Find medarbejder
Find medarbejder

Er HR-afdelingen klar til Datatilsynets tilsyn?

Overhold_Persondataforordningen_i_HR-afdelingen.jpg
Medarbejderoplysninger er Datatilsynets fokusområde på tilsynene i andet halvår af 2019.
  • Overhold_Persondataforordningen_i_HR-afdelingen.jpg
  • Ann_Bruun_Birk.jpg
08-08-2019

Datatilsynet har offentliggjort nye fokuspunkter for tilsyn i andet halvår af 2019, og her kommer der blandt andet fokus på behandling af medarbejderoplysninger. 

Er jeres HR-afdeling klar til et eventuelt tilsyn, eller er I ikke sikre på, hvorvidt I er helt på plads med GDPR-arbejdet? 

Her får du en guide til arbejdet med at overholde GDPR-reglerne i HR afdelingen. Du finder også en liste med forslag til GDPR dokumenter. 

Personoplysningerne i HR-afdelingen – en oversigt

I HR-afdelingen er det hovedsageligt medarbejdernes personoplysninger, vi behandler. 

Dette sker både før ansættelsen, under ansættelsesforholdet og efter ansættelsesforholdets ophør.

Vi behandler både almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold samt cpr-nr. på medarbejderne.

Derudover kan flere af disse personoplysninger være fortrolige.

Der er forskellige muligheder for at behandle disse personoplysninger alt efter hvilken kategori, oplysningen tilhører.

Her er en oversigt med eksempler på personoplysninger i HR-afdelingen med tilhørende kategori. Oversigten er fra Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, dog med tilføjelser og tilretninger fra min side. 

Eks. på personoplysninger samt kategori ved personaleadministration

Almindelige oplysninger (ikke udtømmende) - Artikel 6

  • Sygefravær og sygdomsperioder
  • Personlighedstest
  • Bortvisning fra jobbet
  • Graviditet
  • Udbetaling af dagpenge
  • Jobtræning
  • Ledighed/langtidsledig
  • Ansøgning, svar og afslag
  • Identifikationsoplysninger (navn, adresse, telefonnummer, fødselsdato)
  • Uddannelse
  • Udtalelser
  • Tidligere beskæftigelse
  • Nuværende stilling
  • Arbejdsopgaver
  • Arbejdstider og andre tjenstlige forhold
  • Oplysninger om løn
  • Skat
  • Oplysninger om andet fravær fra arbejdet end sygdom
  • Oplysninger om pensionsforhold
  • Kildeskatteoplysninger
  • Oplysninger om kontonummer, hvortil løn skal anvises
  • Kurser
  • Billeder af medarbejdere
  • Kontaktoplysninger på familiemedlemmer
  • Advarsel, påtale, afskedigelse
  • LUS/MUS 
  • Alm. CV-oplysninger
  • Portrætbillede

Følsomme oplysninger (udtømmende) - Artikel 9

  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering
  • Race
  • Etnisk oprindelse,
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske data
  • Biometriske data
Strafbare forhold - § 8
  • Oplysning om, at en medarbejder har begået et strafbart forhold
  • Oplysninger om overtrædelse af lovgivningen, uden at det har udløst (eller kan udløse) et egentligt strafansvar, men evt. andre sanktioner, f.eks. rettighedsfrakendelse
  • Oplysninger på straffeattester
Medarbejderens CPR-nr. - § 11

GDPR-dokumenter i HR-afdelingen

Det kan være svært at vurdere, hvilke dokumenter der er nødvendige at få på plads i arbejdet med at få implementeret GDPR i HR-afdelingen.

Jeg har her opstillet en liste over nogle af de dokumenter, som oftest vil være en nødvendig-hed:

  • Datastrømsanalyse over jeres personoplysninger
  • Fortegnelse over jeres behandlingsaktivitet
  • Her er et eksempel fra Datatilsynet: klik her
  • Procesbeskrivelse til medarbejdere i HR-afdeling, om hvorledes I behandler personoplysninger, herunder hvorledes I håndterer anmodninger fra de registrerede samt eventuelle databrud
  • Privatlivspolitik til medarbejderne (opfyldelse af underretningspligten)
  • Privatlivspolitik for jobansøgere (opfyldelse af underretningspligten)
  • Politik for brug af smartphones samt eventuelt hjemmearbejdsplads
  • It-politik, herunder vedr. kontrol af mails og internetbesøg samt evt. brug af sociale medier
  • Samtykkeerklæring til portræt- og situationsbilleder på hjemmeside og eventuelt til markedsføring
  • Samtykkeerklæring til behandling herunder opbevaring af helbredsoplysninger i personalemappen, fx oplysninger modtaget under sygefraværssamtaler, MUS eller lign.
  • Databehandleraftaler med eventuelle databehandlere

Nogle af disse dokumenter kan sammenskrives, herunder eventuelt være en del af virksomhedens overordnede arbejde med GDPR.

Datatilsynets tilsyn

Datatilsynet har oplyst, at de i første halvår af 2019 for så vidt angår behandling af medar-bejderoplysninger, har valgt særligt at fokusere på disse områder:

  • Sletning af oplysninger indsamlet i forbindelse med rekruttering
  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?

Du kan læse mere om Datatilsynets kommende tilsyn i andet halvår af 2019 her.

Datatilsynet har i oktober 2018 og april 2019 offentliggjort de spørgeskemaer, som Datatilsynet har anvendt i den seneste tid. 

Med spørgeskemaerne kan man således få indblik i, hvilke forhold Datatilsynet lægger vægt på. Det er dog væsentligt at pointere, at der kan være tale om forskellige spørgsmål fra tilsyn til tilsyn, hvorfor en gennemgang af disse spørgeskemaer, ikke kan udgøre en afgrænset tjekliste for, hvad tilsynet vil omhandle. Derudover har Datatilsynet oplyst, at de fra år til år vil udskifte spørgeskemaerne samt løbende revidere disse.

Ind til nu, har Datatilsynet offentliggjort følgende spørgeskemaer:

  • Private virksomheder – DPO-tilsyn
  • Offentlige myndigheder – DPO-tilsyn
  • Behandlingshjemmel og sikkerhed
  • Retshåndhævelse
  • Sletning
  • Autorisation af medarbejdere
  • Brud på persondatasikkerheden
  • Kryptering

Du kan læse mere om og downloade disse spørgeskemaer her: 

Fra oktober 2018

Fra juli 2019

I takt med, at Datatilsynet udgiver vejledninger og fører tilsyn, kommer der mere og mere konkret at forholde sig til og agere ud fra i HR-afdelingerne. Nu er det bare med at fortsætte det gode arbejde, så både nuværende, tidligere og potentielle nye medarbejderes personoplysninger bliver behandlet korrekt. 

Og skulle du have spørgsmål eller står midt i en problemstilling angående behandling af medarbejdernes personoplysninger, kan du altid kontakte advokat Ann Bruun Birk på tlf. 4692 9284 eller på mail abb@vingaardshus.dk.

Advokat Ann Bruun birk er specialiseret i personalejura og Persondataforordningen
Advokat Ann Bruun Birk er specialist indenfor personalejura, ansættelsesret og Persondataforordningen.

Bliv en del af HR, GDPR og personalejuraforum

Hvis du synes, det er svært at navigere rundt i hele manegen med HR, GDPR og personalejura, har du nu mulighed for at deltage i vores forum, hvor vi med dialog, sparring og videndeling bliver bedre til de tre emner. Forummet arrangerer vi i samarbejde med Annette Omøe fra HR Caseforum. Læs mere her >>>>


Er du gået glip af vores øvrige nyheder? Fortvivl ej, du finder dem allesammen her