Datatilsynet præciserer, at leverandører som udgangspunkt lovligt kan dele medarbejderoplysninger med en ordregiver for at dokumentere overholdelse af arbejdsklausuler. Videregivelsen kan ske med hjemmel i GDPR art. 6, stk. 1, litra f, hvis delingen er nødvendig, proportionel og passende sikret.
Behandlingsgrundlag og interesseafvejning ved kontrol af arbejdsklausuler
Både leverandør og ordregiver har en berettiget interesse i, at dokumentationen udveksles med henblik på kontraktopfyldelse og kontrol. Oplysninger som lønsedler, timesedler og ansættelseskontrakter kan derfor deles, når der er et klart og sagligt formål knyttet til arbejdsklausulen.
Interesseafvejningen bør dokumenteres, så det kan vises, at behandlingen ikke krænker medarbejdernes rettigheder. Samtykke er normalt ikke egnet i ansættelsesforhold; fokus bør være på nødvendighed, relevans og proportionalitet.
Dataminimering, sikker overførsel og medarbejderinformation
Del kun det, der er strengt nødvendigt for kontrolformålet, fx lønsats, arbejdstid og relevante perioder. Rediger CPR-nummer, bankoplysninger og eventuelle indikatorer for særlige kategorier, herunder fagforeningsforhold, hvis de ikke er nødvendige.
Anvend sikre overførselskanaler, begræns adgangen hos begge parter, og fastsæt slettefrister. Sørg for, at medarbejderne er informeret om modtagere og formål gennem en opdateret privatlivsinformation.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Rollefordeling og praktiske kontraktgreb
Leverandør og ordregiver vil typisk være uafhængige dataansvarlige; der skal derfor ikke indgås databehandleraftale. Aftal en klar proces for kontrolanmodninger, herunder formkrav, datasæt og sikkerhed.
Ordregiver bør undgå unødvendig videreformidling og kun opbevare materialet, så længe kontrolformålet tilsiger det. En fastlagt sletteplan og adgangsstyring reducerer risiko og sikrer ansvarlighed.
