Organisationer, som behandler personoplysninger uden at iagttage regler i persondataforordningen, kan straffes eller udsættes for andre sanktioner. Der er som regel en fysisk person bag behandlinger af persondata. Hvis behandlingen ikke er i overensstemmelse med reglerne, er det naturligvis relevant at forholde sig til, hvis skyld det er. De mulige personaleretlige konsekvenser er genstanden for denne artikel.
Udgangspunktet for personaleretlige brud
Udgangspunktet er, at hvis databehandling ikke er i overensstemmelse med de persondataretlige regler, så er det organisationen (den dataansvarlige), som kan straffes eller sanktioneres på anden måde. Hvis der f.eks. sker hacking af et system og personoplysninger stjæles og sårbarheden, der blev brugt, er en kendt gammel sårbarhed, så kan organisationen straffes, fordi de ikke i tilstrækkelig grad har implementeret passende, tekniske sikkerhedsforanstaltninger efter artikel 32. Som hovedregel vil det næppe være en bestemt fysisk persons skyld, at opdateringer ikke er gennemført, og tillige er det ikke en tilsigtet ondsindet handling, hvis man ikke opdaterer. I dette eksempel kan straf af en fysisk person derfor næppe komme på tale.
Genstanden for straf er derfor som udgangspunkt juridiske enheder (f.eks. virksomheden), frem for konkrete, fysiske personer.
Personaleretlige konsekvenser ved brud
Persondataforordningen siger meget lidt om ansættelsesretlige forhold. I artikel 32, stk. 4 præciseres det, at det er organisationen (den dataansvarlige eller databehandleren), der som arbejdsgiver instruerer medarbejderne i at behandle personoplysninger. Databehandlerens medarbejdere, som får adgang til personoplysninger, skal også underlægges fortrolighed, jf. artikel 28, stk. 3, litra b. Den dataansvarliges ansvar fastslås også helt grundlæggende i artikel 24, og det er derfor naturligt, at det som udgangspunkt er organisationen, der straffes.
Instruktionen fra arbejdsgiveren til medarbejderen i at behandle personoplysninger ligger i fin forlængelse af ledelsesretten, men det er arbejdsretten og ikke persondataretten, som er afgørende for, om medarbejdere kan straffes. Det er arbejdsgiveren, som leder og fordeler arbejdet. Hermed kan arbejdsgiveren også sanktionere en utilfredsstillende adfærd fra medarbejderen, f.eks. ved advarsel, afskedigelse eller bortvisning.
Arbejdsgiveren kan frit afskedige medarbejdere, hvis det er rimeligt eller sagligt begrundet. Tilsidesættelse af de pligter, der følger af ansættelsen, er som udgangspunkt en saglig afskedigelsesgrund. Hvis medarbejderne ikke efterlever de regler, der er fastlagt for arbejdspladsen i medfør af ledelsesretten, vil det ofte være sagligt at afskedige medarbejderen.
Personaleretlige regler i praksis
Fra praksis kendes der især sager, hvor medarbejderne ikke overholder fastlagte politikker (f.eks. IT-politik) for brug af online tjenester, der er arbejdet uvedkommende som f.eks. besøg på hjemmesider eller brug af Facebook. I disse sager, har det været en betingelse, at der forefindes sådanne politikker. Desuden gælder det, at medarbejderen skal være loyal overfor arbejdsgiveren – uanset, om der er en it-politik eller ej. Fra privat udstyr må medarbejderen således ikke opføre sig illoyalt overfor arbejdsgiveren og skrive nedsættende eller fortrolige oplysninger om arbejdsgiveren på f.eks. Facebook.
Arbejdsgiveren må kunne forvente, at de ansatte overholder de generelle love. De persondataretlige regler er imidlertid omfattende og komplekse, og det er dermed også tvivlsomt, om medarbejderne i almindelighed kender til reglerne. Det kan f.eks. let ske, at en medarbejder kommer til at behandle en personoplysningen uden at oplyse den registrerede om det. Der skal derfor være en vis grovhed i bruddet af de persondataretlige regler til stede, hvis en medarbejder skal kunne sanktioneres. Det er derfor vigtigt, at arbejdsgiveren har sikret, at medarbejderne har kendskab til, forståelse for og mulighed for efterlevelse af de persondataretlige regler, f.eks. gennem politikker, procedurer, kampagner, tests og awarenesstiltag. Videre bør arbejdsgiveren fare frem med lempe og evt. i første tilfælde af en overtrædelse informere specifikt om, hvad reglerne er.
Ved gentagne overtrædelser eller ved meget grove overtrædelser, hvor en medarbejder f.eks. har eksponeret en kollegas følsomme oplysninger online, kan det komme på tale med afskedigelser eller måske endda bortvisninger. Hvis medarbejderen stjæler kundeoplysninger, kan et strafansvar også komme på tale.
Strafansvar
Et egentligt strafansvar, hvor en fysisk person får en bøde eller måske ligefrem kan komme i fængsel, er usandsynligt men ikke umuligt. Som nævnt ovenfor skal der meget til, og det skal være groft, førend en medarbejder kan straffes.
Hvis ledelsen derimod forsætligt handler imod de persondataretlige regler (f.eks. fordi de af forretningsmæssige årsager ikke ønsker at følge en regel) eller udviser grov forsømmelse (f.eks. undlader indenfor rimelig tid at efterkomme væsentlige anbefalinger fra en DPO) kan et personligt strafansvar ikke udelukkes. Det må derfor være en anbefaling, at der er klare procedurer for, hvem i ledelsen, der tager hvilke beslutninger, og at der tages referat af de faglige anbefalinger, der kommer fra DPO, CPO, CISO m.v., og den skæbne anbefalingerne får hos ledelsen.
Links
Andre artikler fra Wired Relations relateret hertil er:
”Persondataret i ansættelsesforhold”, Peter Blume & Jens Kristiansen
