GDPR, også kendt som persondataforordningen, stiller strenge krav til behandling af personoplysninger - dette omfatter også jeres ansattes personoplysninger. Som arbejdsgiver er det derfor vigtigt at kende disse krav og sørge for at reglerne bliver overholdt.
Vi deler i dette indlæg en lille guide til, hvornår I skal være opmærksomme på GDPR, samt hvordan I skal forholde jer til kravene.
KORT FORTALT: Få er bekendt med, at beskyttelse af personoplysninger faktisk ikke er noget nyt, der kom med i persondataforordningen (GDPR) i 2016 (2018 i Danmark). Der har været europæiske aftaler om beskyttelse af persondata lige siden 1981 og dermed næsten 40 år før GDPR-reglerne. Den tidligere gældende lovgivning i Danmark (sidstgældende: persondataloven) affødte dog kun ganske få og ret ubetydelige sager. Formålet med reformen i 2016 udsprang af et ønske om at lade borgerne have mere kontrol over deres persondata og at ensrette reglerne i hele EU. Dette gjorde man bedst ved at lave en forordning, som ville få direkte virkning for alle medlemslande af EU. I dag føres derfor grundig kontrol med virksomheders, offentlige instansers og organisationers overholdelse af GDPR med risiko for store bøder ved overtrædelser. Det er derfor yderst vigtigt at sørge for at have GDPR på plads fra start.
Det vil vi gerne hjælpe jer med og derfor har vi lavet denne quickguide til behandling af persondata i ansættelsesforhold.
Guide til GDPR i ansættelsesforhold
Vi har valgt at inddele guiden i følgende 4 kategorier:
Før ansættelsen: jobansøgere, rekrutteringsbureauer m.v.
Under ansættelsen: medarbejdere m.v.
Efter endt ansættelse: fratrådte medarbejdere
FAQ om persondatabehandling i ansættelsesforhold
1. Før ansættelsen
Allerede inden I påbegynder rekrutterings- og ansættelsesprocessen, er det vigtigt at være opmærksom på 1. hvornår I behandler persondata, 2. hvilke oplysninger behandles, 3. hvordan oplysningerne behandles (og beskyttes), og måske allervigtigst 4. hvorfor I behandler persondata. Det er en god idé at nedskrive jeres databehandlingsprocesser og sørge for at holde dem opdateret.
Hvis I benytter jer af et rekrutterings- eller vikarbureau, er det vigtigt at I har jeres databehandleraftaler på plads. Datatilsynet har på deres hjemmeside gratis skabeloner på dansk og andre sprog til formålet: Dataansvarlig og databehandler (datatilsynet.dk).
Inden I laver et jobopslag, skal I grundigt vurdere, om I har styr på at håndtere de persondata, I vil modtage i løbet af rekrutteringsprocessen. Oplysninger skal opbevares sikkert, og hvor kun få og relevante medarbejdere har adgang til disse. Desuden skal fortrolige og følsomme personoplysninger, når de bliver delt, krypteres. I skal gennemføre passende tekniske og organisatoriske foranstaltninger for at beskytte jeres medarbejderes data. Det kan være en fordel at alliere jer med en data- eller IT-specialist i denne forbindelse. Læs evt. mere på Datatilsynets hjemmeside her: Hvordan beskytter du personoplysninger ? (datatilsynet.dk)
Det kan være en god idé at inkludere et afsnit om jeres behandling af jobansøgers persondata i selve jobopslaget. Hvis I benytter en elektronisk jobsøgningsside, kan I passende tilføje et afsnit, som jobansøgeren skal læse og acceptere, inden de kan trykke sig videre ind og udfylde ansøgningen på jeres hjemmeside.
Opbevaring af data på jobansøgere, som ikke bliver ansat, skal som udgangspunkt slettes så snart formålet med at gemme disse ophører. Skulle der være behov for at opbevare disse data efter rekrutteringsprocessen er ophørt, bør der indhentes samtykke til dette. Et af formålene med at bevare persondata på dem, der ikke blev ansat i første omgang, kunne eksempelvis være til at besætte en evt. senere ledig stilling. Der er dog tidsbegrænsninger på den slags opbevaringer. Datatilsynet skriver på deres hjemmeside, at de som udgangspunkt vil acceptere en opbevaringsperiode på indtil 3 år efter endt rekrutteringsproces, for oplysninger på ansøgere, som ikke blev ansat (Opbevaring af personoplysninger om ansøgere, som ikke bliver ansat (datatilsynet.dk)). Dette kan blandt andet skyldes, at en afvist jobansøger kan rejse en sag i Ligebehandlingsnævnet, og derfor har virksomheden et legitimt formål at bevare dokumentation på ansøgerens ansøgningsproces i den tid, der fortsat er risiko for en sag.
På Datatilsynets hjemmeside findes en vejledning, der går i dybden med enkelte elementer, som kan indgå i en jobansøgning, eksempelvis til indhentning af straffeattest, børneattest m.v., læs den her: Vejledning om databeskyttelse i forbindelse med ansættelsesforhold (datatilsynet.dk)
2. Under ansættelsen
Når I har ansatte, kan der opstå mange situationer, hvor I indsamler almindelige personoplysninger, men også følsomme oplysninger.
Persondatabehandlinger foregår typisk, men ikke udelukkende, i følgende scenarier:
- Opbevaring af ansættelseskontrakt,
- Medarbejderudviklingssamtaler,
- Behandling af løn,
- Behandling af skat,
- Kontaktoplysninger på virksomhedens hjemmesiden eller intranet.
Som nævnt, kan der også være omstændigheder, hvor I kommer til at behandle følsomme personoplysninger. Dette kan eksempelvis være oplysninger, der er beskyttet af helbredsoplysningsloven i forbindelse med indgåelse af en § 56-aftale*. En sådan persondatabehandling er omfattet af en mere snæver behandlingsadgang. Igen kan vi henvise til Datatilsynets vejledning ovenfor med henblik på at vurdere hvordan enkelte elementer af persondataoplysninger skal behandles.
Desuden bør I have en personalepolitik om behandling af medarbejders persondata, som medarbejderen får udleveret i forbindelse med ansættelse og ved eventuelle opdateringer. Der er ikke noget lovkrav at have en personalepolitik om behandling af persondata, men med en personalepolitik kan I blandt andet opfylde oplysningspligten, I har overfor jeres medarbejdere.
Vi anbefaler altid en konkret juridisk rådgivning, hvis I står overfor en situation, hvor I skal behandle følsomme personoplysninger eller oplysninger om strafbare forhold. Det kan være værd at overveje at indhente udtrykkeligt samtykke fra medarbejderen til behandling af sådanne personoplysninger.
*En §56-aftale er en aftale, der kan laves mellem arbejdsgiver og medarbejder med udgangspunkt i sygedagpengeloven, og giver bl.a. medarbejdere med kronisk eller langvarig sygdom et mere fleksibelt arbejdsliv. Arbejdsgiver kan bl.a. få refusion fra 1. sygefraværsdag, hvorved medarbejderen kan mødes med en højere tolerance for hyppigere sygefravær.
3. Efter endt ansættelse
Når en medarbejder fratræder sin stilling i en virksomhed, har denne ret til at få slettet sine oplysninger.
I bør altid konkret gennemgå den fratrædende medarbejders persondata og sikre at slette data, som I ikke har noget formål at bevare. Gem det, som er vigtigt at gemme - evt. i forbindelse med at der skulle opstå en sag af en eller anden art, så I har jeres dokumentation på plads. Dog skal det oplyses til medarbejderen, at virksomheden fortsat vil bevare en personalemappe på vedkommende, og hvor længe disse oplysninger vil blive bevaret i virksomheden.
4. FAQ om persondatabehandling i ansættelsesforhold
Hvad er personoplysninger (ikke-følsomme)?
Personoplysninger er alle oplysninger, der kan bruges til at identificere en fysisk person.
Om personoplysninger skriver Datatilsynet på deres hjemmeside følgende:
Personoplysninger omfatter alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger). Det kan for eksempel være identifikationsoplysninger som navn, adresse, alder og uddannelse. Det gælder også økonomiske forhold som skat og gæld. Personoplysninger indebærer også væsentlige sociale problemer, andre rent private forhold, sygedage eller tjenstlige forhold. Oplysninger i form af billede, fingeraftryk, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon – er også personoplysninger. (Hvad er personoplysninger? (datatilsynet.dk))
Hvad er persondatabehandling?
Databeskyttelsesloven beskriver en behandling som følgende: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Hvad er den registrerede ansattes rettigheder efter GDPR?
Datatilsynets vejledning opsummerer den registreredes rettigheder således:
Retten til at modtage oplysning om en behandling af sine personoplysninger
Retten til indsigt i oplysninger om en selv
Retten til at få urigtige oplysninger berigtiget
Retten til at få slettet oplysninger
Retten til at gøre indsigelse mod en i øvrigt lovlig behandling
Hvornår må vi behandle ansattes persondata?
I henhold til databeskyttelsesloven må behandling ske i forbindelse med udtrykkeligt angivne og legitime formål.
Et eksempel på et legitimt formål er lønkørsel, og dermed er indsamling af persondata til brug for at køre en medarbejders løn tilladt. Det kan være personnummer, kontonummer, navn og adresse m.v.
Behandling er også kun lovlig, hvis mindst ét af følgende er opfyldt:
Samtykke fra den registrerede til behandling af et eller flere specifikke formål.
Opfyldelse af bl.a. en kontrakt, som den registrerede er omfattet af, gør det nødvendigt at behandle oplysninger.
Overholdelse af en retlig forpligtelse nødvendiggør behandling af oplysninger.
Beskyttelse af registrerede eller anden fysisk persons vitale interesser, gør behandling nødvendig.
Udførelse af bl.a. opgave i samfundets interesse, som gør det nødvendigt at behandle oplysninger.
Dataansvarliges eller tredjemands legitime interesser, der ikke overgår den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, nødvendiggør en behandling.
Vær i denne forbindelse opmærksom på, at særlige forhold gør sig gældende, når det drejer sig som følsomme personoplysninger.
Hvad er følsomme personoplysninger?
Databeskyttelsesforordningen beskriver følsomme personoplysninger som følgende: race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Udgangspunktet er, at det er forbudt at behandle følsomme personoplysninger, men at der gælder undtagelser til denne regel. Vi anbefaler, at I søger konkret juridisk rådgivning, hvis I skal behandle følsomme personoplysninger eller oplysninger om strafbare forhold.
Hvad er samtykke?
Personoplysninger kan som udgangspunkt altid behandles, hvis medarbejderen har givet udtrykkeligt samtykke hertil.
Sådan et samtykke, for at være gyldigt, skal opfylde visse betingelser:
- frivilligt
- specifikt
- informeret
- utvetydigt
Det skal bemærkes, at et samtykke altid kan trækkes tilbage, hvorfor det ikke nødvendigvis altid er den bedste adgang til at behandle oplysninger.
Datatilsynets opdaterede vejledning til samtykke kan findes her: Vejledning om samtykke (datatilsynet.dk) (maj 2021)
Hvis du ønsker hjælp til at lave en tekst til en samtykkeerklæring, så kontakt os på rannva@rnllaw.dk.
Hvad skal vi gøre, hvis der sker et sikkerhedsbrud og risiko for lækket persondata?
Hvis I oplever et sikkerhedsbrud og der opstår en risiko for at jeres persondata er blevet lækket, har I som udgangspunkt pligt til at anmelde det overfor Datatilsynet senest 72 timer efter bruddet er blevet konstateret, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.
I kan anmelde et sikkerhedsbrud via virk.dk her: Indberetning af brud på sikkerhed | Virk
Herudover kan der være krav til at de berørte personer skal orienteres, hvis bruddet kan medføre en høj risiko for de registreredes rettigheder.
Og husk lige igen...
at sørge for at personoplysninger er opbevaret sikkert og hvor kun få og relevante medarbejdere har adgang til disse. Sørg for at have egnede tekniske og organisatoriske foranstaltninger på plads til dette.
Når I sender følsomme eller fortrolige oplysninger, skal dette gøres krypteret.
Arbejdsgiver, hvad skal du gøre nu?
Vi håber, at du med ovenstående guide føler dig klædt på til at behandle dine nuværende, kommende, fratrædende og potentielle ansattes persondata.
Lad os opsummere de opgaver, du skal tage med fra dette indlæg:
- Lav nogle klare og tydelige databehandlingsprocesser og sørg for at de rigtige medarbejdere er bekendt med disse. Det kan være en god idé at nedskrive jeres databehandlingsprocesser og sørge for at holde dem opdateret. Jeres databehandlingsprocesser bør omfatte følgende:
1. Hvornår behandler I data? 2. Hvilke oplysninger behandles? 3. Hvordan skal disse behandles (og beskyttes)? og allervigtigst
4. Hvorfor I behandler disse persondata (formål).
- Hvis I ikke allerede har en personalepolitik om behandling af persondata, så er det en god idé at få den lavet. Der er ikke noget lovkrav at have en personalepolitik om behandling af persondata, men med en personalepolitik kan I blandt andet opfylde oplysningspligten I har overfor jeres medarbejdere. På vores hjemmeside kan I købe en skabelon, samt rådgivning til at tilpasse den jeres virksomhed: GDPR - personalepolitik | RNL Law ApS.
Vi anbefaler at hvis du er i tvivl om, hvordan du skal behandle persondata, herunder de enkelte elementer af personoplysninger, så søg juridisk rådgivning til dette. Det kan nemlig være rigtig dyrt at overtræde GDPR reglerne.
Hvis du har spørgsmål eller brug for hjælp at komme i gang, så kontakt os i dag på rannva@rnllaw.dk.
Vi gør opmærksom på, at enkelte overenskomster kan indeholde særlige bestemmelser om persondata. Derfor anbefaler vi, at I får konkret rådgivning, hvis I har tiltrådt en overenskomst.