Danmark: Datatilsynet riktar allvarlig kritik mot NCC:s hantering av anställds personuppgifter

Datatilsynet har uttryckt allvarlig kritik mot att NCC Danmark A/S behandling av personuppgifter inte utförts i enlighet med reglerna i dataskyddsförordningen (“GDPR”) om laglig behandling av personuppgifter och känsliga personuppgifter, och att NCC inte fullgjort sin informationsskyldighet avseende de personuppgifter som NCC samlat in om sina anställda.

Av beslutet framgår att NCC sagt upp en anställd och att uppsägningen blivit ett ärende vid arbetsdomstolen med hänvisning till anti-organisatoriskt beteende vid tidpunkten för uppsägningen. Ärendet hade samtidigt uppmärksammats av media.

Vid en intern genomgång i ett e-postmeddelande till flera av sina anställda behandlade NCC personuppgifter om uppsägningen i form av namn, skäl för uppsägningen, tidigare anställningsförhållanden och medlemskap i fackförening. NCC motiverade genomgången i e-postmeddelandet med den turbulens som orsakats av medias täckning av ärendet.

Datatilsynet konstaterade att NCC:s behandling av personuppgifter och känsliga personuppgifter i e-postmeddelandet inte utförts i enlighet med reglerna i GDPR, eftersom NCC inte visat att företaget haft ett berättigat intresse av att informera om uppsägningen och om den anställdas tidigare anställningsförhållande. NCC hade vidare inte rätt att behandla informationen om den pågående konflikten med en viss fackförening, eftersom det finns ett absolut förbud mot behandling av uppgifter som rör facklig tillhörighet, och att inget av undantagen från förbud enligt GDPR var tillämpligt i ärendet.

Vidare konstaterade Datatilsynet att NCC inte hade fullgjort sin informationsskyldighet till sina anställda, eftersom det inte var tillräckligt att personuppgiftspolicyn för anställda fanns tillgänglig på intranätet om den registrerade inte särkilt hänvisats till att ta del av policyn.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 6 GDPR, art. 9 GDPR, art. 13 GDPR, art. 14 GDPR

Sanktionsavgift: N/A

Mottagare: NCC Danmark A/S

Beslutsnummer: 2019-31-2250

Beslutsdatum: 2020-06-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.