Medarbejdere med adgang til registre med personoplysninger må kun foretage opslag, når det er nødvendigt for at udføre deres arbejdsopgaver. Nysgerrige eller private opslag er ulovlige og kan udløse politianmeldelse, bøde og ansættelsesretlige sanktioner.
Uretmæssige opslag og retsgrundlag
Databeskyttelsesreglerne kræver et sagligt formål og et lovligt behandlingsgrundlag. Grundprincipperne om formålsbegrænsning og dataminimering i GDPR art. 5 begrænser adgangen, mens art. 6 fastlægger retsgrundlag. Helbredsoplysninger er særlige kategorier efter art. 9 og kræver skærpet hjemmel. Logning muliggør efterfølgende kontrol af, hvem der har tilgået en journal.
Uretmæssige opslag kan også udgøre brud på tavshedspligt efter forvaltningsloven § 27 og straffelov § 152. Datatilsynet understreger, at rent private formål ikke er tilladt, uanset at adgangen teknisk set er mulig.
Arbejdsgivers pligter
Arbejdsgiveren er som udgangspunkt dataansvarlig og skal instruere medarbejdere, indføre rollebaseret adgang, føre log og etablere passende sikkerhed efter GDPR art. 32. Der bør være klare interne retningslinjer, kontrolforanstaltninger og løbende awareness-træning.
Lever arbejdspladsen op til disse krav, kan ansvaret ved uberettigede opslag placeres hos den ansatte. Praktisk bør arbejdsgivere kombinere adgangsstyring med risikobaseret loggennemgang og konsekvent håndhævelse for at forebygge misbrug.
