Danmark: Datatilsynet riktar allvarlig kritik mot NCC:s hantering av anställds personuppgifter

Datatilsynet har uttryckt allvarlig kritik mot att NCC Danmark A/S behandling av personuppgifter inte utförts i enlighet med reglerna i dataskyddsförordningen (“GDPR”) om laglig behandling av personuppgifter och känsliga personuppgifter, och att NCC inte fullgjort sin informationsskyldighet avseende de personuppgifter som NCC samlat in om sina anställda.

Av beslutet framgår att NCC sagt upp en anställd och att uppsägningen blivit ett ärende vid arbetsdomstolen med hänvisning till anti-organisatoriskt beteende vid tidpunkten för uppsägningen. Ärendet hade samtidigt uppmärksammats av media.

Vid en intern genomgång i ett e-postmeddelande till flera av sina anställda behandlade NCC personuppgifter om uppsägningen i form av namn, skäl för uppsägningen, tidigare anställningsförhållanden och medlemskap i fackförening. NCC motiverade genomgången i e-postmeddelandet med den turbulens som orsakats av medias täckning av ärendet.

Datatilsynet konstaterade att NCC:s behandling av personuppgifter och känsliga personuppgifter i e-postmeddelandet inte utförts i enlighet med reglerna i GDPR, eftersom NCC inte visat att företaget haft ett berättigat intresse av att informera om uppsägningen och om den anställdas tidigare anställningsförhållande. NCC hade vidare inte rätt att behandla informationen om den pågående konflikten med en viss fackförening, eftersom det finns ett absolut förbud mot behandling av uppgifter som rör facklig tillhörighet, och att inget av undantagen från förbud enligt GDPR var tillämpligt i ärendet.

Vidare konstaterade Datatilsynet att NCC inte hade fullgjort sin informationsskyldighet till sina anställda, eftersom det inte var tillräckligt att personuppgiftspolicyn för anställda fanns tillgänglig på intranätet om den registrerade inte särkilt hänvisats till att ta del av policyn.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 6 GDPR, art. 9 GDPR, art. 13 GDPR, art. 14 GDPR

Sanktionsavgift: N/A

Mottagare: NCC Danmark A/S

Beslutsnummer: 2019-31-2250

Beslutsdatum: 2020-06-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.