Datatilsynet har netop udsendt en meddelelse om, at behandling af personoplysninger i ansættelsesforhold er et af de områder, der vil blive fokuseret på i forbindelse med tilsynene i 2. halvår af 2019. Tilsynene vil finde sted i såvel den private sektor som i kommuner, staten og i velgørende organisationer.
Datatilsynet fører som den centrale myndighed indenfor databeskyttelse tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet gennemfører i den forbindelse jævnligt forskellige typer af tilsyn hos myndigheder og private virksomheder, der både kan være planlagte tilsyn og ad hoc-tilsyn, der gennemføres som følge af konkrete hændelser.
Datatilsynet udvælger to gange om året, hvilke områder som der skal sættes særlig fokus på, og tilsynet har valgt, at behandling af personoplysninger i ansættelsesforhold skal være et fokusområde i 2. halvår af 2019. De emner, som tilsynet særligt vil fokusere på, er (i) sletning af oplysninger indsamlet i forbindelse med rekruttering og (ii) kontrolforanstaltninger.
Det anbefales, at alle virksomheder har en rekrutteringspolitik, hvori der blandt andet skal fastsættes retningslinjer for håndtering af indkomne ansøgninger (såvel ansøgninger, der sendes på baggrund af et stillingsopslag som uopfordrede ansøgninger), deling af ansøgninger internt i virksomheden, referencetagning og afgivelse af referencer samt sletning af ansøgninger. Herudover anbefales det, at man på sin hjemmeside og i de enkelte jobannoncer oplyser ansøgerne om den behandling af personoplysninger, som vil blive foretaget i rekrutteringsprocessen, herunder også hvilke oplysninger som virksomheden ikke ønsker at modtage fra ansøgerne. Det kan eksempelvis være oplysninger om religion, civilstand og cpr. nr., som virksomheden ikke har behov for at behandle i forbindelse med rekrutteringen.
Det er desuden et krav, at virksomheden skal informere medarbejderne i det løbende ansættelsesforhold om, hvilken behandling af deres personoplysninger der finder sted. Dette gælder også, hvis virksomheden har iværksat kontrolforanstaltninger i form af videoovervågning, gennemgang af e-mails eller lignende. Oplysningsforpligtelsen i henhold til databeskyttelsesforordningens artikel 13 og 14 er ikke betinget af, at medarbejderen anmoder om at få oplysninger om en given behandling. Det indebærer, at virksomheden skal orientere medarbejderen om behandlingen, selvom vedkommende ikke har anmodet om oplysninger herom.
Hvis der iværksættes kontrolforanstaltninger, skal man derfor være opmærksom på, at medarbejderen skal have oplysninger om blandt andet formålet med behandlingen.
Mette Klingsten Advokatfirma bistår virksomheder i sager om databeskyttelse, og tilbyder herudover en dokumentpakke, der blandt andet indeholder en rekrutterings- og slettepolitik, og som tilpasses til den enkelte virksomhed. Kontakt Mette Klingsten Advokatfirma, for yderligere oplysninger om dokumentpakken.
Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)