Ved medarbejderfratrædelser skal virksomheder balancere informationsbehov med GDPR. Kun nødvendige og proportionale oplysninger må deles, og der skal være gyldigt behandlingsgrundlag. Faglige organisationer rejser oftere krav, og bøder er en reel risiko. Hovedreglen er at kommunikere snævert, målrettet og neutralt uden årsager, medmindre de er ufarlige og saglige. Følsomme forhold og strafbare forhold kræver særlige hensyn og udelades som udgangspunkt.
Retligt grundlag og risici
Retsgrundlaget følger af GDPR. Artikel 6 angiver hjemmelsgrundlag for almindelige oplysninger, fx legitim interesse, mens artikel 9 omfatter følsomme oplysninger som helbred, hvor udtrykkeligt samtykke normalt er påkrævet. Oplysninger om strafbare forhold er underlagt særregler efter GDPR artikel 10 og national supplerende ret. Uanset grundlag gælder principperne om dataminimering, formålsbegrænsning og proportionalitet. Arbejdsgiver skal kunne dokumentere vurderingen og begrunde, hvorfor mindre indgribende kommunikation ikke var tilstrækkelig.
Retten på Bornholm SS 792/2021 illustrerer risikoen. En virksomhed fik bøde for at oplyse til kunder, at en medarbejder var bortvist og politianmeldt, samt beskrive forholdet. Dommen viser, at detaljer om strafbare forhold sjældent er nødvendige for driften og derfor ikke må videregives. Den understreger behovet for korrekt målretning, begrænset indhold, klart formål og dokumenteret hjemmel.
Interne vs eksterne meddelelser
Internt kan virksomheden som udgangspunkt oplyse, at en medarbejder fratræder på en bestemt dato og give en enkel, objektiv begrundelse som nyt job eller pension. Særlige eller følsomme årsager, fx sygdom eller samarbejdskonflikter, bør ikke deles. Deling af helbredsoplysninger kræver som hovedregel samtykke. Kun hvor et tungtvejende, sagligt hensyn kan dokumenteres, kan mere uddybende intern information være berettiget, og da i strengt begrænset omfang.
Eksternt rækker det ofte med driftsorienterede beskeder, eksempelvis autosvar i e-mail eller direkte orientering om ny kontaktperson. Meddelelsen bør begrænses til, at personen ikke længere er ansat, og hvor henvendelser skal sendes. Årsager bør ikke kommunikeres til kunder, leverandører eller offentligheden uden robust hjemmel eller samtykke. Ved opslag på sociale medier bør tekst aftales med medarbejderen for at reducere risiko og sikre neutral, saglig information.
Praktiske anbefalinger
For at styrke efterlevelsen kan virksomheder etablere faste, dokumenterede procedurer og standardtekster for fratrædelseskommunikation. Følgende tiltag mindsker risikoen og letter sagsoplysningen ved et eventuelt tilsyn:
Udpeg ansvarlige, fastlæg, hvem der må godkende tekster, og ensret formuleringer for at sikre ensartet praksis på tværs af afdelinger og kanaler.
- Kommuniker kun nødvendige oplysninger, og undlad begrundelser, medmindre påkrævet.
- Identificer behandlingsgrundlag efter GDPR art. 6 og vurder art. 9 og 10.
- Indhent og journalfør samtykke ved følsomme oplysninger, og begræns modtagerkredsen.
- Fastlæg politikker for interne og eksterne meddelelser, inkl. sociale medier og autosvar.
