Overvågning og kontrol af dine medarbejdere

Moderne teknologier og arbejdsredskaber gør det muligt og let tilgængeligt for arbejdsgivere at kontrollere og overvåge deres medarbejdere på arbejdspladsen. Samtidig kan et øget omfang af hjemmearbejde have skabt et større behov for overvågning og kontrol. En sådan overvågning og kontrol vil typisk indebære en behandling af personoplysninger og vil derfor være omfattet af GDPR. Vi stiller i dette indlæg skarpt på, hvornår en arbejdsgiver må overvåge og kontrollere medarbejdere, og hvilke krav der skal opfyldes i henhold til GDPR.

Muligheden for overvågning og kontrol af medarbejdere kan være et fristende værktøj at benytte for arbejdsgivere med det formål at sikre effektivitet på arbejdspladsen. En sådan overvågning og kontrol vil dog i de fleste tilfælde være meget indgribende for den enkelte medarbejder og skal derfor være sagligt begrundet i driftsmæssige årsager og må ikke krænke medarbejderne.

Former for overvågning og kontrol

Overvågning og kontrol af medarbejdere kan ske både gennem TV-overvågning af lokaler, GPS-overvågning af køretøjer, logning og kontrol af medarbejdernes brug af internettet og e-mails, registrering af telefonkald samt kontrol af medarbejderens komme- og gåtider. Nærværende artikel vil ikke gå i dybden med de enkelte former for overvågning og kontrol, men vil komme omkring de mest anvendte former.

En af de mest anvendte former for overvågning af medarbejdere er adgangen til medarbejdernes e-mails. Der skal her sondres mellem arbejdsrelaterede mails og rent private mails. Udgangspunktet er, at arbejdsmails tilhører arbejdsgiveren, hvorfor arbejdsgiveren har adgang til disse, hvis det skulle være nødvendigt. Anvender medarbejderne imidlertid også deres e-mail til privat brug, skal disse holdes uden for en eventuel gennemgang. Arbejdsgiveren bør derfor oplyse medarbejderne om muligheden for at gennemgå arbejdsmails ved en konkret mistanke, hvorfor medarbejderen bør opfordres til at markere sine private mails, eksempelvis med angivelse af ”Privat” i emnefeltet, således disse holdes udenfor. Arbejdsgiveren vil efter straffelovens bestemmelser om brevhemmelighed som udgangspunkt være afskåret fra at tilgå mails markeret som privat eller som i forbindelse med en eventuel gennemgang åbenlyst er af privat karakter.
En anden form for overvågning, der bliver anvendt mere og mere, er GPS i f.eks. firmabiler. Brugen af GPS kan bl.a. være et effektivt værktøj til at registrere medarbejderens effektive arbejdstid uden for virksomhedens lokaliteter samt planlægge ruter og opgaver ud fra de kørende medarbejderes pågældende lokation. Hvis der er tale om en firmabil, som ligeledes bruges privat af medarbejderen, skal den pågældende medarbejder have mulighed for at slukke for GPS’en, så den mulige overvågning alene finder sted i arbejdstiden.
Endelig anvendes TV-overvågning i flere virksomheden. Her er det ikke blot GPDR, der finder anvendelse, men også straffeloven og TV-overvågningsloven. Der gælder et generelt forbud i straffeloven mod uberettiget fotografering af personer, der opholder sig på et ikke frit tilgængeligt sted. Et sådant sted vil eksempelvis være enkeltmandskontorer. Der er som udgangspunkt intet til hinder for TV-overvågning på fællesarealer. I medfør af TV-overvågningsloven skal der være skiltning eller anden tydelig oplysning om den pågældende overvågning. Der gælder ligeledes en opbevaringsbegrænsning i TV-overvågningsloven, hvorefter optagelser til kriminalitetsforebyggende formål som udgangspunkt skal slettes senest 30 dage efter optagelsen. Optagelserne kan dog undtagelsesvist opbevares længere, såfremt de skal bruges i en konkret tvist.

Lovgrundlaget til overvågning og kontrol af medarbejdere

Behandlingen af medarbejdernes personoplysninger i forbindelse med kontrolforanstaltninger er først og fremmest omfattet af reglerne om databeskyttelse i GDPR og Databeskyttelsesloven, men reguleres også i henholdsvis straffeloven og i særlovgivning, f.eks. TV-overvågningsloven. I GDPR artikel 88 er der desuden en adgang til national særregulering i forbindelse med ansættelsesforhold. Denne adgang er udnyttet i databeskyttelseslovens § 12, hvorefter overenskomster anses som et særskilt behandlingsgrundlag. Her kan nævnes DA og LO’s aftale om kontrolforanstaltninger. Hjemlen til kontrolforanstaltninger vil således kunne findes i databeskyttelsesloven § 12, stk. 1, såfremt behandlingen sker som led i en forebyggende kontrolforanstaltning i henhold til en kollektiv overenskomst om kontrolforanstaltninger. Er foranstaltningen ikke reguleret heri, vil hjemlen skulle findes i GDPR artikel 6, herunder litra e for offentlige arbejdspladser og litra f for private arbejdsgivere.

Når behandlingsgrundlaget er fastlagt, skal man som arbejdsgiver opfylde kravene om saglighed og proportionalitet. Det betyder, at kontrolforanstaltningerne skal have en saglig begrundelse, eksempelvis af driftsmæssige årsager eller til forebyggelse af kriminalitet. Dertil skal kontrolforanstaltningen være proportional, hvilket betyder, at foranstaltningens indgribende karakter skal afvejes i forhold til vigtigheden ved at opnå formålet med behandlingen. Det er her vigtigt, at arbejdsgiveren vælger den mindst indgribende foranstaltning til opnåelse af formålet.

Derudover skal du som arbejdsgiver, og dermed dataansvarlig, iagttage de generelle behandlingsprincipper i GDPR artikel 5, stk. 1, herunder krav om gennemsigtighed, formålsbegrænsning og opbevaringsbegrænsning.

Saglig og usaglig overvågning og kontrol af medarbejdere

Der findes flere eksempler i praksis på usaglig overvågning, der har medført store GDPR-bøder i udlandet. Som eksempler kan nævnes to afgørelser fra tyske datatilsyn, der har udstedt bøder på hhv. EUR 35,3 mio. og EUR 10,4 mio.

Den første afgørelse omhandler tøjbutikskæden H&M i Tyskland, der havde overvåget flere hundrede medarbejdere gennem omfattende registrering af detaljer om deres arbejds- og privatliv. Oplysningerne omhandlede bl.a. medarbejdernes ferie og sygdom, herunder konkrete symptomer og diagnoser, samt omhyggelig evaluering af den enkelte medarbejders arbejdsindsats. Det tyske datatilsyn lagde bl.a. vægt på, at den omfattende registrering blev anvendt til at lave en detaljeret profil af medarbejderne til brug for foranstaltninger og beslutninger vedrørende deres ansættelse. Dette var ikke en saglig grund til overvågning, da eksempelvis registrering og overvågning af medarbejdernes konkrete sygdomme og feriehistorik ikke kunne begrundes i driftsmæssige forhold og derved gik videre end, hvad formålet tilladte.

Den anden afgørelse omhandler ligeledes en tysk virksomhed (notebooksbilliger.de), der havde brugt videoovervågning til at overvåge sine ansatte i mindst 2 år uden nogen juridisk begrundelse. Virksomheden hævede, at det var til brug for efterforskning af kriminalitet samt til at spore strømmen af varer på lageret. Det tyske datatilsyn lagde her vægt på, at for at forhindre tyveri skal en virksomhed først implementere mindre indgribende foranstaltninger, og at videoovervågning kun må anvendes til at efterforske forbrydelser, hvis bestemte personer med rimelighed mistænkes for at have begået en forbrydelse. Dertil fandt de, at formålet med at spore varer på lagret ikke kunne begrunde overvågning i personalerummet. Det tyske datatilsyn fandt derved, at videoovervågningen ikke var begrænset til en bestemt person eller periode, og at den konstante og ubegrænset overvågning var ulovlig.

Det danske datatilsyn har også truffet afgørelse i sager om overvågning, bl.a. i en sag om behandling af medarbejderes fingeraftryk. Fingeraftrykket skulle i den konkrete sag anvendes som en kontrolforanstaltning hos virksomheden med det formål at sikre entydig identifikation af, hvilke medarbejdere der tilgik og forlod arbejdspladsen. Kontrolforanstaltningen var begrundet i, at det var afgørende for fødevaresikkerheden, at uvedkommende ikke fik adgang til produktionen, og at en mindre indgribende kontrolforanstaltning, som f.eks. en nøglebrik, ikke gav den tilstrækkelige sikkerhed. Datatilsynet vurderede, at der var tale om en saglig begrundelse for brugen af kontrolforanstaltningen.

Formålet med kontrolforanstaltningerne og overvågning

Behandlingen af personoplysninger i forbindelse med kontrolforanstaltninger må kun ske til på forhånd definerede formål, idet behandlingen af de indsamlede personoplysninger ved f.eks. TV-overvågning til andre formål end de angivne, kan være særdeles indgribende og krænkende for den pågældende medarbejder.

Det betyder, at hvis der er opsat TV-overvågning til kriminalitetsforebyggelse, må de pågældende videobilleder ikke anvendes til at kontrollere den ansattes adfærd på arbejdspladsen, medmindre der er konkret grund til at tro, at der er sket noget strafbart. I en afgørelse fra Arbejdsretten fra 2007 var en butiksansat blevet mødt med en ansættelsesretlig påtale af sin arbejdsgiver, efter at arbejdsgiveren fra sit private hjem havde tilgået TV-overvågningsbillederne og havde konstateret, at den ansatte sminkede sig i butikken i arbejdstiden. Arbejdsretten fandt, at overvågningen var driftsmæssigt begrundet og havde et sagligt i formål ift. tyveri, men at arbejdsgiveren havde anvendt overvågningen til at overvåge en ansat, trods hendes adfærd ikke berettigede ham til dette. Arbejdstilsynet fandt derfor, at overvågningen havde krænket medarbejderen, hvilket var i strid med DA og LO’s aftale om kontrolforanstaltninger.

I en anden afgørelse fra Arbejdsretten fra 2013 implementerede virksomheden en GPS i en firmabil. Formålet med GPS’en var at kontrollere en medarbejders effektive arbejdstid, hvilket arbejdsretten fandt værende et anerkendt formål til implementering af kontrolforanstaltning, da foranstaltningen var begrundet i driftsmæssige hensyn.

Husk den gode privatlivspolitik

Udover de oven for nævnte krav om behandlingsgrundlag, saglighed og proportionalitet samt overholdelse af de generelle principper, gælder kravet om oplysningspligt i GDPR artikel 13 og 14 også. Behandling af personoplysninger i forbindelse med overvågning og kontrol af medarbejdere forudsætter, at medarbejderne på forhånd er informeret om, at behandlingen kan finde sted, herunder ikke mindst hvordan den finder sted. Denne information skal gives på en klar og utvetydig måde, så medarbejderen er indforstået med behandlingen.

Informationerne kan med fordel gives til medarbejderne gennem en intern privatlivspolitik, der udleveres til medarbejderen i forbindelse med sin ansættelse. Vær dog opmærksom på, at hvis behandlingsgrundlaget er kontrolaftalen mellem DA og LO i medfør af databeskyttelseslovens § 12, skal underretning af medarbejderne ske senest 6 uger inden kontrolforanstaltningen iværksættes. Informationen om den iværksatte kontrolforanstaltning kan undtagelsesvist gives efter, at den er iværksat. Dette kan dog alene ske, hvor formålet med kontrolforanstaltningen forspildes, hvis informationen gives forinden. Et eksempel herpå er, hvis formålet med overvågningen/kontrollen er bekæmpelse af kriminalitet på baggrund af en konkret mistanke om, at en medarbejder har foretaget sig noget ulovligt i medfør af sin stilling. I så fald skal du som arbejdsgiver informere snarest muligt herefter og redegøre for, hvorfor 6-ugers fristen ikke er overholdt.

Sker implementeringen af kontrolforanstaltninger ikke på baggrund af kontrolaftalen mellem DA og LO, gælder de almindelige regler om oplysningspligt i medfør af GDPR artikel 13 og 14.

En privatlivspolitik skal som minimum indeholde følgende oplysninger om alle de tilfælde, hvor I behandler personoplysninger:

Identitet og kontaktoplysninger på den dataansvarlige
Formålene med hver enkelt behandling af personoplysninger, herunder behandlingsgrundlaget i GDPR
Eventuelle modtagere af oplysningerne, herunder brug af databehandlere
Hvorvidt der sker overførsel af oplysninger ud af EU, f.eks. i forbindelse med brug af databehandlere
Hvor længe oplysninger opbevares
Den registreredes rettigheder, herunder retten til at klage til Datatilsynet.