Databeskyttelses- forordningen
Det er fantastisk at have ansatte. Desværre kan reglerne på området også gøre det besværligt, og databeskyttelsesforordningen gør det ikke nemmere. Læs her, hvad du skal forholde dig til.
Databeskyttelsesforordningen, måske bedre kendt som GDPR, trådte i kraft i maj 2018. Det betyder bl.a. at der kan pålægges bøder hvis oplysninger om ansatte behandles i strid med databeskyttelsesloven. Derfor bør man som arbejdsgiver sikre en datapolitik, som overholder GDPR. Vi guider dig her om hovedtrækkene.
Almindelige person- oplysninger er ok
Såkaldt almindelige personoplysninger, som fx navn, adresse og telefonnummer, kan behandles uden samtykke så længe det tjener et lovligt og rimeligt formål. I forhold til en ansættelse har man som udgangspunkt altid lov at behandle almindelige personoplysninger.
Personfølsomme oplysninger kræver ekstra omtanke
Såkaldt personfølsomme oplysninger, som fx race, helbredsoplysninger, fagforeningsmedlemskab, personlighedstest og straffeattest skal man være særligt opmærksom på sin behandling af.
Bed kun om data du skal bruge
En god tommelfingerregel er at tænke over, hvad persondata om medarbejdere skal bruges til. Har de ikke et konkret formål, bør de ikke indsamles.
Eksempler på data, som kan undværes er:
- CPR-nummer. Man har ikke pligt til at skrive CPR-nummer på en ansættelseskontrakt. Gør man det alligevel, indeholder kontrakten personfølsomme oplysninger, og det kan give problemer. Heldigvis har de færreste arbejdsgivere brug for oplysningen på selve kontrakten, så der kan den med sindsro udelades. Er CPR-nummer nødvendigt til andre forhold, fx løn, er det typisk ok at indhente det. Det må dog kun bruges til det bestemte forhold, det er indhentet til.
- Helbred. Alene ved at spørge medarbejderen, hvad han eller hun fejler, risikerer du at overtræde reglerne i databeskyttelsesloven. Også selvom det ikke skrives ned. Har du behov for informationer, så spørg fx i stedet til, hvilke udfordringer sygdommen konkret giver for jobbet. Det må man nemlig gerne.
Fælles for de to oplysninger ovenfor er, at de ikke gør nogen større forskel for, hvordan man handler i situationen. Derfor har man i bund og grund ikke behov for dem, og det er netop pointen: Hvis man ikke skal bruge oplysningen til noget, er det bedre ikke at have den.
Tænk derfor altid: Hvad er mit formål med at opbevare denne viden?
Data skal tjene et bestemt formål
Personfølsomme data må kun behandles inden for de rammer, medarbejderen har givet samtykke til.
Ved altid at spørge sig selv, hvad man skal bruge bestemte data til og ved kun at opbevare dem så længe dette formål er relevant, er man nået langt i forhold til lovgivningen.
For nye ansatte kan man tage sine forholdsregler ved kun at bede om data, som skal bruges til et bestemt formål. Det kan fx være kontooplysninger, navn og adresse, som det er naturligt at indhente. CPR-nummer vil også være ok, hvis det eksempelvis sker for at kunne gennemføre korrekt tilbageholdelse af A-skat.
For eksisterende ansatte kan der være gemt data, som man ikke har lov til at behandle. Hvis man derfor ønsker at få ryddet op i de oplysninger, man fx har liggende på tidligere medarbejdere, er det vigtigt enten at have samtykke eller hjemmel, før man sletter oplysningerne. Oplysninger kan altså ikke bare slettes uden videre.
Medarbejderens rettigheder
Der sker en række ændringer vedrørende den registrerede parts – din ansattes – rettigheder i forhold til persondata. Fx gælder det, at …
- Samtykke til at behandle data skal være afgivet frivilligt og informeret
- Medarbejderen skal informeres om retten til sletning og berigtigelse af forkerte oplysninger
- Medarbejderen skal vide, hvilke oplysninger der er registreret og kunne få udleveret de registrerede oplysninger
Få hjælp til persondata og ansættelsesret fra Ase
Ase Selvstændig rådgiver sine medlemmer om spørgsmål til databeskyttelsesforordningen i forbindelse med ansættelsesret. Vores jurister kan træffes på 7013 7015.
Få hjælp til andre spørgsmål fra Datatilsynet
Spørgsmål ud over ansættelsesret, kan du få hjælp til hos Datatilsynet.
Du kan også kontakte Datatilsynet direkte med spørgsmål.