Datatilsynet har meldt ud, at det i 2026 vil foretage målrettede tilsyn med arbejdsgiveres behandling af persondata i forbindelse med kontrol og overvågning af deres ansatte. Fælles for de forskellige kontrolværktøjer er, at der sker behandling af persondata, og at arbejdsgiver er ansvarlig for overholdelsen af GDPR-reglerne.
Herunder beskrives nogle af de ting, du som arbejdsgiver bør have styr på.
Kontrol og overvågning på arbejdspladsen
Begreberne kontrol og overvågning skal forstås i bred forstand. Den mest velkendte form for overvågning er velsagtens videoovervågning, men kontrol og overvågning kan også finde sted ved logning af arbejdspladsens IT-systemer, GPS i firmabiler, adgangskontrol og registrering af komme-gåtider, AI-gennemgang af mails med videre.
Datatilsynets varsling af tilsyn giver anledning til at få styr på, hvilke former for kontrol og overvågning du som arbejdsgiver anvender over for dine ansatte. Dette skal kunne dokumenteres på skrift, herunder de overvejelser man har gjort om formål og nødvendighed samt om medarbejderne har fået korrekt og tilstrækkelig information.
Formål og nødvendighed
En vigtig ting at overveje som arbejdsgiver er formålet med kontrollen. Det er ikke nok at foretage kontrol og overvågning af sine medarbejdere ”bare fordi man kan”.
Udover at der skal angives et eller flere formål, skal disse formål også være sagligt begrundet i virksomhedens drift. Der stilles også krav om, at kontrollen skal være nødvendig for at opnå formålet, og at kontrollen skal være så lidt indgribende som muligt. Det er en god ide, at du som arbejdsgiver skriftligt kan dokumentere og forklare ens overvejelser herom.
Information og oplysningspligt
En anden central del af medarbejdernes rettigheder er retten til information om kontrollen. Det skal være klart beskrevet for medarbejderne, hvilke oplysninger der indgår i kontrollen, hvordan oplysningerne bruges, og hvorfor kontrollen sker.
Datatilsynet har især slået hårdt ned på arbejdsgivere, der har brugt data fra kontrolforanstaltninger til andre formål, end medarbejderne var informeret om. Oplysningerne kan for eksempel gives i ansættelsesbeviset eller i en medarbejderhåndbog.
Hvis arbejdsgiver ønsker at iværksætte en ny generel kontrolforanstaltning, skal medarbejderne informeres herom senest 6 uger forinden ifølge overenskomsten, protokollat 3.
Eksempel
En arbejdsgiver er træt af, at hans firmabiler bliver stjålet fra virksomheden. For at kunne spore bilerne vælger han at sætte GPS-trackere i bilerne. Dette er et sagligt formål, og kontrollen er nødvendig til at opnå formålet.
Arbejdsgiveren kunne også opnå formålet ved at installere videoovervågning i bilernes kabine, men dette ville være for indgribende, når nu en GPS er tilstrækkelig. Arbejdsgiveren oplyser medarbejderne om, at der sker GPS-overvågning af bilerne for at forebygge tyveri.
Hvis arbejdsgiveren samtidig vælger at bruge GPS-data til at kontrollere, om medarbejderne overholder fartgrænserne i bilen eller holder pauser i arbejdstiden, så vil det være i strid med GDPR, fordi han ikke har oplyst om dette kontrolformål forinden.
Vil du vide mere?
I juridisk afdeling rådgiver vi om den del af GDPR, der har med ansættelsesret og brug af medarbejdernes data at gøre.
Det er også vigtigt for en arbejdsgiver at have styr på den generelle datasikkerhed, herunder hvem der har adgang til data, hvordan og hvor længe det opbevares, og hvornår det bliver slettet igen. Her henviser vi til øvrige rådgivere. KA har et samarbejde med Lexoforms, som står klar til at hjælpe dig med en løsning, der imødekommer GDPR-lovgivningen på en sikker og simpel måde til en fordelagtig KA-pris. Læs mere om samarbejdet her