
samme adgang til at udveksle oplysninger om medarbejderne på t værs af institutioner.
Hvis ansættelse på et min isterområde helt eller delvis sker via et min isteriums departement
med henblik på ansættelse i min isterområdets styrelser o. lign., vil både departementet og de
respektive styrelser, hvor medarbejderne skal g øre tjeneste, være dataansvarlige for behand-
lingen af de personoplysninger, som de hver især behandler. Udveksling af oplysninger mel-
lem forskellige dataansvarlige vil være en videregivelse.
Det vil bero på en konkret vurdering, hvem der skal anses for at være dataansvarlig. I vurde-
ringen indgår spørgsmål om formålet med behandling af oplysningerne, hvem der bestemmer
formålet, og hvordan oplysningerne skal behandles.
Hvis der anvendes én digital personalesag på min isteriets område, er det en forudsætning, at
adgang til sagen tilrettelægges og teknisk indrettes sådan, at der alene er adgang for personer,
som har sagligt behov for at kunne tilgå oplysningerne, dvs. normalt alene (udvalgte) perso-
naleadministrative medarbejdere hos den myndighed, hvor personen er ansat.
Hvis medarbejderen skifter ansættelsessted, vil adgangen til personalesagen kunne flyttes
over til personaleadministrative medarbejdere hos det nye ansættelsessted. Da der er tale om
videregivelse af oplysninger fra én dataansvarlig til en anden, må det i den forbindelse nøje
vurderes, hvilke registreringer på personalesagen der er hjemmel til at videregive til det nye
ansættelsessted, således at der ikke gives adgang til andre oplysninger end disse.
Private arbejdsgiveres videregivelse af oplysni nger inden for koncerner
Udgangspunktet er, at de selskaber, som indgår i en koncern, betragtes som selvstændige
virksomheder. De enkelte selskaber vil derfor som udgangspunkt være selvstændigt dataan-
svarlige. Der henvises til afsnit 1. 1. ovenfor om dataan svar.
I en koncern kan der være en central personaleadministration, således at oplysninger om an-
satte behandles centralt.
Dataansvarlige, der indgår i en koncern, kan have en legitim interesse i at videregive person-
oplysninger inden for koncernen til inte rne administrative formål, herunder behandling af med-
arbejderes personoplysninger.
Orientering om fratrædelse/afskedigelse og sygefravær internt på arbejdspladsen
Orientering om fratrædelse/afskedigelse
Arbejdsgiveren må gerne informere ansatte om , at en medarbejder er stoppet eller stopper på
arbejdspladsen. Dette kan efter omstændighederne ske med hjemmel i databeskyttelsesfor-
ordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere ) eller artikel 6, stk. 1, litra f (private
arbejdsgivere )

Databeskyttelse i ansættelsesforhold 22
Typisk v il det være tilstrækkeligt at oplyse om, at en medarbejder på en given dag stopper ,
f.eks. fordi vedkommende har fået nyt job. Derimod vil det som udgangspunkt ikke være i
overensstemmelse med databeskyttelsesreglerne at oplyse , at vedkommende stopper , fordi
den pågældende er blevet afskediget og/eller oplyse nærmere om baggrunden for afskedigel-
sen.
Der kan imidlertid være konkrete tilfælde, hvor særlige hensyn til arbejdsgiveren, de øvrige
ansatte på arbejdspladsen eller den afskedige de selv kan medfør e, at arbejdsgiveren undta-
gelsesvis internt på arbejdspladsen kan oplyse, at vedkommende stopper , fordi den pågæl-
dende er blevet afskediget/bortvist og/eller oplyse nærmere om baggrunden for afskedigelsen.
Et eksempel på dette kunne være, at de ansatte – fra den fratrådte selv eller på anden vis –
allerede er bekendt med årsagen . Et andet eksempel kunne være, at arbejdsgiveren ved at
dele oplysninger om årsagen kan håndtere en allerede opstået uro eller rygtedannelse , som
påvirker arbejdspladsen eller den f ratrådte ansatte , herunder at der florerer (forkerte) rygter ,
som medføre r skadevirkninger for arbejdsgiveren eller den ansatte, som stopper, om, hvad
der er sket .
Hvor meget man som arbejdsgiver kan oplyse i forbindelse med, at en ansat stopper , afhæn-
ger således af den konkrete situation. Man skal som arbejdsgiver imidlertid altid sikre sig, at
der ikke videregives flere oplysninger end nødvendigt. I denne overvejelse indgår også , om
det er hele arbejdspladsen eller kun en enkelt afdeling, som or ienteres, og om videregivelsen
sker skriftligt eller mundtligt.
Eksempel 5
En virksomhed sender en e -mail til samtlige ansatte i virksomheden om, at en navn-
give n medarbejder er blevet afskediget. Der orienteres endvidere om, at baggrunden
for afskedigelsen er, at der er blevet klaget over medarbejderens opførsel til et firma-
arrangement , hvor den pågældende slog en kollega , hvilket efterfølgende har skabt
snak i krogene blandt medarbejderne og ført til uro og rygtedannelse på arbejdsplad-
sen.
Det vil i det k onkrete tilfælde være i orden at oplyse medarbejderne om baggrunden
for afskedigelsen for at imødegå eskalering af den allerede opståe de uro på arbejds-
pladsen.


Eksempel 6
En arbejdsgiver har opsagt en medarbejder. Arbejdsgiveren har i den forbindelse
rundsendt en e -mail til alle medarbejdere med en intern orientering om, at den pågæl-
dende medarbejder er afskediget pga. uoverensstemmelser om samarbejdet og ud-
nyttelse af arbejdstiden. Baggru nden for orienteringen om afskedigelsesgrunden er,
at arbejdspladsen kort forinden har foretaget en organisationsændring, hvor den af-
deling, som den nu afskedigede medarbejder var tilknyttet, har fået tilført en ekstra
medarbejder. Arbejdsgiveren finder de t derfor nødvendigt at underrette de andre med-
arbejdere om, at afskedigelsen ikke var begrundet i ansættelse af den nye medarbej-
der, men i samarbejdsvanskeligheder.
Arbejdsgiveren vil i denne situation ikke være berettiget til at oplyse, at medarbejderen
er blevet afskediget, herunder oplys e om årsagen til afskedigelsen .

Databeskyttelse i ansættelsesforhold 23
Arbejdsgiveren vil derimod være berettiget til at informere de ansatte om, at den kon-
krete medarbejder stopper , og at ansættelsen af den nye medarbejder ikke har haft
indflydelse på fratr ædelsen.

Orientering om sygefravær
En arbejdsgiver kan orientere relevante ansatte om, at en kollega er fraværende, men arbejds-
giveren må som udgangspunkt ikke videregive oplysninger om de helbredsforhold, som ligger
bag et fravær.
Videregivelse af oplys ninger om fratrædelse/afskedigelse til eksterne
En arbejdsgiver vil som udgangspunkt ikke være berettiget til at videregive oplysninger om
baggrunden for en medar bejders fratrædelse til eksterne.
Der kan imidlertid være situationer, hvor det undtagelsesvi s vil være berettiget for en arbejds-
giver at give visse oplysninger om baggrunden for en medarbejders fratrædelse til tredjemand
i medfør af forordningens artikel 6, stk. 1, litra e (offentlige arbejdsgivere) eller f (private ar-
bejdsgivere) .
Dett e kan f.ek s. være tilfældet, hvis der er tale om en medarbejder i en højt placeret stilling,
og hvor afskedigelse af den pågældende har medført negativ mediedækning i en sådan grad,
at arbejdsgiveren har en legitim interesse i at videre give personoplysninger med hen blik på at
skabe gennemsigtighed og tillid til arbejdspladsen.
Et andet eksempel herpå kan være en situation, hvor en medarbejder er pålagt en konkurren-
ceklausul, og hvor der er konkret mistanke om, at klausulen er eller vil blive brudt i forbindelse
med medarbejderens ansættelse hos en ny virksomhed.
I dette tilfælde vil det være berettiget for arbejdsgiveren at tage kontakt til den nye arbejdsgiver
og videreformidle virksomhedens bekymring om risikoen for, at d er vil ske eller er sket ube ret-
tiget videreg ivelse og brug af forretningshemmeligheder og formodet eller anticiperet mislig-
holdelse af konkurrenceklausulen.
Som udgangspunkt kan der ikke videregives oplysninger om strafbare forhold. Dette kan kun
ske i helt ekstraordinære tilfælde, hvor det har afgørende betydning for arbejdsgiveren. I disse
tilfælde vil videregivelse kunne ske med hjemmel i databeskyttelseslovens § 8, stk. 2 (offent-
lige arbejdsgivere ) eller § 8, stk. 4 (private arbejdsgivere ). Det kunne være en kommunal ar-
bejdsgiver s behov for at orientere en begrænset gruppe af borgere om årsagen til afskedigel-
sen , f.eks. forældre til børn i institutioner eller plejehjemsbeboere og deres pårørende om sek-
suelle krænkelser eller berigelseskriminalitet begået af en afskediget ansat .
Offentlige arbejdsgiveres adgang til at videregive oplysninger til eksterne kan være begrænset
af deres tavshedspligt.
Arbejdsgiverens h jemmeside
Som arbejdsgiver kan man uden videre offentliggøre den ansattes navn, arbejdsområder og
kontaktoplysninger. Be handlingsgrundlaget vil i disse tilfælde være databeskyttelsesforordnin-
gens artikel 6, stk. 1, litra f (for private arbejdsgivere) og artikel 6, stk. 1, litra e (for offentlige
arbejdsgivere). Dette gælder også udarbejdede webinar er, podcasts eller andre l ignende pro-
dukter med et fagligt indhold, som den ansatte har udarbejdet som led i sin ansættelse .
Medarbejderfotos
Hvis det er nødvendigt af hensyn til arbejdets karakter, har a rbejdsgiveren mulighed for at
betinge sig, at der sker offentliggøre lse af andre nødvendige (arbejdsrelaterede ) oplysninger
om de n ansatte på arbejdsgiverens hjemmeside , herunder portrætbilleder .
Det te vil kunne være tilfældet, hvis der er tale om stillinger, hvor den pågældendes person er
i centrum for arbejdet , eller hvor den ansatte har funktioner særligt rettet mod offentligheden.

Databeskyttelse i ansættelsesforhold 24
Arbejdsgiveren skal i andre t ilfælde sikre sig, at den ansatte er indforstået med, at der offent-
liggøres billeder eller videoer med den pågældende . Dette kan i forhold til billeder, herunder
portræ tbilleder, som let kan udskiftes , ske ved at bede den ansatte om samtykke til offentlig-
gørelsen.
Det samme kan ikke antages at gøre sig gældende i forhold til videoer, herunder rekrutterings -
og markedsføringsvideoer, som er omkostningsfulde at producere. I disse tilfælde kan den
ansattes samtykke næppe udgøre grundlag for behandling, idet den ansatte vil kunne have en
frygt for negative konsekvenser, hvis samtykke ikke gives , eller hvis det trækkes tilbage. Ar-
bejdsgiveren må i forhold hertil derfor på anden måde sikre sig, at den ansatte er indforstået
med , at der offentliggøres videoer af den pågældende, og konsekvenserne ved at deltage,
f.eks. at materiale ikke uden videre kan slettes eller redigeres, fordi dette vil være omkost-
ningsfuldt.
I praksis kan dette f.eks. gøres ved, at der på et personalemøde eller på et intranet gøres
opmærksom på, at man som arbejdsgiver påtænker at udarbejde f.eks. en reklame - eller
rekrutteringsvideo, og at de ansatte, som måtte ønske at medvirke, kan rette henvendelse til
de(n) ansvarlige for produktionen, og arbejdsgiveren samtidig gør opmærksom på, at man
som ansat – i lyset af omkostningerne herved – ikke sådan uden videre kan fortryde igen.
Hvis disse betingelser er opfyldt , vil hjemmel til behandlingen kunne finde s i artikel 6, stk. 1,
litra e (for offentlige arbejdsgivere) og artikel 6, stk. 1, litra f (for private arbejdsgivere).
Uanset dette kan der imidlertid forekomme tilfælde, hvor en (tidligere) ansats indsigelse kan
være berettiget, og hvor videoen derfor s kal slettes eller redigeres. Der henvises til afsnit 4.5
om indsigelse.
En arbejdsgiver kan med hjemmel i forordningens artikel 6, stk. 1, litra e (offentlige arbejdsgi-
vere) eller artikel 6, stk. 1, litra f (private arbejdsgivere) i øvrigt lægge portrætbil leder af de
ansatte på et intranet med henblik på, at de ansatte kan sætte ansigt på de kollegaer, de har
kontakt med.
Også i disse tilfælde vil en ansat kunne gøre indsigelse mod behandlingen.
Offentliggørelse af oplysninger om f.eks. ansattes private ko ntaktoplysninger såsom privat-
adresse og privat telefonnummer eller e -mailadresse og oplysninger om fritidsinteresser eller
andre oplysninger om medarbejdernes private forhold vil som udgangspunkt ikke kunne rum-
mes indenfor ovennævnte bestemmelser.

Databeskyttelse i ansættelsesforhold 25
4. Rettigheder for ansøgere og ansatte


4.1 Oplysningspligt
Reglerne om, hvilke informationer der skal gives til den registrerede, er forskellige , alt efter om
personoplysninger er indsamlet hos den registrerede eller hos andre. Databeskyttelsesforord-
ningens artikel 13 omhandler oplysningspligten i de tilfælde, hvor personoplysninger er ind-
samlet hos den registrerede, mens artikel 14 regulerer tilfæ lde, hvor oplysningerne ikke er
indsamlet hos den registrerede.
For information om undtagelse til oplysningspligten efter databeskyttelseslovens § 22 henvi-
ses til afsnit 4. 2. For mere information om arbejdsgiverens oplysningspligt i forbindelse med
kontrolforanstaltninger over for medarbejderne henvises til afsnit 5.1. Endelig henvises til Da-
tatilsynets vejledning om de registreredes rettigheder for mere generel information o m oplys-
ningspligten.
Hvordan oplysningerne skal gives
Når en arbejdsgiver behandler oplysninger om en ansøger eller medarbejder, skal arbejdsgi-
veren som dataansvarlig kunne dokumentere, at den pågældende har fået informationerne.
Det kan derfor være en go d idé at give skriftlig information. Hvad enten information gives
mundtligt eller skriftligt, skal der informeres på en tydelig og letforståelig måde.
For at iagttage oplysningspligten er det vigtigt, at man som arbejdsgiver tager aktive skridt til
at give oplysningerne. Det kan f.eks. ske ved, at arbejdsgiveren angiver hovedpunkter (dvs.
hvem er dataansvarlig, kontaktoplysninger til databeskyttelsesrådgiver, formål med og rets-
grundlag for behandlingen, modtagere af oplysningerne, opbevaring af oplysningern e samt
rettigheder), og at der udleveres (eller indsættes et link) til uddybende oplysninger, f.eks. spe-
cifikke afsnit i personalehåndbogen.
Derimod vil det ikke være tilstrækkeligt at have oplysningerne liggende på en hjemmeside,
intranet eller lignende, som den ansatte selv skal finde.
Det er ikke nødvendigt at give oplysningerne i et bestemt format eller lignende. Det er således
op til arbejdsgiveren at vurdere, hvordan oplysningerne mest hensigtsmæssigt gives til den
ansatte .
Oplysningerne skal som udga ngspunkt kun gives én gang (også ved løbende indsamlinger),
medmindre der på et senere tidspunkt behandle s oplysninger til andre formål end dem, der
oprindeligt er indsamle t til.
Ny oplysningspligt ved behandling til nye formål
Oplysningerne skal som udgangspunkt kun gives én gang, medmindre person oplysningerne
på et senere tidspunkt vil blive behandlet til andre formål end dem, som person oplysningerne
oprindeligt er indsamlet til. Det betyder i praksis, at der udløses en ny plig t til at give oplysnin-
ger om behandlingen til den registrerede, hvis allerede indsamlede personoplysninger benyt-
tes til nye formål. 28
Arbejdsgiverens oplysningspligt i tilfælde, hvor personoplysninger, som ikke er indsamlet til
kontrolformål, senere anvende s til sådanne formål , uddybes i afsnit 5.1.

28 Derudover skal viderebehandlingens lovlighed vurderes efter databeskyttelsesforord ningens artikel 5, stk. 1, litra b, 2. led og artikel 6, stk. 4, samt de generelle principper jf. databeskyttelsesforordningens artikel 5.

Databeskyttelse i ansættelsesforhold 26
4.2 Indsigtsret
Retten til indsigt 29 indebærer for det første, at medarbejderen har ret til at se de personoplys-
ninger, som arbejdsgiveren behandler om den pågældende.
For det andet indebærer retten til indsigt, at me darbejderen har ret til at modtage en række
oplysninger om den eller de behandlinger, som arbejdsgiveren foretager. Arbejdsgiveren skal
således give oplysninger om bl.a. formålene med behandlingen, kategorier af oplysninger og
eventuelle modtagere og rette n til berigtigelse, sletning, mv.
Formålet med indsigtsretten er at give medarbejderen mulighed for at se, hvilke personoplys-
ninger arbejdsgiveren behandler om den pågældende, og at skabe mere gennemsigtighed
omkring, hvordan oplysningerne behandles, så me darbejderen kan kontrollere, at personop-
lysningerne er korrekte og i øvrigt behandles lovligt.
Hvis medarbejderen anmoder om det, skal arbejdsgiveren give medarbejderen indsigt i ind-
holdet af de personoplysninger, der behandles. Arbejdsgiveren kan give en kopi af personop-
lysningerne på flere måder. Det kan eksempelvis ske ved, at man sender en kopi af person-
oplysningerne via Digital Post el.lign., eller, hvis det er muligt, ved at give medarbejderen en
fjernadgang til et sikkert system, hvor den pågældende kan se sine personoplysninger.

Eksempel 7
En medarbejder anmoder om indsigt i de oplysninger, som arbejdsgiveren behandler
om hende. Arbejdsgiveren giver herefter medarbejderen en liste, hvor det er anført,
hvilke typer af oplysninger virksomheden behandl er om hende.
På listen står eksempelvis ”navn”, ”adresse” og ”fagforeningsmæssigt tilhørsforhold”,
men selve personoplysningerne fremgår ikke af listen.
Ved blot at udlevere en liste over typer af oplysninger, som virksomheden behandler,
har medarbejderen ikke fået mulighed for at kontrollere, om oplysningerne er rigtige,
og forpligtelsen til at give indsigt er ikke opfyldt. Medarbejderen har således efter for-
ordningen ret til at blive gjort bekendt med indholdet af de personoplysninger, der be-
handles.
Hvis arbejdsgiver giver medarbejderen elektronisk adgang til oplysningerne, så med-
arbejderen kan gennemgå oplysningerne, vil dette anses for tilstrækkeligt i forhold til
at give medarbejderen indsigt i indholdet af personoplysninger.

Offentlige arbejdsgivere skal være opmærksomme på samspillet mellem databeskyttelsesfor-
ordningens regler om indsigt samt forvaltningslovens regler om partsaktindsigt og offentlig-
hedslovens regler om egenacces.
Udgangspunktet er, at der skal gives den ansatte indsigt og/eller aktindsigt efter de regler, der
er mest gunstige for den pågældende .
Undtagelser til indsigtsretten
En arbejdsgiver kan i medfør af databeskyttelseslovens § 22, stk. 1 og 2, undlade at imøde-
komme en anmodning om indsigt, hvis afgørende h ensyn til private interesser, herunder hen-
synet til medarbejderen selv, eller hensyn til offentlige interesser efter en konkret vurdering
overstiger hensynet til medarbejderens interesse i at modtage indsigt.

29 Databeskyttelsesforordningens artikel 15.

Databeskyttelse i ansættelsesforhold 27
Arbejdsgiver kan i visse situationer have oplys ninger, som arbejdsgiver ikke finder det hen-
sigtsmæssigt at give indsigt i. E n arbejdsgivers behov for at have mulighed for at kunne gøre
sig overvejelser – navnlig af mere skønsmæssig og vurderende karakter – om medarbejdere
kan anses for en afgør ende int eresse som omhandlet i lovens § 22, stk. 1, hvis disse overve-
jelser sker af hensyn til varetagelsen af saglige hensyn og på den mest gennemsigtige måde
i forhold til medarbejderen .
Hensynet til en arbejdsgivers forhandlingsposition eksempelvis i forbindelse med lønforhand-
linger og hensynet til de(t) generelle forhold på arbejdspladsen, herunder forholdet mellem
arbejdsgiver og medarbejderen , kan sålede s efter en konkret vurdering beg runde, at retten til
indsigt ikke gælder for visse oplysninger , jf. lovens § 22, stk. 1.
Der skal imidlertid altid foretages en konkret vurdering af, om indsigt kan afslås, og arbejdsgi-
ver kan dermed ikke generelt afskære bestemte typer af oplysninger , he runder interne oplys-
ninger, fra indsigtsretten. Interne oplysninger kan ikke undtages fra indsigt alene med den
begrundelse, at oplysningerne behandles til intern t brug.
Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sag sbehand-
ling, kan undtages fra retten til indsigt i samme omfang som efter reglerne i §§ 19 -29 og 35 i
offentlighedsloven, jf. databeskyttelseslovens § 22, stk. 3.
Arbejdsgiver kan endvidere afvise at imødekomme åbenbart grundløse eller overdrevne an-
modning er om indsigt, jf. databeskyttelsesforordningens artikel 12, stk. 5, litra b.

Eksempel 8
En medarbejder anmoder om indsigt i interne ledelsesmæssige vurderinger af hende,
som arbejdsgiveren har udarbejdet forud for arbejdsgiverens afslag på medarbejde-
rens ansøgning om lønforhøjelse. Den ledelsesmæssige vurdering best år af et skema,
hvor medarbejderen er tildelt point i henhold til en række parametre.
En arbejdsgivers behov for at have mulighed for at kunne gøre sig overvejelser –
navnlig af mere skønsmæssig og vurderende karakter – om medarbejdere kan anses
for en afgørende interesse omfattet af databeskyttelseslovens § 22, stk.1, hvis disse
overvejelser sker til varetagelsen af saglige hensyn og på den mest gennemsigtige
måde i forhold til medarbejderen .
Arbejdsgiveren vil i en sådan situation kunne afslå at give en ansat indsigt i selve
pointtildelingen med henvisning til, at indsigt i pointtildelingen, der udgør arbejdsgive-
rens interne ledelsesmæssige vurdering af den ansatte, kan være en privat interesse,
som kan undtages fra indsigt efter databeskyttelseslovens § 22, stk. 1.


Eksempel 9
En tidligere ansat anmoder om indsigt i forbindelse med en verserende retssag .
Indsigtsanmodningen fra den pågældende vil gøre det nødvendi gt at identi ficere , ind-
samle, gennemg å og vurder e mere end en mio. dokumenter for at afgøre, hvorvidt
personoplysninger om den pågældende, der måtte fremgå af disse dokumenter, kon-
kret vil skulle udleveres.
Den store mængde dokumenter, som kan indeholde oplysninger om den ansatte , re-
laterer sig i al væsentlighed til virksomheden Q, hvor vedkommende har været ansat

Databeskyttelse i ansættelsesforhold 28
i en længere år række som ledende medarbejder, samt til igangværende retssager,
herunder mod pågældende .
En a rbejdsgiver vil i sådan en situation ikke være forpligtet til at fremsøge og gen-
nemgå dokumenterne for at identificere og udlevere eventuelle oplysninger om en an-
sat eller en tidligere ansat, som måtte fremgå af dokumenterne, jf. databeskyttelses-
forordningens artikel 12, stk. 5.
Arbejdsgiver en vil således kunne afvise en medarbejder s anmodning om indsigt, hvis
medarbejderen ikke nærmere specificerer sin indsigtsanmodning sådan, at omfanget
af materiale, som arbejdsgiveren skal gennemgå for at identificere evt. oplysninger om
vedkommende, bliv er nedbragt.
Ved v urderingen af, om arbejdsgiveren kan af vise anmodningen om indsigt tillægges
det også betydning, at der er tale om et større antal dokumenter, som potentielt inde-
holder oplysninger om den ansatte, men hvor det må antages, at evt. oplysnin ger om
den ansatte kun vil optræde ”accessorisk” i forhold til formålet med dokumenterne.
4.3 Ret til berigtigelse
Retten til berigtigelse 30 indebærer for det første, at den ansatte – efter anmodning – har ret til
at få urigtige (forkerte) personoplysninger om sig selv rettet.
For det andet har den ansatte – under hensyntagen til formålene med en behandling – ret til
at få fuldstændiggjort ufu ldstændige personoplysninger, hvilket bl.a. kan ske ved, at vedkom-
mende fremlægger en supplerende erklæring. Retten til at få fuldstændiggjort ufuldstændige
personoplysninger indebærer, at arbejdsgiveren ikke må afvise at supplere f.eks. en persona-
lesags o plysninger med yderligere oplysninger, hvis dette vil gøre sagen mere fuldstændig
og/eller ajourført.
Retten til berigtigelse og retten til at få fuldstændiggjort ufuldstændige personoplysninger æn-
drer ikke på, at man som arbejdsgiver altid bør sikre sig, at man behandler fuldstændige og
ajourførte personoplysninger, og at personoplysninger berigtiges, hvis man bliver opmærksom
på, at oplysningerne er forkerte .31
Retten til berigtigelse får derfor praktisk betydning i de tilfælde, hvor den ansatte bliver op-
mærksom på eller får mistanke om, at der behandles urigtige personoplysninger om den på-
gældende.
Hvis man som arbejdsgiver modtager en anmodning fra en ansat, der ønsker urigtige person-
oplysninger om sig selv berigtiget, skal arbejdsgiveren berigtige oplysn ingerne uden unødig
forsinkelse , hvis oplysningerne viser sig urigtige.
For offentlige arbejdsgivere gælder, at der som følge af notat - og journaliseringspligten i of-
fentlighedsloven og/eller regler i arkivlovgivningen er begrænsede muligheder for at berigtige
oplysninger. Når offentlige myndigheder skal berigtige urigtige eller vildledende oplysninger,
vil det derfor ofte skulle ske ved at notere berigtigelsen på sagen uden at fjerne de oplysninger,
der i forvejen fremg år. Det kan eventuelt ske i form af et notat, der lægges på sagen .
4.4 Sletning
Retten til sletning 32 indebærer, at den ansatte – med visse undtagelser – har ret til at få slettet
oplysninger om sig selv.

30 Databeskyttelsesfor


Link: https://www.datatilsynet.dk/Media/0/8/Vejledning%2

Testo del 2023-04-20 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Vejledning om databeskyttelse i ansættelsesforhold e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza