Alvorlig kritik af ATP for mangelfuld oplysningspligt ved kontrolforanstaltninger

Datatilsynet gennemførte i august 2020 et planlagt tilsyn hos Arbejdsmarkedets Tillægspension (ATP). Tilsynet fokuserede på ATP’s overholdelse af oplysningspligten ved brug af kontrolforanstaltninger over for medarbejdere, samt hvorvidt ATP’s iagttagelse af oplysningspligten levede op til princippet om gennemsigtighed i Databeskyttelsesforordningens artikel 5, stk. 1, litra a.

Datatilsynet undersøgte følgende kontrolforanstaltninger:

• Logning af brugen af internet, fagsystemer og afviste adgangsforsøg
• Logning af adgang til fysiske lokationer og tidsregistrering
• Tildeling og opfølgning på roller og rettigheder i fagsystemer
• Adgang til medarbejderes e-mails
• Indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet
• Whistleblowerordning
• Tv-overvågning
• Besvigelseskontrol

ATP har oplyst, at medarbejderne via ansættelseskontrakten underrettes om, at de er omfattet af retningslinjer og regler gældende for ansættelsesforholdet, herunder bl.a. myndighedens informationssikkerhedspolitik, og at disse regler og retningslinjer kan tilgås via myndighedens intranet. Ved tiltrædelse modtager medarbejderne en velkomstmail, som bl.a. indeholder et direkte link til ATP’s medarbejderportal. ATP har udarbejdet en generel oplysningstekst vedrørende myndighedens behandling af personoplysninger om medarbejdere, som medarbejderne kan tilgå via medarbejderportalen. Oplysningsteksten suppleres af en række særskilte informationer om de enkelte kontrolforanstaltninger, som ligeledes kan tilgås via medarbejderportalen.

Datatilsynet udtalte alvorlig kritik af ATP’s behandling af personoplysninger, da den ikke var i overensstemmelse med Databeskyttelsesforordningens artikel 12, stk. 1, artikel 13 og artikel 14.

Begrundelse for kritikken:

• ATP’s efterlevelse af oplysningspligten har været mangelfuld, idet medarbejderne ikke har fået tilstrækkelig tydelig information om formålet med behandlingen af oplysningerne, retsgrundlaget, de berørte kategorier af personoplysninger og opbevaringsperioden.
• Den information, ATP har givet til medarbejdere i henhold til reglerne om oplysningspligt, er ikke blevet givet i en tilstrækkelig lettilgængelig form, jf. Databeskyttelsesforordningen § 12, stk. 1.
• ATP’s behandling af personoplysninger er ikke sket i overensstemmelse med det grundlæggende princip om gennemsigtighed i Databeskyttelsesforordningens artikel 5, stk. 1, litra a, da der har været manglende information om formålet med behandlingen.