Datatilsynet har vurderet, at et sikkerhedsfirma lovligt kunne videregive en ny vagtmedarbejders jobtitel, navn og CPR-nummer til Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste for at opnå den nødvendige sikkerhedsgodkendelse. Tilsynet understreger, at samtykke i ansættelsesforhold sjældent kan anses for frivilligt på grund af det ulige magtforhold, og at behandlingen derfor skulle hvile på et andet retsgrundlag.
Datatilsynets vurdering
Tilsynet fandt, at videregivelsen kunne baseres på interesseafvejningsreglen i GDPR art. 6, idet det var nødvendigt for arbejdsgiveren at sikre, at medarbejderen lovligt kunne udføre de sikkerhedskrævende opgaver. Behandlingen blev vurderet som proportionel, da der alene blev delt identifikationsoplysninger og jobtitel til formål, som var klart forbundet med ansættelsen.
Endvidere blev oplysning om CPR-nummer anset for lovlig efter databeskyttelsesloven, fordi entydig identifikation var nødvendig i processen. Tilsynet forholdt sig ikke afgørende til, om der faktisk var underskrevet en samtykkeerklæring, da behandlingen under alle omstændigheder kunne ske uden samtykke.
Praktiske implikationer
Arbejdsgivere i sikkerheds- og andre regulerede sektorer bør undlade at støtte sig på samtykke ved HR-behandlinger og i stedet identificere et passende behandlingsgrundlag, typisk legitim interesse, når der foreligger et dokumenteret behov. Den konkrete nødvendighed og proportionalitet bør beskrives og journaliseres.
Det anbefales at informere kandidater og ansatte klart om formål, modtagere og lovgrundlag, begrænse videregivelse til strengt nødvendige oplysninger og sikre korrekt håndtering af CPR-numre. Afgørelsen flugter med Datatilsynets opdaterede vejledninger om databeskyttelse i ansættelsesforhold og skærper fokus på praktisk compliance.
