Spørgsmål:
Flere af vores medarbejdere fortæller, at deres forbund har kontaktet dem for at få udleveret lister over nuværende og tidligere ansatte i vores virksomhed. Hvad sker der, hvis en af vores medarbejdere rent faktisk får fat i sådan en liste og udleverer den?
Svar
Det kan være i strid med persondatalovgivningen at udlevere medarbejderoplysninger som lister over nuværende og tidligere ansatte til en tredjepart som et forbund uden medarbejdernes udtrykkelige samtykke.
Dette skyldes, at sådanne oplysninger betragtes som persondata og er underlagt strenge krav om beskyttelse og fortrolighed. Derudover indeholder TEKNIQ Arbejdsgivernes overenskomster ikke noget retligt grundlag (hjemmel) til at udlevere sådanne oplysninger. Medarbejderlister behandles som udgangspunkt til at administrere personalet. Medarbejderne skal derfor ikke forvente, at arbejdsgiveren videregiver deres oplysninger til eksempelvis et fagforbund. Det er i den forbindelse ligegyldigt, om medarbejderen er medlem af det pågældende forbund eller ej.
Hvis en medarbejder alligevel udleverer en sådan liste uden de nødvendige samtykker, kan det medføre følgende konsekvenser:
Brud på databeskyttelsesreglerne:
Der er tale om et databrud, der skal anmeldes til Datatilsynet senest 72 timer efter, at man er blevet bekendt med det. Virksomheden kan risikere at Datatilsynet kan udtale kritik af databehandlingen i virksomheden eller - afhængigt af den konkrete situation - vælger at indstille til anklagemyndigheden, at virksomheden skal idømmes en bøde ved domstolene. Det er vigtigt at få anmeldt bruddet inden fristens udløb, idet der ellers også kan være et brud på databeskyttelsesreglerne. Det gælder også, selv om medarbejderen foretager en ureglementeret handling som at udlevere lister til et forbund.
Ansættelsesretlige sanktioner:
Hvis en medarbejder udleverer medarbejderlister til et forbund, kan det medføre ansættelsesretlige konsekvenser for den eller de pågældende medarbejdere. Hvilke sanktioner, der kan anvendes, afhænger af den konkrete situation. Det anbefales derfor, at man kontakter TEKNIQ Arbejdsgivernes juridiske enhed for rådgivning.
Skade på virksomhedens omdømme:
En sådan hændelse kan skade virksomhedens omdømme blandt medarbejdere, kunder og samarbejdspartnere, hvilket kan have langsigtede negative konsekvenser for virksomheden.
For at forebygge sådanne hændelser anbefaler vi som minimum følgende tiltag:
Informer alle medarbejdere om virksomhedens politikker vedrørende håndtering af persondata og vigtigheden af at overholde disse. Sørg gerne for at samle sådanne oplysninger i en medarbejderhåndbog eller lign., der gives til nye medarbejdere.
Gennemfør regelmæssige træningssessioner om GDPR og databeskyttelse for at sikre, at alle ansatte er bevidste om deres ansvar. Implementer tekniske og organisatoriske foranstaltninger for at beskytte persondata, herunder begrænsning af adgangen til personoplysninger og særlige kategorier af oplysninger, logning af adgange til følsomme dele af jeres IT-systemer og lign.
Hvis man oplever sådanne situationer, kan det være en god idé at få konkret rådgivning, og man kan derfor kontakte TEKNIQ Arbejdsgivernes juridiske enhed på tlf. 43 43 60 00 eller jura@tekniq.dk.