Adgang til fratrådte medarbejderes e-mails

Datatilsynet har på det seneste behandlet flere sager om arbejdsgiveres adgang til fratrådte medarbejderes e-mail konto. På den baggrund har tilsynet udarbejdet nye retningslinjer for området.

I retningslinjerne - som man kan finde på Datatilsynets hjemmeside  - kan man læse, at det normalt vil være i orden at anvende en tidligere medarbejders e-mail adresse i en periode efter fratrædelsen. Ethvert tilfælde bør dog vurderes konkret efter den almindelige interesseafvejningsregel i persondatalovens § 6, stk. 1, nr. 7. Virksomheden skal altså foretage en afvejning af, om behandlingen er nødvendig for, at virksomheden kan forfølge en berettiget interesse, og at hensynet til den tidligere medarbejder ikke overstiger denne interesse. Det kan f.eks. være relevant at holde en e-mailadresse åben, hvis den tidligere medarbejder har stået for udarbejdelse af tilbud til kunder, og man derfor må forvente, at der vil komme henvendelser fra kunder til e-mail adressen.

Hvis ikke andet er aftalt mellem arbejdsgiveren og medarbejderen, vil det normalt være i orden at holde e-mail kontoen aktiv i en kort periode - max 12 måneder - afhængig af medarbejderens stilling og funktion.

Der bør sættes et autosvar på e-mail kontoen med besked om medarbejderens fratræden, og medarbejderens kontaktoplysninger bør hurtigst muligt fjernes fra arbejdsgiverens hjemmeside. Det bør sikres, at kun en enkelt eller ganske få betroede medarbejdere har adgang til e-mail kontoen.

I normalsituationen, hvor der ikke er mistanke om svindel, misbrug af forretningshemmeligheder mv., skal virksomheden informere den fratrådte medarbejder om, at kontoen holdes åben, ligesom persondatalovens regler om indsigt mv. skal overholdes.

Datatilsynet anbefaler arbejdsgivere i deres personalepolitik at forholde sig til, hvordan man vil håndtere fratrådte medarbejderes e-mail konti, og informere medarbejderne herom.

Husk at en arbejdsgiver som hovedregel ikke må læse en medarbejders private e-mails. Dette gælder også for fratrådte medarbejdere, og en overtrædelse vil være i strid med straffeloven. Det betyder, at alle e-mails, der efter emne eller afsender/modtager fremstår som private, ikke må åbnes. Hvis en e-mail ikke umiddelbart fremstår som privat, men efter sit indhold alligevel viser sig at være privat, skal arbejdsgiveren straks stoppe læsningen af denne mail. Reglerne gælder næppe (fuldt ud) i det omfang, arbejdsgiveren har en begrundet mistanke om svindel, misbrug af forretningshemmeligheder mv.

Datatilsynet godkender overførsel på grundlag af binding corporate rules BCR

Datatilsynet har i foråret godkendt Accentures overførsel af personoplysninger til tredjelande baseret på bindende virksomhedsregler - de såkaldte Binding Corporate Rules (BCR).

Accenture har oprindelig indgivet ansøgning i England, som har vurderet, at Accentures BCR og vurderet, at de  sikrer et tilstrækkeligt højt beskyttelsesniveau. Godkendelsen i Danmark har derfor været en formalitet.

Vi har endnu ikke set BCR indgivet til det danske Datatilsyn som primær myndighed.

Fordelen ved BCR er, at man i en stor koncern med mange overførsler kan undgå anmeldelse af utallige modelkontrakter baseret på Europakommissionens standard og i stedet kan lade overførslerne regulere af ét dokument - BCR. Dette dokument bliver kun indholdsmæssigt vurderet af én myndighed i Europa, men skal anmeldes til myndighederne i alle de EU- lande, hvorfra overførsel finder sted. Hvis dokumentet godkendes indholdsmæssigt af den primære myndighed, meddeler de resterende nationale myndigheder tilladelse på baggrund heraf.

Indien - Samtykkekrav afblæst

Det indiske forslag til krav om skriftligt forhåndssamtykke ved indsamling af følsomme data, ser nu ud til, at blive trukket tilbage.Dermed kan danske virksomheder med outsourcingpartnere i Indien formentlig ånde lettet op.

I vores seneste nyhedsbrev fortalte vi om Indiens nye forslag til regler på persondataområdet, der bl.a. indeholder et krav om skriftligt forhåndssamtykke ved indsamling af følsomme data, herunder også f.eks.x bankoplysninger. Reglerne lagde oprindelig op til også at skulle gælde for oplysninger indsamlet af udenlandske virksomheder og outsourcet til Indien. Dette har naturligvis vakt uro blandt de mange, der i forvejen har outsourcet til Indien.

I skrivende stundNu ser det ud til, at alarmen kan afblæses. Det forventes nemlig, at reglerne vil blive præciseret, sådan at kravet kun vil gælde for virksomheder etableret i Indien. Det ser dermed ud til, at danske virksomheder med outsourcingpartnere i Indien kan ånde lettet op. Fortsættelse følger…

Samtykke er ikke altid det bedste valg

Har du nogensinde været i tvivl om, hvorvidt din behandling af oplysninger krævede samtykke?

Selv om samtykke tit er en besværlig løsning, bliver den til tider brugt for at være på den sikre side - og for at undgå (besværlige) kontraktforhandlinger med f.eks. modtageren af dataene. Det er imidlertid ikke altid en god ide. Hvad gør en virksomhed f.eks., hvis der på grundlag af samtykke er sket outsourcing af behandlingen eller opbevaringen af kunde- eller HR-oplysninger til et usikkert tredjeland, og en medarbejder trækker sit samtykke tilbage? I praksis vil det ofte være praktisk umuligt at hjemkalde data fra en enkelt kunde eller medarbejder i en sådan situation.

Og netop muligheden for at trække et samtykke tilbage er helt afgørende. Et samtykke bygger nemlig på frivillighed. Det indebærer, at der skal være en reel mulighed for at vælge ikke at give samtykke eller for at kunne trække det tilbage igen. Det må ikke være forbundet med store konsekvenser at vælge ikke at afgive et samtykke eller at trække det tilbage. Specielt bør man som arbejdsgiver overveje om man beder sine medarbejdere om samtykke i situationer, hvor medarbejderen ikke har noget reelt valg. I Danmark har vi i vidt omfang hidtil antaget at medarbejdere godt kan afgive et samtykke, der lever op til persondatalovens frivillighedskrav. Problemstillingen er dog aktualiseret på ny, fordi EU-kommissionens ekspertgruppe i en nylig udtalelse stiller spørgsmålstegn ved realiteten i frivilligheden. Samtidig fraråder ekspertgruppen i en række situationer, at samtykke danner grundlag for behandlingen af personoplysninger.

Løsningen er derfor altid at overveje, om en behandling kan baseres på andet end samtykke. Når det f.eks. drejer sig om overførsel af oplysninger til usikre tredjelande vil brugen af modelkontrakter ofte være et bedre og langt mere fleksibelt valg.

Modelkontrakter med flere data eksportører

Datatilsynet har i flere sager accepteret modelkontrakter indgået med flere data exporters, mens modelkontrakter med flere data importers fortsat bliver afvist.

Ved aftaler med flere data exporters bør virksomheder undgå at lave en aftalemæssig overbygning på modelkontrakten, da dette kan blive afvist af Datatilsynet. Begrundelsen er, at der kan skabes tvivl om hvorvidt modelkontraktens bestemmelser er fraveget, og Datatilsynet ønsker ikke at gå ind i en konkret fortolkning af sådanne aftalevilkår. Modelkontrakten bør blot anmeldes uden ændringer og med angivelse af navnene på data importer og alle data exporters.

Kromann Reumert inviterer til morgenmøder om cloud computing og whistleblowerordninger

Cloud computing - fremtiden inden for IT?

Cloud computing er et af tidens store buzz words. Kom og hør hvad mulighederne er for din virksomhed, og hvad I kan gøre for at undgå faldgruberne.

Tilmeld dig arrangementet den 8. september 2011 her.

Cloud computing for det offentlige

Vi følger op med et arrangement rettet særligt mod offentlige virksomheder den 8. november 2011. Det er endnu ikke muligt at tilmelde sig. Mere information følger i et senere nyhedsbrev.

Whistleblowerordninger i det offentlige

22. november 2011 handler det om whistleblower-ordninger i det offentlige. Det er endnu ikke muligt at tilmelde sig arrangementet. Mere information følger i et senere nyhedsbrev.

Datatilsynet politianmelder Redox

Det journalistiske researchkollektiv Redox har i forbindelse med deres overvågning af den danske højrefløj offentliggjort en artikel om netværket ORG. I den forbindelse navngives et antal personer i netværket, der angiveligt er eller har været medlemmer af en politisk organisation.

Datatilsynet har nu politianmeldt Redox for alvorlige brud på persondataloven. Oplysninger om politisk tilhørsforhold, som ikke er offentligt kendt, er i persondataloven karakteriseret som følsomme oplysninger, der som hovedregel kun må offentliggøres, hvis den involverede har givet samtykke.

Dermed tegner der sig konturerne af et opgør mellem persondatalovens beskyttelse af privatlivets fred og den journalistiske ytringsfrihed, som Redox - forventeligt - vil påberåbe sig.

Husk at anmelde ændringer

Er du opmærksom på at give Datatilsynet besked om ændringer i eksisterende anmeldelser?

Datatilsynet har netop behandlet en sag, hvor ændringerne ikke blev anmeldt - afgørelsen fik alvorlige konsekvenser for virksomhedens fortsatte drift. En virksomhed behandlede følsomme oplysninger i sine klientjournaler. Dette var anmeldt til Datatilsynet. Ved anmeldelsen var ikke anført nogen databehandler, og det var angivet, at der ikke skete overførsel af oplysninger til lande uden for EU. Ved Datatilsynets inspektion af virksomheden viste det sig imidlertid, at virksomheden brugte en amerikansk databehandler "Dropbox" til backup af journalerne.

Dette var en væsentlig ændring, der krævede Datatilsynets tilladelse. Da virksomheden ikke havde søgt Datatilsynet om tilladelse, meddelte tilsynet, at virksomheden omgående måtte stoppe med at bruge Dropbox til backup.

Vær derfor opmærksom på at opdatere jeres anmeldelse, hvis I overvejer f.eks.

• at bruge en databehandler
• at indsamle nye kategorier af oplysninger
• at overføre oplysninger til lande uden for EU
• at ændre sletterutiner
• at ændre jeres sikkerhedssystemer

Og husk, at tilladelse fra Datatilsynet skal være på plads, inden I implementerer ændringerne.