Har din virksomhed pligt til at have en politik for behandling af medarbejderes personoplysninger i henhold til GDPR?
EU’s General Data Protection Regulation (GDPR) trådte i kraft i maj 2018 og regulerer databeskyttelse og personoplysninger inden for EU og EØS-landene. En af de vigtigste krav i GDPR er, at enhver virksomhed, der behandler personoplysninger, skal have en politik for dette. Dette inkluderer også en politik for oplysninger, der behandles som led i ansættelsesforholdet.
Arbejdsgiveren træffer beslutning om at ansætte og afskedige medarbejderne, og arbejdsgiveren er derfor dataansvarlig for behandlingen af de oplysninger, der indsamles i forbindelse med ansættelse og efter ansættelsens ophør. Arbejdsgiveren er således pligtig til at dokumentere, at den pågældende medarbejder har fået information om behandling og opbevaring af oplysningerne.
Behandling af personoplysninger omfatter enhver form for håndtering af personoplysninger og kan eksempelvis være indsamling, registrering, systematisering, opbevaring og videregivelse, herunder offentliggørelse. Sletning af personoplysninger er også en behandling.
Behandlingsgrundlaget er fastsat i databeskyttelseslovens § 12, der supplerer nedenfor nævnte bestemmelser. Behandling af personoplysninger må kun ske, hvis der er et behandlingsgrundlag, dvs. en hjemmel til behandlingen, dvs. mindst én af betingelserne i forordningens artikel 6, stk. 1, litra a – f er opfyldt, eller hvis en af undtagelserne nævnt i artikel 9, stk. 2 gør sig gældende.
Almindelige oplysninger (ikke udtømmende) – Artikel 6
- Identifikationsoplysninger (navn, adresse og telefonnummer, fødselsdato), civilstand og billeder af medarbejdere
- Uddannelse, kurser og tidligere beskæftigelse
- Nuværende stilling, arbejdsopgaver, arbejdstider og andre tjenstlige forhold
- Oplysninger om løn, skatteoplysninger og kontonummer, hvortil løn skal anvises
- Oplysning om ‘ren’ straffeattest
- Kontaktoplysninger på familiemedlemmer
Personnummer – § 11
- Medarbejdernes personnummer
Følsomme oplysninger (udtømmende) – Artikel 9
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
- Race og etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske- og biometriske data
Strafbare forhold – § 8
- Oplysning om, at en medarbejder har begået (eller er politianmeldt for) et strafbart forhold
- Oplysning om overtrædelse af lovgivningen, uden at det har udløst (eller kan udløse) et egentligt strafansvar, men evt. andre sanktioner, f.eks. rettighedsfrakendelse
- Oplysninger på straffeattest eller børneattest
Efter forordningens § 12, stk. 1, kan behandling af personoplysninger omfattet af artikel 6, stk. 1, og artikel 9, stk. 1, kun finde sted, hvis behandlingen er nødvendig eksempelvis for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser. Derudover skal behandlingen af medarbejdernes oplysninger naturligvis opfylde de grundlæggende principper for behandling i forordningens artikel 5.
For at opfylde kravene til GDPR er det derfor vigtigt for virksomheder at have en klar og letforståelig politik på plads, der beskriver deres praksis for behandling af personoplysninger. Det er også vigtigt at sikre, at medarbejderne er bekendt med politikken og deres rettigheder.
Hvis selskabet ikke har en politik for databeskyttelse i overensstemmelse med GDPR, kan det udsætte sig for sanktioner og bøder. GDPR giver tilsynsmyndighederne beføjelse til at pålægge administrative bøder på op til 4% af en organisations globale årlige omsætning eller op til 20 millioner euro, afhængigt af hvilket beløb der er højst.
Det er derfor vigtigt, at virksomheder implementerer en politik for databeskyttelse og personoplysninger, der opfylder kravene i GDPR.
Har du brug for hjælp?
Hvis du har spørgsmål til enten de persondataretlige regler eller til reglerne inden for ansættelsesretten, er I velkomne til at kontakte advokat og partner Lisa Lykke på tlf. 32 46 46 38 eller mail lly@oadv.dk eller advokatfuldmægtig Maria-Melissa Schneider på tlf. 44 45 11 60 eller mail mes@oadv.dk.