GDPR-dilemmaer

Sæt jer sammen to og to. Fold ét dilemma ud ad gangen, læs situationen højt for hinanden, og diskutér de tre muligheder, før I vælger den løsning, I er mest enige om. Der er ikke ét facit – men jeres valg åbner nogle punkter, I kan tale videre ud fra.

En kollega er sygemeldt. Du ved godt, hvad kollegaen fejler, for I talte sammen i går. På morgenmødet spørger ledelsen, om nogen ved, hvordan medarbejderen har det. Spørgsmålet kan være udtryk for oprigtig bekymring – men det kan også handle om at få at vide, hvad kollegaen fejler, og om sygemeldingen kommer til at vare én eller flere dage, af hensyn til planlægningen af produktionen.

💬 Snak sammen: Hvad ville I hver især gøre – og hvorfor? Hvem "ejer" egentlig oplysningen om, hvad kollegaen fejler?
A Du fortæller åbent, hvad kollegaen fejler – ledelsen har jo brug for at kunne planlægge, og du vil gerne hjælpe.
Til samtalen: Helbredsoplysninger er følsomme personoplysninger – blandt de allermest beskyttede i GDPR. De tilhører kollegaen, ikke dig. Selv med gode intentioner videregiver du her noget, du kun har fået i fortrolighed. Diskutér: Ville I selv have det fint med, at en kollega fortalte ledelsen om jeres sygdom?
B Du siger, at du har talt med kollegaen, og at vedkommende har det efter omstændighederne – men at hvad kollegaen fejler, må ledelsen tale med kollegaen selv om.
Til samtalen: Her adskiller du omsorg fra oplysninger: Du beroliger uden at videregive noget følsomt. Arbejdsgiveren har ret til at vide, at man er syg, og må gerne spørge til forventet varighed – men har som udgangspunkt ikke krav på at vide hvad man fejler. Diskutér: Kan man sige det, uden at det bliver akavet over for ledelsen?
C Du siger ingenting på mødet, men ringer bagefter til kollegaen og foreslår, at vedkommende selv giver ledelsen besked om, hvor længe sygemeldingen cirka varer.
Til samtalen: Du sender beslutningen tilbage til den, oplysningerne handler om – det er helt i GDPR's ånd. Ledelsen får det, de reelt har brug for (varigheden), fra rette kilde. Diskutér: Er der situationer, hvor tavshed på mødet kunne misforstås – og gør det noget?

Du er bekymret for en kollega, som tilsyneladende "lugter" lidt af alkohol her til morgen. Det kan være et tilfælde – en våd bytur i går, en hostesaft, eller måske tager du helt fejl. Men det kan også være tegn på et problem, der vokser. Hvad gør du?

💬 Snak sammen: Hvor går grænsen mellem omsorg og sladder? Og hvad sker der med en mistanke, når den først er sagt højt til andre?
A Du nævner det diskret for et par andre kolleger for at høre, om de også har bemærket noget – så I kan finde ud af, om der er noget om det.
Til samtalen: En mistanke om alkoholproblemer er en oplysning om helbred/misbrug – altså noget af det mest følsomme, der findes. Deler du den i krogene, har du reelt sat et rygte i gang, som kollegaen aldrig kan forsvare sig imod – også selvom du tog fejl. Diskutér: Hvordan ville rygtet føles, hvis det viste sig at være hostesaft?
B Du taler direkte og under fire øjne med kollegaen: "Jeg siger det, fordi jeg er bekymret for dig – er alt okay?"
Til samtalen: Den svære, men rene løsning: Oplysningen bliver mellem jer to, og kollegaen får chancen for at forklare eller åbne op. Ingen data spredes, ingen rygter fødes. Diskutér: Hvad kræver det at tage den samtale – og hvad gør I, hvis kollegaen bliver vred eller afviser alt?
C Du går til nærmeste leder eller tillidsrepræsentant med din bekymring, så det bliver håndteret "efter bogen".
Til samtalen: Nogle gange er det rigtigt – især hvis der er sikkerhed på spil (maskiner, kørsel, patienter). Men husk: Nu har du videregivet en mistanke om helbred til arbejdsgiveren, og den bliver måske skrevet ned i en personalesag. Diskutér: Hvornår vejer sikkerhed tungere end fortrolighed? Og har jeres arbejdsplads en alkoholpolitik, der beskriver vejen?

Du skal sende en liste med medarbejderes navne, cpr-numre og lønoplysninger til lønkontoret. Autoudfyldningen i mailprogrammet vælger en forkert "Mette" – og du opdager først fejlen, da mailen er sendt til en ekstern samarbejdspartner. Ingen har tilsyneladende bemærket noget endnu, og du kan måske nå at "tilbagekalde" mailen. Det er fredag eftermiddag.

💬 Snak sammen: Hvad er fristelsen her – og hvad er risikoen ved at tie? Ved I, hvem I skulle give besked på jeres egen arbejdsplads?
A Du trykker "tilbagekald", sletter mailen fra "Sendt post" og håber, at ingen opdager det. Det var jo et hændeligt uheld.
Til samtalen: Det her er et databrud – og virksomheden har pligt til at vurdere det og som hovedregel anmelde det til Datatilsynet inden for 72 timer. "Tilbagekald" virker næsten aldrig uden for jeres eget mailsystem. Ved at tie gør du et uheld til en skjult sag, som kan koste virksomheden dyrt, hvis den opdages senere. Diskutér: Hvorfor er det så fristende at tie – og hvad ville en god arbejdsplads gøre for at fjerne den fristelse?
B Du giver straks besked til din leder eller den GDPR-ansvarlige, ringer til den forkerte modtager og beder dem slette mailen – og skriver ned, hvad der skete og hvornår.
Til samtalen: Læreren i klassen ville sige: præcis sådan. Hurtig besked gør, at virksomheden kan nå at vurdere og anmelde bruddet inden for 72-timersfristen og begrænse skaden. Fejl er menneskelige – GDPR straffer ikke uheldet, men den dårlige håndtering af det. Diskutér: Ville I turde sige det højt fredag kl. 15.30 – og hvad afgør, om en arbejdsplads har den kultur?
C Du venter til mandag med at sige noget – den eksterne modtager læser nok alligevel ikke mails i weekenden, og så kan du håndtere det i ro og mag.
Til samtalen: Fristen på 72 timer løber fra det øjeblik, bruddet er opdaget – ikke fra mandag morgen. Ved at vente har du spist det meste af virksomhedens reaktionstid, og oplysningerne (cpr og løn!) ligger ubeskyttet hos en fremmed hele weekenden. Diskutér: Hvad kan der ske med cpr-numre, der havner de forkerte steder – og hvem bærer risikoen, mens du venter?

Der var julefrokost i fredags, og du har taget en masse gode billeder – glade kolleger, fællessang og et par ret festlige situationer sidst på aftenen. Du overvejer at lægge de bedste i firmaets Facebook-gruppe og sende hele albummet rundt på mail "til minderne". En af kollegerne på billederne har tidligere nævnt, at vedkommende helst ikke vil optræde på nettet – men personen ser nu glad ud på billederne.

💬 Snak sammen: Er et billede en personoplysning? Og gør det en forskel, om billedet deles i en "lukket" gruppe eller offentligt?
A Du lægger billederne op – det er jo en lukket firmagruppe, alle var med til festen, og folk kan bare sige til, hvis de vil have et billede fjernet.
Til samtalen: Et billede, hvor man kan genkendes, er en personoplysning – og "spørg om tilgivelse i stedet for tilladelse" vender ansvaret på hovedet: Nu skal kollegaen aktivt gøre indsigelse mod noget, der allerede er delt (og måske allerede downloadet af andre). Og du ved endda, at én af dem ikke ønsker at være på nettet. Diskutér: Er en Facebook-gruppe med 40 kolleger reelt "lukket"?
B Du spørger de kolleger, der kan genkendes på billederne, før du deler noget – og de "festlige" billeder fra sidst på aftenen deler du slet ikke.
Til samtalen: Samtykke før deling er hovedreglen – og din egen dømmekraft er det bedste filter: Billeder, der kan være pinlige, har en helt anden vægt end et pænt gruppebillede. Husk også, at et samtykke kan trækkes tilbage – billedet skal så ned igen. Diskutér: Hvordan spørger man i praksis, uden at det bliver bureaukratisk – kan en fælles aftale før festen være løsningen?
C Du deler ingenting digitalt, men viser billederne fra din egen telefon i frokostpausen – så kan folk selv bede om at få tilsendt dem, de er på.
Til samtalen: Den forsigtige løsning: Ingen oplysninger spredes, og hver enkelt bestemmer selv. Men bemærk – billederne ligger stadig på din private telefon, måske med automatisk backup i en sky uden for EU. Diskutér: Hvor længe skal man gemme den slags billeder? Og hvem er egentlig "dataansvarlig" for julefrokostbilleder – dig eller firmaet?