Ny vejledning fra Datatilsynet om databeskyttelse ifm. ansættelsesforhold

Behandling af personoplysninger ved ansøgninger og rekrutteringsprocesser

Oplysningspligt 

Når man som arbejdsgiver behandler personoplysninger om ansøgere i forbindelse med rekruttering, skal ansøger oplyses om denne behandling på forhånd. Her skal man blandt andet oplyse ansøgeren om: 

• Hvem der er dataansvarlig
• Kontaktoplysninger til databeskyttelsesrådgiveren
• Formålet og retsgrundlaget for behandlingen
• Modtagere af personoplysningerne
• Opbevaringslængden
• Ansøgernes persondataretlige rettigheder.

Oplysningerne skal gives, før ansøgeren sender sin ansøgning og på en måde, så ansøgeren ser det. Det er således ikke nok, hvis oplysningerne ligger tilgængeligt på arbejdsgiverens hjemmeside, hvor ansøgeren selv skal finde frem til dem. 

Referencer

Ved indhentelse af referencer kræver det et særskilt samtykke fra ansøgeren. Ansøgeren skal i den forbindelse oplyses om, hvorvidt der alene indhentes neutrale oplysninger om f.eks. ansættelsestidspunkt og udførte arbejdsopgaver, eller om der også vil blive spurgt ind til private forhold som f.eks. faglige og sociale kompetencer.

Offentlige arbejdsgivere skal være opmærksomme på, at forvaltningslovens § 29 gør sig gældende ved indhentelse af referencer fra andre offentlige myndigheder.

Straffe- og børneattester

Oplysninger om straffe- og børneattester kan indhentes i de situationer, hvor det vurderes sagligt og proportionelt i forbindelse med den ansøgte stilling.

Arbejdsgiver skal her være opmærksom på, at det ikke vil være i orden at indhente attesterne på alle ansøgere f.eks. ved at skrive i jobopslaget, at ansøger skal vedlægge attesten med ansøgning, men kun på den pågældende person, som arbejdsgiver forventer at tilbyde stillingen.

Personlighedstest

Resultatet af en personlighedstest er en personoplysning på ansøgeren og bør derfor indgå i den førnævnte oplysningsskrivelse til ansøgeren. Indgår følsomme personoplysninger på ansøgeren i testen, bør arbejdsgiver indhente samtykke til behandlingen, forinden testen foretages.

Sociale medier

Hvis det er relevant, sagligt og proportionelt med den ansøgte stilling, kan arbejdsgiver indhente og behandle allerede offentligt tilgængelige informationer fra f.eks. sociale medier. Arbejdsgiver skal dog være opmærksom på, at der skal være hjemmel til behandlingen i databeskyttelsesforordningens artikel 6 (almindelige oplysninger) og artikel 9 (følsomme oplysninger).

Arbejdsgiver skal være opmærksom på, at også denne behandling skal være en del af den førnævnte oplysningsskrivelse.

Opbevaringslængde af ansøgninger

Som udgangspunkt må arbejdsgiver ikke opbevare de afviste ansøgninger i længere tid en nødvendigt. Der kan dog være situationer, hvor arbejdsgiver skal kunne dokumentere rekrutteringsforløbet ved f.eks. indsigelsessager om diskrimination. Arbejdsgiver bør derfor altid overveje saglighed og proportionalitet, når den konkrete opbevaringstid fastlægges.

Offentlige arbejdsgivere skal være opmærksomme på, at notat- og journaliseringspligten i offentlighedsloven samt reglerne i arkivlovgivningen vil skulle iagttages, når opbevaringslængden fastlægges.

Tillidsrepræsentanters behandling af ansattes personoplysninger

Dataansvar 

Når en tillidsrepræsentant varetager opgaver indenfor den faglige organisation på arbejdspladsen, er denne den faglige organisations lokale repræsentant på arbejdspladsen. I vejledningen fra Datatilsynet er dataansvaret mellem tillidsrepræsentanten, arbejdsgiver og den faglige organisation nu afklaret.

Den faglige organisation vil oftest blive dataansvarlig for tillidsrepræsentantens arbejde, når organisationen har instruktionsbeføjelser over tillidsrepræsentanten. Dette vil der oftest være, når den faglige organisation er organiseret ved overenskomster, vedtægter eller lignende, hvilket oftest er gældende i det offentlige marked. På det private marked kan der være tillidsrepræsentanter, som ikke er underlagt instruktioner fra en faglig organisation, hvorved tillidsrepræsentanten bliver selvstændig dataansvarlig for det arbejde, som repræsentanten varetager i forbindelse med sit tillidserhverv. Det beror dog på en konkret vurdering, hvorvidt dataansvaret ligger hos den faglige organisation eller ved tillidsrepræsentanten.

Brug af arbejdsgivers IT-udstyr

Når tillidsrepræsentanten behandler personoplysninger om medarbejdere i sin funktion som tillidsrepræsentant, vil dette oftest ske på arbejdsgiverens IT-udstyr, f.eks. via e-mail og ved opbevaring af personoplysninger på egne drev og elektroniske mapper.

Her fastlægger Datatilsynet, at arbejdsgiver som udgangspunkt ikke bliver databehandler for tillidsrepræsentanten eller den faglige organisation, idet arbejdsgiver alene yder teknisk bistand ved at fastlægge hjælpemidlerne til tillidsrepræsentantens og den faglige organisations behandling. Der vil ligeledes heller ikke være tale om et fælles dataansvar for behandlingen.

Firkantet vil arbejdsgiver blive dataansvarlig for den tekniske opbevaring, mens tillidsrepræsentanten eller den faglige organisation er dataansvarlig for behandlingen i forbindelse med selve tillidsarbejdet.

Datatilsynet anbefaler, at arbejdsgiver og tillidsrepræsentanten/den faglige organisation indgår en aftale, som regulerer, at arbejdsgiver alene må tilgå personoplysningerne, hvis særlige it-sikkerhedsmæssige forhold fordrer det samt regler for, hvordan arbejdsgiver skal assistere dataansvarlige i forbindelse anmodninger fra registrerede og sikkerhedshændelser.

Afrunding

Vejledningen indeholder ligeledes anbefalinger til arbejdsgivers behandling af medarbejderes oplysninger under ansættelsesforholdet, kontrol og overvågning af medarbejdere samt behandling af personoplysninger internt i de faglige organisationer, herunder mellem faglig organisation, tillidsrepræsentant og hovedorganisation.

Har du spørgsmål til håndtering af personoplysninger i ansættelsesforhold, er du meget velkommen til at kontakte HjulmandKaptains persondatateam.