Visma Services Danmark nyhedsbrev

Persondataloven – Sådan håndterer I medarbejdernes personoplysninger

Persondataloven Advokater og HR-jurister venter i spænding på den kommende EU-forordning, der skal afløse Persondataloven (LOV nr. 429 af 31/5 2000). I mellemtiden kan det godt betale sig for dig med medarbejderansvar at kigge jeres nuværende håndtering af personoplysninger efter i sømmene, så I er klar, når de skrappere regler træder kraft.

Denne sommer har vi holdt nogle af vores populære gå-hjem-møder i Herlev og Fredericia, hvor advokaterne Karina Lind Bertelsen og Henrik Bartels fra ADVODAN Glostrup holdt oplæg om persondataloven. Her fortalte de, hvordan arbejdsgivere skal håndtere medarbejdernes oplysninger både nu, og når den kommende EU-forordning træder i kraft.

Her får du de vigtigste pointer fra oplægget

Hvornår er persondataloven relevant for jer?

Når I indsamler, opbevarer eller videresender personoplysninger om medarbejdere, tidligere medarbejdere og ansøgere, er I omfattet af Persondataloven.

Kort om persondataloven

Persondataloven gælder hver gang du registrerer personlige oplysninger enten elektronisk eller manuelt f.eks. i et arkivsystem eller en mappe, og du har som udgangspunkt pligt til:

  1. at oplyse personen og få samtykke til at håndtere oplysningerne
  2. at fortælle Datatilsynet om din registrering af personoplysninger (og få godkendelse)

Der er dog en række undtagelser fra punkt 2. Som hovedregel behøver I ikke anmelde til Datatilsynet, hvis I kun håndterer almindelige ikke-følsomme personoplysninger.

Eksempler på ikke følsomme personoplysninger

  • Navn
  • Kontaktinfo
  • Fødselsdag
  • Løn
  • Arbejdstider
  • Fravær
  • Kontonummer
  • Det, ansøgere selv skriver i en ansøgning.

Eksempler på følsomme personoplysninger

  • Helbredsforhold 
  • Fagforeningsforhold 
  • Strafbare forhold
  • Personlighedstests
  • Racemæssig eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Seksuelle forhold
  • Væsentlige sociale problemer

Håndterer I følsomme oplysninger, bør I derfor undersøge, om I har pligt til at anmelde det til Datatilsynet.

God skik

Det vigtigste at tænke på i forhold til personoplysninger er, at I som arbejdsplads skal have respekt for medarbejdernes personlige oplysninger og behandle dem i god skik.

En mening med galskaben

Helt basalt må I kun indsamle nødvendige oplysninger til angivne og saglige formål – der skal altså være en mening med det, og den mening skal I formulere.

Når I efterfølgende skal behandle disse personoplysninger, skal det være i forbindelse med et formål, der ligger i tråd med det formål, I indsamlede oplysningerne under.

I har pligt til at registrere oplysningerne korrekt og slette dem igen, så snart det ikke længere er nødvendigt for jer at opbevare dem.

Her er en række konkrete medarbejdersituationer, og hvordan I håndterer dem:

Sådan håndterer I fratrådte medarbejderes mailkonti:

  1. Luk mailkontoen så hurtigt som muligt. Datatilsynet giver jer max 12 måneder
  2. Indtil da – Sæt hurtigt autosvar på mailen om fratrædelsen og evt. anden relevant oplysning 
  3. Læs ikke medarbejderens private e-mails. Det punkt er ikke omfattet af Persondataloven men af reglerne om brevhemmelighed i straffeloven
  4. Send ikke e-mails fra medarbejderens konto, dog må I gerne videresende private mails til den fratrådte medarbejders private mailadresse - efter aftale med den fratrådte medarbejder
  5. Sørg for, at det kun er en eller få udvalgte personer, der har adgang til den fratrådtes mailkonto

Må I lægge billeder af medarbejdere på hjemmesiden?

Ikke uden at spørge først!

Alle oplysninger om medarbejderen falder ind under Persondataloven – også billeder. Derfor skal I tænke jer om en ekstra gang, inden I lægger oplysninger om medarbejdere ud på internettet. Mange virksomheder har en kontaktside på hjemmesiden, ofte med billeder af de smilende medarbejdere.

Hvad kræver samtykke, og hvad kan I frit lægge online?

Kræver samtykke

  • Billeder
  • Privat adresse
  • Privat e-mail og telefonnummer
  • Alle følsomme personoplysninger

Kræver ikke samtykke

  • Navn
  • Arbejdsområde/titel
  • Ansættelsesår
  • Arbejdstelefon og mail

Selvom disse oplysninger som udgangspunkt ikke kræver medarbejderens samtykke, har medarbejderen altid ret til at gøre indsigelser, og er der en god grund til det, kan vedkommende kræve at få slettet personoplysninger, selvom de er arbejdsrelaterede.

Må I logge og kontrollere medarbejdernes færden på nettet og på e-mailkontoen?

Ja!

Virksomheder skal tage en række tekniske og sikkerhedsmæssige hensyn, og de hensyn kan veje tungere end medarbejderens ”privatliv” på arbejdspladsens netværk.

I må også gerne sikkerhedskopiere medarbejderes e-mails til sikkerhedsbrug, genetablering og dokumentation. Dog må I ikke læse private mails.

I skal klart og utvetydigt orientere medarbejderen om, at I logger vedkommendes mails og færden på internettet – og at I ind-i-mellem trækker logs til kontrol.

Er I en privat virksomhed, behøver I ikke anmelde logning af internet- og e-mailbrug til Datatilsynet.

Er I en offentlig myndighed, skal I anmelde logningen.

Hvad kommer den nye EU-forordning til at betyde for jer?

EU's kommende persondataforordning vil erstatte den nuværende persondatalov. Forordningen er ikke endeligt vedtaget endnu, og når den bliver det, vil der gå to år, før den træder endeligt i kraft.

Virksomheder har derfor lidt tid at løbe på endnu. Forordningen kommer dog til at betyde væsentlige ændringer, som kræver, at man udruller en række nye procedurer. Det tager tid, og det kan derfor godt betale sig at gå i gang med forberedelserne allerede nu.

Her er en forsmag på, hvad forordningen kommer til at betyde:

  • Bøder på op til 100 mio. euro eller 5 % af virksomhedens globale omsætning
  • Virksomheder, der behandler personoplysninger vedrørende mere end 5.000 personer hen over 12 måneder, skal udpege en Data Protection Officer
  • Virksomheden kan ikke indhente samtykke ved hjælp af forhåndsudfyldte felter, f.eks hvor et felt er krydset af på forhånd, og personen aktivt skal fjerne krydset. Samtykket skal gives aktivt (opt in) og ikke passivt (opt out)
  • Personoplysningsbegrebet udvides til også at indbefatte cookies og IP-adresser

Læs flere nyheder inden for lønområdet