Adgang til ansattes data i forbindelse med ophør

Af Sascha Hegner Specht

Det hænder jo (desværre) at man må sige farvel til en medarbejder. Men hvad siger lovgivningen egentlig om den data som medarbejderen, f.eks. e-mails som medarbejderen har sendt og modtaget, i ansættelsen. Må virksomheden bare ”overtage” den data? Der er en række ting, man bør være opmærksom på inden man behandler en fratrådt medarbejders data, blandt andet persondataforordningen, da f.eks. e-mails indeholder persondata.

Opsummering

Udgangspunktet er at data, der er af legitim interesse for virksomheden, må du gerne beholde eller overføre når en medarbejder stopper. Men du skal gøre opmærksom på behandlingen og du skal give medarbejderen mulighed for at fjerne eller tydeligt angive evt. privat data der måtte være. Du skal som virksomhed også have styr på behandlingen, f.eks. om de slettede filer faktisk er slettet og om du har lovhjemmel til behandlingen.

Forskel på personlig og privat data

Personlige data er data som den ansatte er ”ejer af” f.eks. mailadressen lisa@virksomhed.dk eller dokumenter som den ansatte har udarbejdet i embedes medføre. Private data er f.eks. en mail som Lisa har sendt til sin mor i et privat anliggende eller dokumenter af privat karakter der ikke har noget med virksomheden at gøre.

”Data” i denne artikel, er primært personlige e-mails, men kan også være dokumenter som den ansatte har liggende på f.eks. enheder eller i skyen.
Persondata er data der indeholder ”personhenførbare” oplysninger, altså oplysninger, som f.eks. navn, der kan henføres til en enkel person.
En ”behandling” af persondata indbefatter også opbevaring og overførsel.

Forskel på deaktivering og sletning

Der er forskel på hvad der sker med data, når du enten sletter eller deaktiverer en konto og alt efter hvilken løsning du har.
Når du deaktiverer en konto vil brugeren vil ikke længere have adgang til dataene. Du (eller vi) vil som administrator altid kunne tilgå indholdet af kontoen.
Her skal man bare være opmærksom på, at hvis dataene indeholder persondata (som det ofte gør), så skal man have lovhjemmel til opbevaringen af dataene.

I denne cloud-tid er en sletning heller ikke nødvendigvis ensbetydende med at data ikke kan genskabes – i hvert fald i en periode. Alt efter hvilken løsning du har, vil det være muligt at genskabe data indtil, f.eks., 30 dage efter sletningen. Det er også muligt at opsætte en konto til at bevare data i længere tid end der tilbydes som standard.
Vil du være sikker på hvad der sker med dine data når du anmoder om deaktivering eller sletning, så spørg os endelig!

Husk i øvrigt at beskrive i jeres behandlingsfortegnelse hvad der sker med jeres data ved et ansættelsesstop – især hvis I fortsat behandler data, f.eks. ved opbevaring.

Oplys om kontrol og backup

Sørg for at være åben og ærlig overfor medarbejderne om behandlingen af oplysninger. Hvis I f.eks. laver kontroller for at sikre at medarbejdere efterlever den politik I har på området, så sørg for at have oplyst at I gør det (I behøver ikke at sige hvornår I gør det…). Hvis I tager backup af alle dokumenter og mails, så sørg for at medarbejderne er orienteret om det og instrueret i at sikre private data mod uønsket behandlingen (hvis de ikke ønsker at virksomheden tager backup af private dokumenter).
Det vil typisk være i en personalehåndbog, en IT-sikkerhedspolitik eller lignende, at den slags vil være nedskrevet.

Klare retningslinjer i personalehåndbogen

Mange af vores kunder oplever udskiftning af personale med jævne mellemrum. Det kan både være i tilfælde af at faste ansatte har fået nyt job eller at man har periodisk ansatte medarbejdere til at udføre en afgrænset opgave. Der kan også være tale om at medarbejderen benytter sig af egne, private enheder til at tilgå virksomhedens data.

Uanset den gense praksis i virksomheden, bør der være nedskrevet retningslinjer i f.eks. en personalehåndbog eller en datapolitik. Retningslinjerne bør forholde sig til både privat brug af f.eks. e-mails og til brug af private enheder til at tilgå virksomhedens data.
Ligesom den kort bør beskrive hvad praksis er ved medarbejderens ophør.

Eksempler på beskrivelser i personalehåndbogen.

Overvej at ”dele” mail

Der kan også være forskel på praksis alt efter hvilken jobfunktion den ansatte udfylder. Måske kan det i nogle tilfælde være mere hensigtsmæssigt at man har en fælles postkasse til ”salg@virksomhed.dk”, som den, eller de, der så udfører salgsarbejdet kan sidde med. Når vedkommende så ikke længere er i virksomheden, vil mailen uden særlige forhold kunne overdrages til den næste der skal udføre ”funktionen”. Ligesom der med fordel kan tildeles adgang til fælles dokumentmapper indeholdende den nødvendige dokumentation, så der ved et ophør ikke skal overføres ”personlige” dokumenter.

Bevaring af e-mails i begrænset periode.

Hvis en e-mail konto skal lukkes, så sørg for at kontoen kun er aktiv i en begrænset periode, og i så kort en periode som muligt, dog max 12 måneder.

” Når en medarbejder er fratrådt og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e-mailkontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder ”.
Datatilsynets vejledning i forbindelse med ansættelsesforhold, Afsnit 7.3.1.

Overførsel af data

Ønsker man at overføre data fra f.eks. en tidligere medarbejder til en ny medarbejder, har virksomheden en legitim interesse i overførslen og har derfor umiddelbart lovhjemmel til at overføre filerne. Det er dog vigtigt at retningslinjerne for brugen af arbejdsmailen er nedskrevet – og oplyst til medarbejderen og at medarbejderen har mulighed for at slette evt. private mails forud for overførslen. Bliver virksomheden bekendt med privat indhold, bør dette slettes omgående.

Hvad gør MICO

Vi håndterer mange af vores kunders mail-konti og vi udfører derfor også den ønskede behandling af fratrådte ansattes data. Vi vejleder også meget gerne vores kunder i beskrivelser af procedurer og behandlinger af data til både personalehåndbog og IT-vejledninger.
Når en kunde ringer eller skriver og ønsker en bestemt behandling af en mailkonto, vil vi sikre os at både kunden og brugeren er indforstået med behandlingen af dataene.

Kilder og links

Læs i øvrigt artiklerne Har I en slettepolitik og om sikker mail, særligt under punktet ”ryd op i din indbakke”.