Nyt fra Datatilsynet

30-05-2023

Som den sidste del af GDPR awareness-kampagnen ser vi på nogle væsentlige nyheder fra Datatilsynet om håndtering af personoplysninger, og hvad de betyder for styrelsen

Deling af personoplysninger mellem interne myndigheder

Skattestyrelsens videregivelse af oplysninger om en borgers oplysninger om bl.a. arv til Gældsstyrelsen var lovlig.

Datatilsynet lagde vægt på, at begge myndigheder havde hjemmel til behandlingen i henholdsvis skattekontrolloven og gældsinddrivelsesloven, og da formålene med behandlingerne var forenelige, idet der er betydelig sammenhæng mellem de to myndigheders opgaver. Samtidig måtte den registrerede med rimelighed forvente, at oplysninger om kommende arv holdes op mod oplysninger om gæld til det offentlige.

KFST kan videregive personoplysninger til forskellige formål, fx til SKAT i forbindelse med lønudbetaling til medarbejderne eller for at give aktindsigt, men kun i det omfang, det er nødvendigt, og der er hjemmel til videregivelsen. Du kan læse mere om, hvad du skal gøre, hvis du på-tænker at videregive personoplysninger i forbindelse med dit arbejde på Intra: Offentliggør eller videregiver du personoplysninger?

Videregivelse af personoplysninger i forbindelse med sikkerhedsgodkendelse

Securitas A/S’ videregivelse af personoplysninger om en vagtmedarbejder til Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE) i forbindelse med en sikkerhedsgodkendelse var lovlig.

Sikkerhedsgodkendelse var en forudsætning for ansættelse hos Securitas A/S. I forbindelse med ansættelsen af den pågældende medarbejder videregav Securitas A/S oplysninger om jobtitel, fulde navn og personnummer, mens medarbejderen selv udfyldte skemaer med yderligere oplysninger til PET/FE. Videregivelsen var lovlig med hjemmel i interesseafvejningsreglen i GDPR art. 6, stk. 1, litra f, idet sikkerhedsgodkendelsen var nødvendig for, at Securitas A/S som arbejdsgiver kunne sikre sig, at medarbejderen kunne varetage opgaver, som var nødvendige for ansættelsen.

I KFST skal en række medarbejdere og chefer sikkerhedsgodkendes, og deres personoplysninger videregives til PET. Videregivelsen har for KFST hjemmel i GDPR art. 6, stk. 1, litra e (myndighedsudøvelse), da det er nødvendigt for de udvalgte medarbejdere at blive sikkerhedsgodkendt for at kunne varetage visse opgaver.

Bødeindstilling på 350.000 kr. for tv-overvågning af toiletområde

Datatilsynet har indstillet Danske Shoppingcentre P/S til en bøde på 350.000 kr. for overtrædelse af princippet om dataminimering ved at have utilstrækkelig begrænsning af tv-overvågningen på i hvert fald ét toilet-område i shoppingcentret City2.

Shoppingcentret havde installeret overvågning på toiletområder i centret for at forhindre bl.a. hærværk og tyveri samt skabe tryghed for kunderne. De havde implementeret en teknisk løsning med en sort markering på kameraet henover det sted, hvor der var urinaler på et af herretoiletterne. Markeringen sikrede dog ikke i tilstrækkelig grad, at gæsterne ikke blev filmet ved brug af urinalet.

KFST foretager ud fra en nødvendighedsvurdering begrænset tv-overvågning på arbejdspladsen på Carl Jacobsens Vej. Da formålet er at forebygge og opklare kriminalitet samt skabe tryghed, er der ikke tv-overvågning af kontorarbejdspladserne, kantinen og toiletterne. Du kan læse mere om, hvor der foretages tv-overvågning i KFST, begrænsningerne herfor, og dine rettigheder som medarbejder i retningslinjerne for tv-overvågning.

Kritik for vidtgående orientering om årsag til afskedigelse

Datatilsynet udtalte kritik af en arbejdsgiver for at have orienteret hele arbejdspladsen om, at en medarbejder var blevet afskediget på grund af bl.a. samarbejdsvanskeligheder.

Arbejdsgiveren havde orienteret om den konkrete årsag for afskedigelsen for at undgå rygtedannelse. Dog vejer hensynet til den afskedigede med-arbejder tungere, ligesom det i en orientering om fratrædelse på en arbejdsplads er unødvendigt at informere om baggrunden for fratrædelsen.

Afgørelsen har også betydning for KFST, da nødvendighedsvurderingen er den samme. Hvis en medarbejder fratræder eller bliver syg, kan en leder orientere herom, mens årsagerne til fratrædelsen eller sygdommen skal udelades, da det er op til medarbejderen selv at fortælle om.

Det internale aspekt: Rekordbøde til Meta Irland

Det irske datatilsyn har uddelt den største bøde efter GDPR nogensinde på 1,2 milliarder euro (næsten 9 milliarder danske kroner) til Meta Irland for at have overført Facebook-brugeres personoplysninger til USA siden 16. juli 2020. Derudover har Meta Irland fået påbud om at bringe behandlingsaktiviteter i overensstemmelse med GDPR inden 6 måneder.

Generelt begrænser KFST tredjelandsoverførsler og anvender heller ikke styrelsens Facebook-side til at indsamle og behandle personoplysninger. Samtidig følger vi med i udviklingen af en aftale, der skal gøre USA til et sikkert tredjeland, og senere afgørelser fra det danske og andre europæiske datatilsyn.