Må en arbejdsgiver læse en ansats e-mails?

Kun hvis der er et lovligt grundlag, et sagligt og nødvendigt formål og kontrol sker proportionalt. Der bør foreligge en klar politik, konkret begrundelse og snæver afgrænsning, samt information til medarbejderen.

Kræver overvågning samtykke fra medarbejderen?

Som udgangspunkt nej. Samtykke anses sjældent for frivilligt i ansættelsesforhold, så arbejdsgiver baserer typisk behandlingen på legitim interesse eller anden hjemmel og skal samtidig opfylde oplysningspligten.

Hvilke GDPR-krav gælder ved kontrolforanstaltninger?

Formålsbegrænsning, dataminimering, opbevaringsbegrænsning, adgangskontrol og dokumentation af interesseafvejning. Ved høj risiko bør der gennemføres en DPIA og indføres klare interne retningslinjer og slettefrister.

Schjødt

Can employers monitor their employees' use of electronic equipment?

Ansættelsesret EU-ret Persondata og cybersikkerhed

Arbejdsgivere kan kun overvåge ansattes brug af it-udstyr inden for snævre rammer. GDPR kræver lovligt grundlag, nødvendighed, proportionalitet og gennemsigtighed. Danmark og Norge stiller særlige krav, mens Sverige ikke har særregler, men GDPR gælder uændret.

Eva Jarbekk

Jeppe Songe-Møller

Inge Kristian Brodersen

Kaare M. Risung
Anna Eide
Iselin Nybø
Ane Rode
Oskar Engman
Christopher Tehrani
Sanna Wolk

Rammer for overvågning af ansatte og GDPR i Skandinavien

Arbejdsgiveres kontrol med ansattes brug af elektronisk udstyr er begrænset af databeskyttelsesregler og ansættelsesretlige krav. Udgangspunktet er GDPR: behandling skal have lovligt grundlag, være nødvendig til et sagligt formål og ske proportionalt og gennemsigtigt. Adgang til indhold i mails eller logdata forudsætter klar politik, konkret begrundelse og snæver afgrænsning.

I Danmark og Norge er arbejdstageres privatliv særligt beskyttet, og kontrolforanstaltninger kræver forudgående information, dokumentation og ofte dialog med repræsentanter. I Sverige findes ingen særregulering, men GDPR gælder fuldt ud. På tværs af landene bør arbejdsgivere etablere interne retningslinjer, fastsætte slettefrister, foretage risikovurdering eller DPIA ved indgribende tiltag og sikre løbende kontrol af adgang og logning.

Læs hele artiklen hos Schjødt →

Søgeord