Beskyt jeres persondata

15. marts 2018

Vil man som arbejdsgiver behandle persondata, skal en række principper være overholdt.

Principperne indebærer, at persondata:

  • skal behandles lovligt, fair og gennemsigtigt
  • kun må behandles til et konkret, udtrykkeligt og lovligt formål
  • ikke må indsamles/behandles i videre omfang end nødvendigt
  • skal være korrekte og opdaterede
  • ikke må lagres længere end nødvendigt
  • skal beskyttes med passende sikkerhedsforanstaltninger alt efter den konkrete risiko.

Formålet med forordningens regler er således at sikre forsvarlig behandling af persondata.

Persondata er enhver oplysning eller sæt af oplysninger, som er personhenførbare. Dette betyder, at man med en given oplysning eller sæt af oplysninger kan se, hvem der er personen bag.

Eksempler på persondata er: cpr-nr., navn, foto, CV, personlighedstest, pasnummer, genetisk information mv. Hertil kommer kombinationer mellem forskellige oplysninger, der ikke i sig selv er personhenførbare. Eksempler på oplysninger, der ikke i sig selv er persondata, er: køn, fødselsdato, telefonnummer, e-mailadresse, løn, nummerplade, interesser, IP-adresse, stilling.

Persondata og pligten til at udarbejde en fortegnelse

Persondata og udarbejdelse af en fortegnelse

Pr. den 25. maj 2018 bliver de nugældende regler (se tidligere nyhedsbrev) suppleret af forskellige dokumentationskrav, der skal vise, hvorledes indsatsen for beskyttelse af personoplysninger er tilrettelagt i virksomheden. Her behandles kravene til fortegnelse.

En fortegnelse indeholder information om, hvordan den dataansvarlige behandler de personoplysninger, som den dataansvarlige indsamler om den registrerede person. Den dataansvarlige er sædvanligvis arbejdsgiveren.

Følgende punkter skal medtages i en fortegnelse:

  • Den dataansvarliges identitet og kontaktoplysninger
    Oplys navnet på virksomheden eller virksomhedens direktør og angiv telefonnummer, e-mail eller anden kontaktmåde.

  • Formålet med behandlingen/indsamlingen
    Her oplyses baggrunden for behandlingen/indsamlingen af personoplysninger. En privat virksomheds behandling af personoplysninger i forbindelse med barsel, ferie og lønudbetaling kan eksempelsvis beskrives under betegnelsen ”personaleadministration”.

  • Modtagerne af personoplysninger i virksomheden
    Når personoplysningerne kommer ind i virksomheden, hvem modtager dem så? Hvis oplysningerne videresendes/deles, hvem deles de med? Angiv disse ved navns nævnelse.

  • Kategorier af registrerede
    Hvem er genstand for behandling/indsamling. Angiv typer af personer, fx ”medarbejdere”,”kunder” eller ”medlemmer”. 

  • Kategorier af personoplysninger
    Oplys om I behandler almindelige personoplysninger (artikel 6), særlige kategorier af personoplysninger (artikel 9) eller oplysninger om strafbare forhold (artikel 10). Almindelig personaleadministration er omfattet af artikel 6.

  • Kategorier af modtagere ved videregivelse
    Hvis fx personoplysninger sendes til lønbureau med henblik på korrekt lønudbetaling, skal det oplyses, at oplysninger sendes til lønbureau.

  • Slettefrister
    Hvis det er muligt, skal det oplyses, hvornår personoplysningerne slettes.

  • Tekniske og organisatoriske foranstaltninger
    Her oplyses om de foranstaltninger, som er truffet med henblik på at beskytte personoplysninger.

Der gælder ingen nærmere formkrav til fortegnelser udover, at de skal foreligge skriftligt og elektronisk.

Fortegnelser ud af huset

Den dataansvarlige har en forpligtelse til at give oplysninger ud af huset. Især to forskellige situationer medfører en forpligtelse til at give oplysninger.

Den ene vedrører det forhold, at en jobansøger søger en stilling i virksomheden. Ansøgeren skal senest samtidig med, at han/hun søger om ansættelse, have en række oplysninger.

Anfør hvem, der er arbejdsgiver og dennes telefonnummer. Beskriv formålet med håndtering af personoplysninger, hvem der får personoplysningerne, og hvornår oplysningerne slettes. Oplys, at ansøgeren har ret til at få at vide, hvad man opbevarer, og om muligheden for at trække ansøgningen tilbage. Oplys endelig om konsekvensen ved ikke at afgive personoplysninger og retten til at klage til Datatilsynet.

Den anden situation gælder anvendelse af hjemmesider til registrering af ordre eller reservationer mv. Her skal man afgive tilsvarende oplysninger, hvilket normalt vil kunne ske på hjemmesiden.

Ovenstående er information om visse af de gældende krav til databeskyttelse ved overgangen til de nye regler den 25. maj 2018. Vi vil i den kommende tid udsende flere artikler om emnet.