GDPR, også kendt som persondataforordningen, stiller strenge krav til behandling af personoplysninger - dette omfatter også jeres ansattes personoplysninger. Som arbejdsgiver er det derfor vigtigt at kende disse krav og sørge for at reglerne bliver overholdt.
Vi deler i dette indlæg en lille guide til, hvornår I skal være opmærksomme på GDPR, samt hvordan I skal forholde jer til kravene.
KORT FORTALT: Få er bekendt med, at beskyttelse af personoplysninger faktisk ikke er noget nyt, der kom med i persondataforordningen (GDPR) i 2016 (2018 i Danmark). Der har været europæiske aftaler om beskyttelse af persondata lige siden 1981 og dermed næsten 40 år før GDPR-reglerne. Den tidligere gældende lovgivning i Danmark (sidstgældende: persondataloven) affødte dog kun ganske få og ret ubetydelige sager. Formålet med reformen i 2016 udsprang af et ønske om at lade borgerne have mere kontrol over deres persondata og at ensrette reglerne i hele EU. Dette gjorde man bedst ved at lave en forordning, som ville få direkte virkning for alle medlemslande af EU. I dag føres derfor grundig kontrol med virksomheders, offentlige instansers og organisationers overholdelse af GDPR med risiko for store bøder ved overtrædelser. Det er derfor yderst vigtigt at sørge for at have GDPR på plads fra start.
Det vil vi gerne hjælpe jer med og derfor har vi lavet denne quickguide til behandling af persondata i ansættelsesforhold.
Guide til GDPR i ansættelsesforhold
Vi har valgt at inddele guiden i følgende 4 kategorier:
Før ansættelsen: jobansøgere, rekrutteringsbureauer m.v.
Under ansættelsen: medarbejdere m.v.
Efter endt ansættelse: fratrådte medarbejdere
FAQ om persondatabehandling i ansættelsesforhold
1. Før ansættelsen
Allerede inden I påbegynder rekrutterings- og ansættelsesprocessen, er det vigtigt at være opmærksom på 1. hvornår I behandler persondata, 2. hvilke oplysninger behandles, 3. hvordan oplysningerne behandles (og beskyttes), og måske allervigtigst 4. hvorfor I behandler persondata. Det er en god idé at nedskrive jeres databehandlingsprocesser og sørge for at holde dem opdateret.
Hvis I benytter jer af et rekrutterings- eller vikarbureau, er det vigtigt at I har jeres databehandleraftaler på plads. Datatilsynet har på deres hjemmeside gratis skabeloner på dansk og andre sprog til formålet: Dataansvarlig og databehandler (datatilsynet.dk).
Inden I laver et jobopslag, skal I grundigt vurdere, om I har styr på at håndtere de persondata, I vil modtage i løbet af rekrutteringsprocessen. Oplysninger skal opbevares sikkert, og hvor kun få og relevante medarbejdere har adgang til disse. Desuden skal fortrolige og følsomme personoplysninger, når de bliver delt, krypteres. I skal gennemføre passende tekniske og organisatoriske foranstaltninger for at beskytte jeres medarbejderes data. Det kan være en fordel at alliere jer med en data- eller IT-specialist i denne forbindelse. Læs evt. mere på Datatilsynets hjemmeside her: Hvordan beskytter du personoplysninger ? (datatilsynet.dk)
Det kan være en god idé at inkludere et afsnit om jeres behandling af jobansøgers persondata i selve jobopslaget. Hvis I benytter en elektronisk jobsøgningsside, kan I passende tilføje et afsnit, som jobansøgeren skal læse og acceptere, inden de kan trykke sig videre ind og udfylde ansøgningen på jeres hjemmeside.
Opbevaring af data på jobansøgere, som ikke bliver ansat, skal som udgangspunkt slettes så snart formålet med at gemme disse ophører. Skulle der være behov for at opbevare disse data efter rekrutteringsprocessen er ophørt, bør der indhentes samtykke til dette. Et af formålene med at bevare persondata på dem, der ikke blev ansat i første omgang, kunne eksempelvis være til at besætte en evt. senere ledig stilling. Der er dog tidsbegrænsninger på den slags opbevaringer. Datatilsynet skriver på deres hjemmeside, at de som udgangspunkt vil acceptere en opbevaringsperiode på indtil 3 år efter endt rekrutteringsproces, for oplysninger på ansøgere, som ikke blev ansat (Opbevaring af personoplysninger om ansøgere, som ikke bliver ansat (datatilsynet.dk)). Dette kan blandt andet skyldes, at en afvist jobansøger kan rejse en sag i Ligebehandlingsnævnet, og derfor har virksomheden et legitimt formål at bevare dokumentation på ansøgerens ansøgningsproces i den tid, der fortsat er risiko for en sag.
På Datatilsynets hjemmeside findes en vejledning, der går i dybden med enkelte elementer, som kan indgå i en jobansøgning, eksempelvis til indhentning af straffeattest, børneattest m.v., læs den her: Vejledning om databeskyttelse i forbindelse med ansættelsesforhold (datatilsynet.dk)
2. Under ansættelsen
Når I har ansatte, kan der opstå mange situationer, hvor I indsamler almindelige personoplysninger, men også følsomme oplysninger.
Persondatabehandlinger foregår typisk, men ikke udelukkende, i følgende scenarier:
- Opbevaring af ansættelseskontrakt,
- Medarbejderudviklingssamtaler,
- Behandling af løn,
- Behandling af skat,
- Kontaktoplysninger på virksomhedens hjemmesiden eller intranet.
Som nævnt, kan der også være omstændigheder, hvor I kommer til at behandle følsomme personoplysninger. Dette kan eksempelvis være oplysninger, der er beskyttet af helbredsoplysningsloven i forbindelse med indgåelse af en § 56-aftale*. En sådan persondatabehandling er omfattet af en mere snæver behandlingsadgang.
Igen kan vi henvise til Datatilsynets vejledning ovenfor med henblik på at vurdere hvordan enkelte elementer af persondataoplysninger skal behandles.
Desuden bør I have en personalepolitik om behandling af medarbejders persondata, som medarbejderen får udleveret i forbindelse med ansættelse og ved eventuelle opdateringer. Der er ikke noget lovkrav at have en personalepolitik om behandling af persondata, men med en personalepolitik kan I blandt andet opfylde oplysningspligten, I har overfor jeres medarbejdere.
Vi anbefaler altid en konkret juridisk rådgivning, hvis I står overfor en situation, hvor I skal behandle følsomme personoplysninger eller oplysninger om strafbare forhold. Det kan være værd at overveje at indhente udtrykkeligt samtykke fra medarbejderen til behandling af sådanne personoplysninger.
*En §56-aftale er en aftale, der kan laves mellem arbejdsgiver og medarbejder med udgangspunkt i sygedagpengeloven, og giver bl.a. medarbejdere med kronisk eller langvarig sygdom et mere fleksibelt arbejdsliv. Arbejdsgiver kan bl.a. få refusion fra 1. sygefraværsdag, hvorved medarbejderen kan mødes med en højere tolerance for hyppigere sygefravær.
3. Efter endt ansættelse
Når en medarbejder fratræder sin stilling i en virksomhed, har denne ret til at få slettet sine oplysninger.
I bør altid konkret gennemgå den fratrædende medarbejders persondata og sikre at slette data, som I ikke har noget formål at bevare. Gem det, som er vigtigt at gemme - evt. i forbindelse med at der skulle opstå en sag af en eller anden art, så I har jeres dokumentation på plads. Dog skal det oplyses til medarbejderen, at virksomheden fortsat vil bevare en personalemappe på vedkommende, og hvor længe disse oplysninger vil blive bevaret i virksomheden.
4. FAQ om persondatabehandling i ansættelsesforhold
Hvad er personoplysninger (ikke-følsomme)?
Personoplysninger er alle oplysninger, der kan bruges til at identificere en fysisk person.
Om personoplysninger skriver Datatilsynet på deres hjemmeside følgende:
Personoplysninger omfatter alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger). Det kan for eksempel være identifikationsoplysninger som navn, adresse, alder og uddannelse. Det gælder også økonomiske forhold som skat og gæld. Personoplysninger indebærer også væsentlige sociale problemer, andre rent private forhold, sygedage eller tjenstlige forhold. Oplysninger i form af billede, fingeraftryk, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon – er også personoplysninger. (Hvad er personoplysninger? (datatilsynet.dk))
Hvad er persondatabehandling?
Hvad er den registrerede ansattes rettigheder efter GDPR?
Hvornår må vi behandle ansattes persondata?
Hvad er følsomme personoplysninger?
Hvad er samtykke?
Hvad skal vi gøre, hvis der sker et sikkerhedsbrud og risiko for lækket persondata?
Og husk lige igen...
Arbejdsgiver, hvad skal du gøre nu?
Vi håber, at du med ovenstående guide føler dig klædt på til at behandle dine nuværende, kommende, fratrædende og potentielle ansattes persondata.
Lad os opsummere de opgaver, du skal tage med fra dette indlæg:
- Lav nogle klare og tydelige databehandlingsprocesser og sørg for at de rigtige medarbejdere er bekendt med disse. Det kan være en god idé at nedskrive jeres databehandlingsprocesser og sørge for at holde dem opdateret. Jeres databehandlingsprocesser bør omfatte følgende:
1. Hvornår behandler I data? 2. Hvilke oplysninger behandles? 3. Hvordan skal disse behandles (og beskyttes)? og allervigtigst
4. Hvorfor I behandler disse persondata (formål).
- Hvis I ikke allerede har en personalepolitik om behandling af persondata, så er det en god idé at få den lavet. Der er ikke noget lovkrav at have en personalepolitik om behandling af persondata, men med en personalepolitik kan I blandt andet opfylde oplysningspligten I har overfor jeres medarbejdere. På vores hjemmeside kan I købe en skabelon, samt rådgivning til at tilpasse den jeres virksomhed: GDPR - personalepolitik | RNL Law ApS.
Vi anbefaler at hvis du er i tvivl om, hvordan du skal behandle persondata, herunder de enkelte elementer af personoplysninger, så søg juridisk rådgivning til dette. Det kan nemlig være rigtig dyrt at overtræde GDPR reglerne.
Hvis du har spørgsmål eller brug for hjælp at komme i gang, så kontakt os i dag på rannva@rnllaw.dk.
Vi gør opmærksom på, at enkelte overenskomster kan indeholde særlige bestemmelser om persondata. Derfor anbefaler vi, at I får konkret rådgivning, hvis I har tiltrådt en overenskomst.
Kommentarer