Databeskyttelsesforordningen trådte i kraft den 25. maj 2018. Formålet med forordningen er, at sikre et ensartet og højt niveau for beskyttelse af fysiske personers grundlæggende rettigheder med hensyn til behandling af deres personoplysninger. Denne klumme sætter særlig fokus på persondatalovens regler omkring behandling af personoplysninger på ansatte medarbejdere.

Som de fleste ved, har vi i Danmark vedtaget en ny persondatalov. Loven indeholder bl.a. regler om behandling af personoplysninger i ansættelsesfor­hold.

De nye databeskyttelsesregler stiller flere nye og generelt skærpede krav til virksomhederne. Arbejdsgiverne har nu endnu flere forpligtelser at leve op til.

Tilsynsmyndigheden i Danmark – Datatilsynet – har varslet udgivelse af en vejledning om behand­ling af personoplysninger i personaleadministra­tionen, men vejledningen lader vente på sig og blandt andet derfor har vi i dette nyhedsbrev valgt at se nærmere på emnet.

Efter en kort omtale af væsentlige begreber og re­gelgrundlaget illustrerer vi med nogle eksempler. Det anbefales at rekvirere og gennemgå Datatilsy­nets vejledning, når den foreligger, for at sikre at ens personaleadministration er compliant.

Dataansvarlig

I en virksomhed behandles nødvendigvis person­oplysninger om medarbejderne. Det sker både før, under og efter ophør af ansættelsesforholdet.

Arbejdsgiveren er i denne sammenhæng dataan­svarlig. Arbejdsgiveren har ansvaret for, at behand­lingen af medarbejdernes personoplysninger sker i overensstemmelse med databeskyttelsesreglerne.

Personoplysninger

Begrebet personoplysninger dækker over enhver form for information, som identificerer – eller kan identificere – en fysisk person. Der findes alminde­lige oplysninger og følsomme oplysninger.

Oplysninger om strafbare forhold og nationale identifikationsnumre har en særstatus og er sær­skilt reguleret i persondataloven.

De personoplysninger, der betragtes som føl­somme, er kun oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbe­visning eller fagforeningsmæssigt tilhørsforhold, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle ori­entering, samt genetiske og biometriske data, der kan anvendes til entydigt at identificere en fysisk person.

Mange taler fejlagtigt om personfølsommme op­lysninger og tror, at det er terminologien for alle personoplysninger, men sådan er det ikke. Der er ret stor forskel på, om en personoplysning er et CPR-nummer, om den vedrører strafbare forhold, om den er almindelig eller om den tilhører den særlige kategori af følsomme oplysninger.

Behandling

Begrebet behandling dækker over enhver håndte­ring af personoplysninger. Modtagelse, ændring, anonymisering, opbevaring, videregivelse og slet­ning er eksempler på behandling.

God databehandlingsskik

Behandling af personoplysninger skal helt overordnet ske i overensstemmelse med god databehandlingsskik. For eksempel skal enhver behandling være lovlig, rimelig og foregå på en gennemsigtig måde.

Der gælder et princip om for­målsbegrænsning, der betyder, at personoplysnin­ger kun må indsamles til udtrykkeligt angivne og legitime formål. Behandlingen af personoplysnin­ger skal være tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til det formål, som behandlingen sigter på. Endelig skal person­oplysningerne være korrekte.

Hvis arbejdsgiveren kommer i besiddelse af per­sonoplysninger, der efter god databehandlingsskik ikke må behandles, skal de slettes.

Behandlingsgrundlag

Behandling af personoplysninger skal ske på et lovligt grundlag. Hvis der ikke er et behand­lingsgrundlag – en hjemmel – er behandling af personoplysninger ulovlig. Der er forskel på behandlingsgrundlaget for de forskellige typer af personoplysninger.

Behandlingsgrundlaget for medarbejdernes almin­delige personoplysninger er som udgangspunkt, at behandlingen er nødvendig for at kunne opfylde ansættelsesaftalen. For at overholde sine ansæt­telsesretlige forpligtelser er arbejdsgiveren nødt til at behandle personoplysninger som f.eks. navn, adresse og bankkontooplysninger.

Behandlingsgrundlaget vil i visse tilfælde være overholdelse af en retlig forpligtelse. Eksempelvis skal arbejdsgiveren opbevare lønoplysninger i løbende år + fem år. I andre tilfælde vil behand­lingsgrundlaget være, at arbejdsgiverens interesse i at behandle personoplysningerne overstiger medarbejderens interesser og grundlæggende rettigheder.

Arbejdsgiveren skal som udgangspunkt undlade at behandle medarbejderens CPR-nummer, hvis ikke der er pligt til at foretage netop den behandling. Arbejdsgiveren har pligt til at indeholde A-skat og til det formål skal CPR-nummeret anvendes. Omvendt er der f.eks. ikke grundlag for – og heller ikke grund til – at angive et CPR-nummer i en an­sættelseskontrakt.

En arbejdsgiver må behandle oplysninger om strafbare forhold, hvis medarbejderen har givet sit udtrykkelige samtykke til det. Herudover kan behandling ske, hvis det er nødvendigt for at varetage en berettiget interesse, der klart oversti­ger hensynet til medarbejderens interesser. Efter omstændighederne er det således tilladt at bede om samtykke til at indhente en straffeattest.

Da der ikke er grundlag for opbevare attesten, skal den slettes efter indhentelse.

Oplysningspligt

Når arbejdsgiveren behandler medarbejdernes personoplysninger, gælder en særlig oplysnings­pligt. Pligten indeholder bl.a. krav om, at medar­bejderne skal oplyses om, hvilke personoplysnin­ger der behandles, formålet med det, grundlaget for behandlingen og hvor længe oplysningerne op­bevares.

Medarbejderen skal også oplyses om sine rettigheder, herunder retten til at tilbagetrække samtykke, til indsigt, til berigtigelse, til begræns­ning, til sletning og mulighederne for at klage.

Oplysningspligten indtræder med få undtagelser, når personoplysninger indsamles eller modtages, eller når formålet med en given behandling æn­dres i forhold til det oprindelige formål.

I forbindelse med rekruttering kan oplysningsplig­ten med fordel tænkes ind allerede, når stillings­opslaget udarbejdes og igen ved ansættelsesforhol­dets etablering.

Oplysningspligten skal selvfølgelig også iagttages over for nuværende medarbejdere. Det kan ske på flere måder og det skal kunne bevi­ses, at det er sket.

Før ansættelsesforholdets etablering

Når en virksomhed rekrutterer nye medarbejdere, sker der behandling af personoplysninger. Behand­lingen kan ske på grundlag af en interesseafvej­ning og det er kun almindelige personoplysninger, der som udgangspunkt bør behandles. Følsomme personoplysninger, CPR-numre og oplysninger om strafbare forhold bør ikke modtages, medmindre det må anses nødvendigt for den pågældende stilling og i så fald tidligst, når den rette kandidat er fundet. Ansøgere bør opfordres til at undlade at fremsende sådanne oplysninger med ansøgningen.

Når den rette kandidat er fundet, er arbejdsgive­ren berettiget til at opbevare de modtagne joban­søgninger med bilag, så længe der er grund til at opbevare oplysningerne.

Efter en tommelfinger­regel kan de opbevares i op til seks måneder efter modtagelse. Ønsker virksomheden opbevaring af oplysningerne i en periode ud over seks måneder, med henblik på senere at kunne tage ansøgningen i betragtning til en eventuel fremtidig stilling, skal berørte jobansøgeres samtykke indhentes.

Under ansættelsesforholdet

Under ansættelsesforholdet behandles de fleste personaleoplysninger for at kunne opfylde ansæt­telseskontrakten. Ofte behandles personoplysnin­ger af andre årsager og det er vigtigt at få kortlagt den konkrete behandling og grundlaget for den. Herefter kan medarbejderne oplyses korrekt og uretmæssig behandling kan undgås.

Et par eksempler:

Arbejdsgiveren har ret til at foretage kontrolforan­staltninger, når dette anses for nødvendigt, og der er et sagligt formål med det. Kontrolforanstaltnin­ger kan bestå af registrering af medarbejderens arbejdstid, kontrol af medarbejderens e-mail og te­lefon, logning af internet, alkohol-/narkotest, brug af TV-/videoovervågning, mv. Brugen af kontrolfor­anstaltninger kræver, at arbejdsgiveren informerer medarbejderne om, på hvilket grundlag, hvorfor, hvornår og hvordan adfærden overvåges.

Ønsker arbejdsgiveren at offentliggøre et portræt af medarbejderen på virksomhedens hjemmeside, på sociale medier eller i markedsføringsmateriale, må dette alene ske på grundlag af et forudgående samtykke fra medarbejderen. Dette gælder, uanset om billedet er ledsaget af en tekst, der identificerer den pågældende.

Efter ansættelsesforholdet

Det er ikke alle personoplysninger, der skal slettes, når en medarbejder er fratrådt. Så længe der er et sagligt grundlag, kan personoplysninger gem­mes.

En tommelfingerregel kan udledes af hidti­dig praksis fra Datatilsynet, hvorefter fratrådte medarbejderes personoplysninger må gemmes i op til fem år efter ansættelsesforholdets ophør. Efter bogføringsloven skal regnskabsmateriale – f.eks. lønoplysninger – gemmes i løbende år + fem år. Personoplysninger kan gemmes i længere tid end efter tommelfingerreglen, dog kun så længe der er et sagligt grundlag.

Afsluttende bemærkning

Det er ikke godt nok at overholde principperne for god databehandling. Enhver virksomhed skal kun­ne dokumentere, at reglerne overholdes. Så det er absolut en god ide at få tilvejebragt dokumentati­on for, at personaleadministrationen er compliant (overholder formelle regler), hvis ikke denne dokumentation allerede er klar.

Annonce