Organisationer, som behandler personoplysninger uden at iagttage regler i persondataforordningen, kan straffes eller udsættes for andre sanktioner. Der er som regel en fysisk person bag behandlinger. Hvis behandlingen ikke er i overensstemmelse med reglerne, er det naturligvis relevant at forholde sig til hvis skyld det er. De mulige personaleretlige konsekvenser er genstanden for denne artikel.
Udgangspunktet
Udgangspunktet er, at hvis en behandling ikke er i overensstemmelse med de persondataretlige regler, så er det organisationen (den dataansvarlige), som kan straffes eller sanktioneres på anden måde. Hvis der f.eks. sker hacking af et system og personoplysninger stjæles og sårbarheden, der blev brugt, er en kendt gammel sårbarhed, så kan organisationen straffes fordi de ikke i tilstrækkelig grad har implementeret passende tekniske sikkerhedsforanstaltninger efter artikel 32. Som hovedregel vil det næppe være en bestemt fysisk persons skyld, at der ikke er foretaget opdatering, og tillige er det ikke en tilsigtet ondsindet handling ikke at opdatere. I dette eksempel, kan straf af en fysisk person derfor næppe komme på tale.
Genstanden for straf er derfor som udgangspunkt juridiske frem for fysiske personer.
Personaleretlige konsekvenser
Persondataforordningen siger meget lidt om ansættelsesretlige forhold. I artikel 32, stk. 4 præciseres det, at det er organisationen (den dataansvarlige eller databehandleren), der som arbejdsgiver instruerer medarbejderne i at behandle personoplysninger. Databehandlerens medarbejdere, som får adgang til personoplysninger, skal også underlægges fortrolighed, jf. artikel 28, stk. 3, litra b. Den dataansvarliges ansvar fastslås også helt grundlæggende i artikel 24 og det er derfor naturligt at det som udgangspunkt er organisationen der straffes.
Instruktionen fra arbejdsgiveren til medarbejderen i at behandle personoplysninger ligger i fin forlængelse af ledelsesretten, men det er arbejdsretten og ikke persondataretten, som er afgørende for om medarbejdere kan straffes. Det er arbejdsgiveren som leder og fordeler arbejdet. Hermed kan arbejdsgiveren også sanktionere en utilfredsstillende adfærd fra medarbejderen, f.eks. ved advarsel, afskedigelse eller bortvisning.
Arbejdsgiveren kan frit afskedige medarbejdere, hvis det er rimeligt eller sagligt begrundet. Tilsidesættelse af de pligter, der følger af ansættelsen, er som udgangspunkt en saglig afskedigelsesgrund. Hvis medarbejderne ikke efterlever de regler, der er fastlagt for arbejdspladsen i medfør af ledelsesretten, vil det ofte være sagligt at afskedige medarbejderen.
Fra praksis kendes der især sager, hvor medarbejderne ikke overholder fastlagte politikker (f.eks. IT-politik) for brug af online tjenester, der er arbejdet uvedkommende som f.eks. besøg på hjemmesider eller brug af Facebook. I disse sager, har det været en betingelse, at der forefindes sådanne politikker. Desuden gælder det, at medarbejderen skal være loyal overfor arbejdsgiveren – uanset om der er en it-politik eller ej. Fra privat udstyr må medarbejderen således ikke opføre sig illoyalt overfor arbejdsgiveren og skrive nedsættende eller fortrolige oplysninger om arbejdsgiveren på f.eks. Facebook.
Arbejdsgiveren må kunne forvente, at de ansatte overholder de generelle love. De persondataretlige regler er imidlertid omfattende og komplekse og det er dermed også tvivlsomt om medarbejderne i almindelighed kender til reglerne. Det kan f.eks. let ske at en medarbejder kommer til at behandle en personoplysningen uden at oplyse den registrerede om det. Det skal derfor en vis grovhed i bruddet af de persondataretlige regler til, hvis en medarbejder skal kunne sanktioneres. Det er derfor vigtigt, at arbejdsgiveren har sikret, at medarbejderne har kendskab til, forståelse for og mulighed for efterlevelse af de persondataretlige regler, f.eks. gennem politikker, procedurer, kampagner, tests og awarenesstiltag. Videre bør arbejdsgiveren fare frem med lempe og evt. i første tilfælde af en overtrædelse informere specifikt om hvad reglerne er.
Ved gentagne overtrædelser eller ved meget grove overtrædelser, hvor en medarbejder f.eks. har eksponeret en kollegas følsomme oplysninger online, kan det komme på tale med afskedigelser eller måske endda bortvisninger. Hvis medarbejderen stjæler kundeoplysninger, kan et strafansvar også komme på tale.
Strafansvar
Et egentligt strafansvar, hvor en fysisk person får en bøde eller måske ligefrem kan komme i fængsel, er usandsynligt men ikke umuligt. Som nævnt ovenfor skal der meget til, og det skal være groft, førend en medarbejder kan straffes.
Hvis ledelsen derimod forsætligt handler imod de persondataretlige regler (f.eks. fordi de af forretningsmæssige årsager ikke ønsker at følge en regel) eller udviser grov forsømmelse (f.eks. undlader indenfor rimelig tid at efterkomme væsentlige anbefalinger fra en DPO) kan et personligt strafansvar ikke udelukkes. Det kan derfor i den forbindelse anbefales, at der er klare procedurer for hvem i ledelsen, der tager hvilke beslutninger, og at der tages referat af de faglige anbefalinger, der kommer fra DPO, CPO, CISO m.v., og den skæbne anbefalingerne lider hos ledelsen.
s
Links
Andre artikler fra Wired Relations relateret hertil er:
”Persondataret i ansættelsesforhold”, Peter Blume & Jens Kristiansen
