Vejledning. Håndtering af persondata ved personaleadministration mv. Indhold. 20. september 2017

Transkript

1 Vejledning Håndtering af persondata ved personaleadministration mv. 20. september 2017 Indhold 1. Om vejledningen Nye regler fra 25. maj Persondatalovens systematik Lovens område Generelle ufravigelige principper Muligheder for at behandle personoplysninger Typer af oplysninger Følsomme oplysninger Semi-følsomme oplysninger Almindelige oplysninger Særligt om samtykke Illustration vedr. personaleadministration Rekruttering Personaleadministration Almindelige oplysninger Følsomme oplysninger mv Helbredsoplysninger Fagforeningsmæssige tilhørsforhold Strafbare forhold Personnummer Helbredsoplysninger Internet og Telefonopkald Virksomhedens hjemmeside Databeskyttelsesrådgiver Nye regler om databeskyttelsesrådgivere Hvem skal have en databeskyttelsesrådgiver? Private virksomheder Private aktører på det offentlige område CMT Side 1/25 Sagsnr.: SAG

2 11.3. Opgaver, stilling og afskedigelsesbeskyttelse Advarselsregistre Oplysningspligt og indsigtsret Virksomhedens oplysningspligt Medarbejderens indsigtsret Fortegnelse over behandling af personaleadministration samt anmeldelse til Datatilsynet Opbevaring af oplysninger før, under og efter ansættelsesforholdet Datasikkerhed ved personaleadministration Samarbejdsudvalg Sanktioner Øvrige elementer i det nye regelsæt om databeskyttelse Vil du vide mere? Bilag 1. Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration (Persondataloven) Om vejledningen Vejledningen gennemgår en række af de mange situationer, hvor en virksomhed behandler oplysninger om medarbejderne. Reglerne for behandling af personoplysninger og databeskyttelse er under forandring. De eksisterende regler i persondataloven mv. erstattes af et nyt regelsæt fra 25. maj Derfor indeholder vejledningen både information om det eksisterende regelsæt og om de nye regler, i det omfang disse regler kendes. Se nærmere i afsnit 2. Reglernes anvendelsesområde og systematik gennemgås kort i vejledningens afsnit 2 og 3. I de følgende afsnit er en gennemgang af en række konkrete situationer, hvor en virksomhed behandler personoplysninger om medarbejderne mv. Med vejledningen sættes fokus på en række overvejelser, som virksomheden kan gøre sig allerede nu inden det nye regelsæt skal anvendes, f.eks.: Hvilke oplysninger håndterer virksomheden om jobansøgere, nuværende og tidligere medarbejdere og hvordan håndteres de? Er der evt. forhold her, der skal rettes op for at virksomheden lever op til databeskyttelsesreglerne. Har virksomheden en oversigt over behandlinger af personoplysninger i forbindelse med personaleadministrationen mv.? Overholder virksomhedens sikkerhedskravene i databeskyttelsesreglerne? Skal virksomheden have en databeskyttelsesrådgiver pr. 25. maj 2018? Datatilsynet har udgivet en pjece med generel information om virksomhedens interne arbejde med databeskyttelsesreglerne: Forberedelser forud for EU s databeskyttelsesforordning - 12 Side 2/25

3 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til. Pjecen kan hentes på tilsynets hjemmeside om det nye databeskyttelsesregler fra 25. maj Dansk Erhvervs medlemmer kan også få konkret rådgivning om behandling af personoplysninger, se nærmere i afsnit Nye regler fra 25. maj 2018 I dag reguleres en virksomheds registrering og brug af personoplysninger om medarbejderne som udgangspunkt af den danske persondatalov. Der er også særlig lovgivning på en række områder, f.eks. lovgivningen om helbredoplysninger i ansættelsesforhold. Der er i EU vedtaget et nyt regelsæt om persondatabeskyttelse, der skal anvendes fra 25. maj 2018 ( databeskyttelsesforordningen ). 1 Dele af forordningen enten kan eller skal gennemføres ved supplerende lovgivning i Danmark. F.eks. er der mulighed for at indføre særlige regler for oplysninger om medarbejdere. Fremover vil reglerne om databeskyttelse både fremgå af databeskyttelsesforordningen, en ny dansk databeskyttelseslov og i dansk særlovgivning. Den supplerende danske lovgivning forventes vedtaget i efteråret Justitsministeriet vil løbende udsende en række vejledninger om regelsættets enkelte dele frem til foråret Hvordan det samlede regelsæt i sidste ende kommer til at se ud, har betydning for en virksomheds muligheder for at behandle oplysninger om medarbejderne i forskellige situationer fra 25. maj Denne vejledning er skrevet ud fra den gældende persondatalov og praksis fra Datatilsynet mv. Samtidig er der under de enkelte emner tilføjet afsnit om reglerne fra 25. maj 2018 ud fra de pt. kendte regler og fortolkningsbidrag 2. Vi vil derfor løbende opdatere denne vejledningen efterhånden som lovgivningen bliver vedtaget, og vejledningerne fra ministeriet bliver offentliggjort. 3. Persondatalovens systematik 3.1. Lovens område Formålet med loven er at beskytte oplysninger om fysiske personer og sikre databeskyttelse. Lovens almene karakter gør, at flere bestemmelser er meget generelt formuleret og kræver fortolkning, når reglerne skal anvendes på i forhold til HR-administration. 1 EUROPA-PARLAMENTET OG RÅDETS FORORDNING (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direkte 95/46/EF (generel forordning om databeskyttelse) 2 Den nye databeskyttelsesforordning, betænkning om denne forordning fra Justitsministeriet og udkast til den danske supplerende databeskyttelseslov fra Justitsministeriet, som har været i høring over sommeren Side 3/25

4 Loven har et bredt anvendelsesområde og omfatter forskellige typer behandling af personoplysninger 3 : 1. Elektronisk behandling. 2. Ikke-elektronisk (manuel) behandling af personoplysninger, når oplysningerne er eller vil blive indeholdt i et register. 3. Anden ikke-elektronisk systematisk behandling, som udføres for private. Her omfatter loven dog alene oplysninger om: a. Personernes private eller økonomiske forhold. b. Personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. En behandling skal forstås meget bredt og omfatter bl.a. indsamling, registrering, systematisering, opbevaring, søgning, videregivelse og sletning. Loven gælder således bredt for aktiviteter, som relaterer sig til personoplysninger. Loven gælder f.eks., når en arbejdsgiver: Noterer personoplysninger om en medarbejder i et tekstbehandlingsprogram via en PC. Sender en med personoplysninger om en medarbejder. Har medarbejderfotos på virksomhedens hjemmeside. Gemmer sygefraværssamtalereferater, MUS-skemaer, advarsler mv. i et HR-it-system. Opbevarer oplysninger om medarbejderen i elektroniske personalesager, ringbind eller på anden systematisk vis. Justitsministeriet lægger i udkastet til den nye danske databeskyttelseslov op til, at anden ikkeelektronisk systematisk behandling, som udføres for private (nr. 3 ovenfor) ikke længere skal være omfattet af regelsættet om persondata. Baggrunden er ifølge ministeriet, at denne bestemmelse i takt med den teknologiske udvikling har et meget begrænset anvendelsesområde Generelle ufravigelige principper Loven indeholder en række grundlæggende principper, som altid skal overholdes ved behandlingen af personoplysninger. Det gælder således også, når en virksomhed behandler oplysninger om medarbejderne. Personoplysninger skal behandles i overensstemmelse med god databehandlingsskik. Indholdet af dette generelle begreb fastsættes i praksis. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål. En senere behandling af oplysningerne må ikke være uforenelige med de(t) oprindelige formål. I praksis vil det 3 Notatet gennemgå ikke de situationer, hvor de gældende og/eller kommende regler omfatter virksomheder etableret uden for Danmark, internationale dataoverførsler mv. Kontakt Dansk Erhverv, hvis I har brug for rådgivning herom. Side 4/25

5 være afgørende, om behandlingen sigter mod at løse opgaver, der ligger indenfor virksomhedens kompetence og varetager en anerkendelsesværdig interesse. Oplysninger, der behandles skal være relevante og tilstrækkelige og må ikke omfatte mere end hvad opfyldelse af formålet med behandlingen kræver. Heri ligger en proportionalitetsvurdering. Endelig skal behandling af personoplysninger ske således, at der sker den fornødne ajourføring af oplysningerne, ligesom der skal føres fornøden kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Principperne om opbevaring omtales særskilt i afsnit 15. Persondataforordningen indeholder også en række generelle principper, som altid skal overholdes ved behandlingen af personoplysninger. Justitsministeriet vurderer, at der hovedsageligt er tale om en videreførelse af de gældende principper i persondataloven, selvom formuleringerne ikke på alle punkter er ens. Samtidig skal en virksomhed kunne bevise, at principperne overholdes, se også afsnit Muligheder for at behandle personoplysninger Typer af oplysninger En personoplysning er enhver form for information om en identificeret eller identificerbar person. Persondataloven indeholder tre typer af oplysninger: 1. Følsomme oplysninger, se afsnit Semi-følsomme (oplysninger om rent private forhold), se afsnit Almindelige oplysninger, se afsnit Der er også særlige regler om personnummer, se afsnit 6. Loven indeholder efter samme opdeling forskellige betingelser for, hvornår de enkelte kategorier af oplysninger kan behandles Følsomme oplysninger Følsomme oplysninger er oplysninger om: Racemæssig eller etnisk baggrund, Politisk, religiøs eller filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Oplysning om helbredsforhold og Oplysninger om seksuelle forhold. Side 5/25

6 Adgangen til at behandle følsomme personoplysninger er relativt snæver. En virksomhed kan f.eks. behandle følsomme oplysninger, hvis: Medarbejderen har givet sit udtrykkelige samtykke til det. Behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. I visse tilfælde hvis oplysningerne er offentliggjort af medarbejderen selv. Helbredsmæssige forhold dækker over oplysninger om en persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinbrug, misbrug af narkotika, alkohol og lignende. Oplysninger om en medarbejders fagforeningsmæssige tilhørsforhold kan dog behandles, såfremt det er nødvendigt for at overholde arbejdsretlige forpligtelser eller rettigheder, se afsnit Semi-følsomme oplysninger Oplysninger om rent private forhold er oplysninger om: Strafbare forhold, Væsentlige sociale problemer og Andre rent private forhold, som ikke er nævnt under kategorien af følsomme oplysninger. Semi-følsomme oplysninger må som udgangspunkt kun behandles af virksomheden, hvis medarbejderen har givet sit udtrykkelige samtykke. Samtykkekravet kan dog fraviges, hvor behandling af personoplysningen er nødvendig for at virksomheden kan varetage en berettiget interesse, der klart overstiger hensynet til medarbejderen. Adgangen til at behandle oplysninger om rent private forhold uden samtykke er særdeles snæver. Eksempelvis vil behandling uden samtykke kunne ske, såfremt en virksomhed registrerer oplysninger om butikstyveri (strafbare forhold) med henblik på at bortvise medarbejderen samt hvis virksomheden vil indgive politianmeldelse og eventuelt senere afgive vidneforklaring i retten. En personlighedstest vil som regel skulle betragtes som en semi-følsom oplysning Almindelige oplysninger Adgangen til at behandle almindelige personoplysninger er væsentligt videre, end hvad der gælder for følsomme og semi-følsomme oplysninger. Almindelige oplysninger kan blandt andet behandles: Når medarbejderen har givet sit udtrykkelige samtykke. Når behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, f.eks. en ansættelseskontrakt. Side 6/25

7 Hvor det kan godtgøres, at behandlingen af oplysningerne er nødvendig, for at den dataansvarlige, eller den tredjemand, som oplysningerne er videregivet til, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse. Her skal der ske en konkret afvejning. I et ansættelsesforhold vil virksomheden f.eks. kunne behandle almindelige oplysninger som navn, nærmeste pårørende, oplysning om uddannelse, tidligere beskæftigelse, løn, skat, sygefravær, pensionsforhold, kontooplysninger til lønudbetaling mv. Se afsnit 5 Personaleadministration Særligt om samtykke Som nævnt flere steder kan de forskellige typer af personoplysninger behandles, hvis virksomheden har fået samtykke til det fra medarbejderen. Samtykke er et væsentligt element i databeskyttelsesretten. Alle former for oplysninger og alle former for behandling kan som udgangspunkt foretages, hvis der foreligger et gyldigt samtykke fra den registrerede. Der gælder som sådan ikke noget formkrav til et samtykke (f.eks. skriftlighed), men udgangspunktet er, at det skal være frivilligt, informeret og udtrykkeligt. Det er virksomhedens ansvar at kunne dokumentere, at der er givet samtykke. Som altid skal lovens generelle principper være opfyldt, jf. afsnit 3.2. Virksomheden kan således ikke sætte sig ud over kravet om saglighed mv. ved at få et samtykke til en behandling af en oplysning fra en medarbejder. Forordningen indeholder også muligheder for at anvende samtykke som grundlag for behandling af personoplysninger. Indgår et samtykke i en skriftlig erklæring med andre forhold, skal anmodningen om samtykke klart kunne skelnes fra disse andre forhold. En anmodning om samtykke skal ske i en lettilgængelig og letforståelig form. Sproget skal være klart og enkelt. Overholdes reglerne ikke, vil en sådan del af erklæringen ikke være bindende. Virksomheden skal oplyse om, at samtykket kan trækkes tilbage. Tilbagetrækning skal kunne ske lige så let, som samtykket er givet. Når det skal vurderes, om samtykke er givet frit, skal der bl.a. tages størst muligt hensyn til, om opfyldelse af en kontrakt er gjort betinget af et samtykke til behandling af personoplysninger, som ikke er nødvendige for at opfylde kontrakten. Bl.a. dette har givet anledning til overvejelser om anvendelse af samtykke i ansættelsesforhold. Side 7/25

8 Justitsministeriet vurderer samlet set, at behandling af oplysninger om medarbejdere i forbindelse med ansættelsesforhold, som efter nuværende praksis kræver samtykke, også efter 25. maj 2018 kan behandles på dette grundlag. I forlængelse heraf er det skrevet ind i udkastet til den danske databeskyttelseslov, at behandlinger af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registrerede medarbejders samtykke i overensstemmelse med kravene i databeskyttelsesforordningen Illustration vedr. personaleadministration Persondatalovens opdeling af de forskellige kategorier af oplysninger kan på personaleområdet f.eks. illustreres på denne måde: Semi-følsomme oplysninger Følsomme oplysninger Fagforening, race/etnisk baggrund, helbredsmæssige og seksuelle forhold, politisk, religiøs eller filosofisk overbevisning. Strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. bortvisning fra jobbet, personlighedstest mv. Personnummer Økonomi, skat, gæld, antal sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger som navn, adresse, fødselsdato Side 8/25

9 3.3.6 Der er i det nye regelsæt lagt op til, at den særlige kategori af semi-følsomme oplysninger udgår. Strafbare forhold reguleres i en særskilt bestemmelse i overensstemmelse med de gældende regler. På trods af denne ændring er det Justitsministeriets vurdering, at beskyttelsesniveauet ikke reelt sænkes. Baggrunden herfor er de skærpede krav til proportionalitetsvurderingen, som behandling af sådanne oplysninger indebærer efter regelsættes ufravigelige grundlæggende principper, se afsnit 3.2. Samtidig vil kategorien følsomme oplysninger fremover indeholde behandling af biometrisk data, der har til formål entydigt at identificere en fysisk person, f.eks. ansigtsgenkendelse eller fingeraftryk. 4. Rekruttering Når en virksomhed skal rekruttere medarbejdere, kan der ofte opstå en række spørgsmål om indsamling og brug af oplysninger om de relevante kandidater til en stilling. Dansk Erhverv har udarbejdet en særskilt publikation om rekruttering med information om stillingsannoncer, indhentelse af referencer, informationssøgning på nettet mv. og behandling af personoplysninger om kandidater i denne forbindelse. Læs mere i Dansk Erhvervs publikation Gode råd om rekruttering på 5. Personaleadministration 5.1. Almindelige oplysninger Virksomheden må behandle oplysninger om en medarbejder, hvis det f.eks. er nødvendigt for at opfylde den ansættelseskontrakt, som er indgået mellem parterne. På denne baggrund kan virksomheden i et personaleregister/personalesystem mv. opbevare en række almindelige oplysninger uden samtykke fra medarbejderen. Det kan være oplysninger fra både før og under ansættelsesforholdet. En virksomhed vil således normalt kunne behandle en række almindelige oplysninger om medarbejderen, hvis det er nødvendigt. F.eks.: Stamoplysninger, f.eks. navn, adresse, personnummer, oplysninger om nærmeste familie (navn, adresse, o.l.). Skattemæssige oplysninger, bankoplysninger, oplysninger om pensionsforhold mv. Uddannelse, tidligere beskæftigelse og andre sædvanlige oplysninger i et CV, anbefalinger. Nuværende stilling, arbejdsopgaver, arbejdstider, tjenstlige forhold. Oplysninger om løn og skat. Sygefravær, sygdomsperioder (oplysninger om sygefravær betragtes normalt ikke i sig selv som helbredsoplysning) og andet fravær fra arbejdet. Side 9/25

10 Tjenstlige forseelser og advarsler, personalebedømmelser o.l. Sådanne oplysninger kan altså normalt registreres uden samtykke fra medarbejderen, hvis virksomheden skal bruge oplysningerne ud fra en almindelig driftsmæssig betragtning. En virksomhed må efter gældende praksis normalt registrere de oplysninger om en medarbejder, som medarbejderen selv har givet i sin jobansøgning. Justitsministeriets lægger op til, at en virksomhed på samme måde skal kunne behandle almindelige oplysninger om medarbejderne. Dansk Erhverv forventer derfor, at gældende regler og praksis videreføres Følsomme oplysninger mv. I praksis må en virksomhed som hovedregel kun registrere følsomme oplysninger om en medarbejder, hvis medarbejderen har givet udtrykkeligt samtykke til det. Se eksempler på følsomme oplysninger i afsnit Virksomheden kan dog behandle følsomme oplysninger om en medarbejder uden samtykke, når loven giver virksomheden mulighed for det efter et af lovens andre behandlingsgrundlag. En række eksempler på dette er nævnt i det følgende. Helbredsoplysninger En virksomhed kan f.eks. registrere helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale om sygedagpengerefusion fra medarbejderens første sygedag efter sygedagpengelovens 56. Se også om helbredsoplysningsloven i afsnit 7. Der er ikke lagt op til ændringer i denne forbindelse. Fagforeningsmæssige tilhørsforhold Der kan ske behandling af oplysninger om fagforeningsmæssige tilhørsforhold, når det er nødvendigt, for at virksomheden kan opfylde sine arbejdsretlige forpligtelser. F.eks. må det efter Dansk Erhvervs vurdering være lovligt at behandle oplysninger om, hvorvidt en ledende medarbejder er medlem af Lederne. Denne oplysning er nødvendig for, at virksomheden ved, om den konkrete leders ansættelsesforhold er omfattet af Lederaftalen mellem Dansk Arbejdsgiverforening og Lederne, hvilket også skal fremgå af ansættelseskontrakten. Derimod vil det ikke være i overensstemmelse med persondataloven, hvis virksomheden generelt behandler oplysninger om medarbejderens fagforeningsmæssige tilhørsforhold. Side 10/25

11 Justitsministeriet lægger i udkastet til lovforslaget op til, at oplysninger om fagforeningsmæssige forhold fremover også kan behandles på dette grundlag. Strafbare forhold Oplysninger om straffe- og børneattester anses for oplysninger om strafbare forhold efter persondatalovens regler om semi-følsomme oplysninger, se afsnit Der kan hentes straffeattester efter reglerne om Det Centrale Kriminalregister. Persondatalovens generelle principper skal som altid overholdes. Efter gældende praksis kan en ansøger således give samtykke til, at virksomheden indhenter en straffeattest i ansættelsessituationen. Læs mere om indhentelse af straffeattest ved samtykke via Nem-ID på Rigspolitiets hjemmeside Der gælder særlig lovgivning om børneattester, der ikke gennemgås i dette notat. Der kan også være tilfælde, hvor en virksomhed kan registrere oplysninger om strafbare forhold uden samtykke. F.eks. kan en virksomhed efter gældende praksis registrere oplysninger om strafbare forhold uden samtykke med henblik på at bortvise medarbejderen samt hvis virksomheden vil indgive politianmeldelse og afgive vidneforklaring ved domstolene. Justitsministeriet vurderer ikke, at persondataforordningen medfører ændringer for en privat arbejdsgivers mulighed for at anvende straffeattester for medarbejderne. I udkastet til forslag om den nye danske databeskyttelseslov lægger således op til, at hovedparten af den nuværende persondatalovs regler om strafbare forhold fortsat skal gælde, se afsnit En virksomhed må inden for regelsættes generelle principper fortsat behandle oplysninger om strafbare forhold på baggrund af et samtykke, f.eks. fra en jobansøger. En virksomhed vil også kunne behandle oplysninger om strafbare forhold uden samtykke, hvis virksomhedens interesse klart overstiger hensynet til den registrerede person, f.eks. ved butikstyveri som nævnt ovenfor. 6. Personnummer Persondataloven har særlige regler om, at behandling af personnummer kan ske, hvis det følger af lovgivningen eller den registrerede har givet sit samtykke. En virksomhed kan derfor registrere medarbejdernes personnumre, da det blandt andet er nødvendigt for at foretage indberetninger til SKAT. En virksomhed må som udgangspunkt ikke videregive personnummeret til andre, med mindre særlige betingelser i loven er opfyldt. Databeskyttelsesforordningen giver mulighed for, at personnummeret fortsat reguleres af særlige danske regler. Justitsministeriet lægger i udkastet til lovforslaget op til, at de gældende regler om Side 11/25

12 personnummeret skal fortsætte. Samtidig skal private også have mulighed for at behandle personnummeret, når betingelserne for behandling af følsomme oplysninger er opfyldt. 7. Helbredsoplysninger En virksomheds brug af helbredsoplysninger om jobansøgere og eksisterende medarbejdere er også reguleret særskilt i helbredsoplysningsloven. Lovens formål er at sikre, at helbredsoplysninger ikke uberettiget anvendes til at begrænse en persons muligheder for at opnå eller bevare en ansættelse. Beskæftigelsesministeriet har umiddelbart vurderet, at databeskyttelsesforordningen ikke i sig selv kræver indholdsmæssige ændringer i helbredsoplysningsloven. Særlovgivning som helbredsoplysningsloven er dog ikke omfattet af Justitsministeriets udkast til den danske databeskyttelseslov, så eventuelle forslag om ændringer fremsættes særskilt. 8. Internet og Dansk Erhverv har udarbejdet pjecer om internet og , bl.a. virksomhedens kontrol af medarbejdernes brug samt sociale medier. Læs mere på i Gode råd om internet og Gode råd om sociale medier 9. Telefonopkald Persondatalovens 13 indeholder en særlig regel om, at en virksomhed ikke må foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra virksomhedens telefoner. Reglen omfatter både fastnet og mobiltelefoner. Baggrunden for reglen er hensynet til den ansattes privatliv i forbindelse med brug af virksomhedens telefoner. I praksis udelades de sidste 2 cifre af det opkaldte nummer. Har virksomheden et konkret behov for at foretage registrering af det fulde telefonnummer til udgående telefonopkald, kan Datatilsynet give tilladelse til det. Justitsministeriet har lagt op til, at den særlige regulering af virksomhedens registrering af telefonnumre fremover skal udgå. Ministeriet vurderer, at reglerne i databeskyttelsesloven og -forordningen vil yde tilstrækkelig integritetsbeskyttelse. 10. Virksomhedens hjemmeside Efter Datatilsynets praksis kan en virksomhed som udgangspunkt offentliggøre arbejdsrelaterede oplysninger om medarbejderne på virksomhedens hjemmeside uden medarbejdernes samtykke, f.eks. medarbejderens: Navn Arbejdsområder og ansættelsesår Side 12/25

13 Direkte arbejdstelefonnummer eller adresse på arbejdet. Derimod vurderer Datatilsynet, at det kræver samtykke fra medarbejderen, hvis en virksomhed vil offentliggøre oplysninger af mere privat karakter, f.eks.: Et billede af medarbejderen Medarbejderens private adresse, adresse eller telefonnummer. Uanset de generelle retningslinjer kan der dog være særlige hensyn til medarbejderen, der gør, at oplysningerne alligevel ikke kan ligge på virksomhedens hjemmeside. F.eks. hvis medarbejderen på grund af trusler om vold eller lignende har beskyttet adresse og derfor ikke ønsker sin arbejdsplads offentlig kendt. 11. Databeskyttelsesrådgiver Nye regler om databeskyttelsesrådgivere I dag indeholder den danske persondatalovgivning ikke regler om særlige databeskyttelsesrådgivere hos virksomheder mv. Sådanne regler indføres med det nye regelsæt fra 25. maj Det danske begreb databeskyttelsesrådgiver svarer til det engelske data protection officer eller forkortet DPO, der også i dansk sammenhæng ses anvendt flere steder. Justitsministeriet har oplyst, at der udsendes en vejledning om databeskyttelsesrådgiveren i efteråret Reglerne kan på flere punkter give anledning til fortolkningstvivl. Hovedpunkter i regelsættet gennemgås i det følgende, men kontakt gerne Dansk Erhverv, hvis du har brug for nærmere rådgivning om reglerne om databeskyttelsesrådgivere Hvem skal have en databeskyttelsesrådgiver? Private virksomheder En række virksomheder skal på baggrund af det nye regelsæt udpege en databeskyttelsesrådgiver. Det er dog langt fra alle virksomheder. Kravet om en databeskyttelsesrådgiver omfatter: Virksomheder, hvis kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang. Virksomheder, hvis kerneaktiviteter består af behandling af følsomme oplysninger eller oplysninger om straffedomme og lovovertrædelser i stort omfang. Side 13/25

14 Justitsministeriet vurderer, at en virksomhed, der kun behandler personoplysninger som en biaktivitet i forbindelse med f.eks. personaleadministration ikke er omfattet af begrebet kerneaktiviteter. Ministeriet vurderer også, at det forhold, at en virksomhed behandler følsomme oplysninger om fagforeningsmæssige tilhørsforhold eller oplysninger om helbredsmæssige forhold i forbindelse med en virksomheds personaleadministration, heller ikke i sig selv medfører et krav om, at virksomheden skal udpege en databeskyttelsesrådgiver. Omvendt er det ministeriets vurdering, at en virksomhed, der tilbyder et produkt, der består i behandling af personoplysninger, må være omfattet af begrebet kerneaktiviteter. F.eks. en virksomhed, der tilbyder hosting eller lagring af personoplysninger. Tilsvarende hvis behandlingen af personoplysninger er uløseligt forbundet med virksomhedens produkt. Som eksempler nævner ministeriet privathospitaler og forsikringsselskaber. For koncerner er der under visse betingelser mulighed for at have en fælles databeskyttelsesrådgiver Private aktører på det offentlige område Kravet om en databeskyttelsesrådgiver gælder også ved alle behandlinger foretaget af en offentlig myndighed eller et offentligt organ. Disse begreber er ikke defineret direkte i forordningen. Justitsministeriet antager, at begreberne må udfyldes af Danmark i overensstemmelse med vores traditionelle afgrænsning af det offentlige. Ministeriet henviser i den forbindelse til afgrænsningen i forvaltningslovens 1, stk Her beskrives, hvordan forvaltningsloven ud over den offentlige forvaltning også gælder for: - Al virksomhed, der udøves af selvejende institutioner, foreninger, fonde m.v., der er oprettet ved lov eller i henhold til lov. - Al virksomhed, der udøves af selvejende institutioner, foreninger, fonde m.v., der er oprettet på privatretligt grundlag, og som udøver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regulering, intensivt offentligt tilsyn og intensiv offentlig kontrol. For så vidt angår selvejende institutioner mv. oprettet på privatretligt grundlag (forvaltningslovens 1, stk. 2, nr. 2), vil der således efter ministeriets vurdering være nogle, som bliver omfattet af kravet om en databeskyttelsesrådgiver, mens andre ikke gør. Ministeriet tilkendegiver i øvrigt, at i det omfang særlovgivning har reguleret, at forvaltningsloven finder anvendelse for private organisationer, vil der ikke være tale om en offentlig myndighed i regelsættets forstand. Side 14/25

15 11.3. Opgaver, stilling og afskedigelsesbeskyttelse Databeskyttelsesrådgiveren kan enten være en medarbejder i virksomheden eller en ekstern tjenesteyder. Databeskyttelsesforordningen oplister en række opgaver, som databeskyttelsesrådgiveren som minimum har. Databeskyttelsesrådgiveren skal bl.a. underrette og rådgive virksomheden og de ansatte, der behandler personoplysninger, om deres forpligtelser efter reglerne om databeskyttelse. Databeskyttelsesrådgiveren skal også overvåge overholdelse af reglerne om databeskyttelse og virksomhedens politikker om beskyttelse af personoplysninger, herunder ansvarsfordeling, oplysningskampagner og uddannelse af de medarbejdere, der medvirker ved behandlingsaktiviteter, og tilhørende revisioner. Databeskyttelsesrådgiveren skal også samarbejde med og være kontaktpunkt for Datatilsynet. Virksomheden skal inddrage databeskyttelsesrådgiveren i alle spørgsmål vedr. persondatabeskyttelse og skal støtte databeskyttelsesrådgiveren i udførslen af opgaverne, herunder tilvejebringe nødvendige ressourcer og give adgang til oplysninger og behandlingsaktiviteter. Virksomheden skal sikre, at databeskyttelsesrådgiverne ikke modtager instrukser vedr. udførslen af deres opgaver og rapporterer direkte til virksomhedens øverste ledelsesniveau. Er databeskyttelsesrådgiveren en ansat medarbejder med andre opgaver, kan vedkommende dog som udgangspunkt fortsat være underlagt instruktion og ledelse vedr. disse opgaver. Virksomheden skal generelt sikre sig, at der ikke opstår interessekonflikt i forbindelse med andre opgaver, som databeskyttelsesrådgiveren udfører som medarbejder. Databeskyttelsesrådgiveren må ikke afskediges eller straffes af virksomheden for at udføre sine opgaver som databeskyttelsesrådgiver. 12. Advarselsregistre En virksomhed kan indenfor persondatalovens rammer oprette et advarselsregister med henblik på at advare andre mod f.eks. ansættelsesforhold til en registreret. Som eksempel har Datatilsynet givet tilladelse til et koncernregister over tidligere bortviste medarbejdere. Formålet med advarselsregisteret var at give mulighed for at overveje eventuel genansættelse af medarbejdere, der tidligere er blevet bortvist. Ønsker en virksomhed at oprette et advarselsregister, kræver det tilladelse fra Datatilsynet. Reglerne efter 25. maj 2018 Justitsministeriet lægger i udkastet til lovforslaget op til, at reglerne om advarselsregistre videreføres, således at der også fremadrettet er krav om tilladelse fra Datatilsynet. Side 15/25

16 13. Oplysningspligt og indsigtsret Virksomhedens oplysningspligt Efter persondataloven skal virksomheden som udgangspunkt oplyse en medarbejder eller f.eks. en jobansøger - om en række forhold, hvis virksomheden indsamler oplysninger om vedkommende. Det gælder: Virksomhedens identitet. Formålene med behandlingen af oplysningerne. Yderligere oplysninger, som er nødvendige for, at vedkommende kan varetage sine interesser. Her tages hensyn til, hvordan oplysningerne er indsamlet. Det kan f.eks. være: o Om det er frivilligt at svare på evt. stillede spørgsmål mv. o Den registrerede indsigtsret i oplysningerne m.m. o Kategorier af modtagere af oplysningerne. o Hvilke oplysninger, der er tale om mv. (ved indsamling hos andre end vedkommende). Hvis vedkommende kender oplysningerne allerede, skal virksomheden ikke oplyse disse forhold. Det må efter Dansk Erhvervs vurdering indebære, at der ved behandling af oplysninger om medarbejderen afgivet af vedkommende i forbindelse med ansættelsen, oplysninger om kursusdeltagelse/uddannelse under ansættelsen o.l., ikke skal gives meddelelse til medarbejderen om, at oplysningerne behandles. Oplysningspligten er dog ikke uden undtagelser. F.eks. har virksomheden ikke en oplysningspligt, hvis medarbejderens interesse i at få kendskab til oplysningerne bør vige for afgørende hensyn til private interesser. F.eks. virksomhedens forretningshemmeligheder. Oplysningspligten gælder alene for behandling, der sker elektronisk eller i et register, jf. afsnit 3.1. Der vil fortsat bestå en oplysningspligt efter 25. maj Samtidig udvider databeskyttelsesforordningen området for, hvilke oplysninger en virksomhed skal give f.eks. en medarbejder, når der indsamles oplysninger om vedkommende. Hvis virksomheden indsamler oplysninger om medarbejderen, skal virksomheden oplyse følgende ved indsamlingen: - Identitet og kontaktoplysninger. - Hvis virksomheden har en databeskyttelsesrådgiver, så kontaktoplysninger for denne. Se afsnit Retsgrundlaget for behandlingen. Hvis virksomheden behandler oplysninger efter en berettiget interesse, skal virksomheden oplyse denne interesse. Se afsnit Eventuelle modtagere eller kategorier af modtagere af oplysningerne. - Kategorier af oplysninger (ved indsamling hos andre end medarbejderen). Side 16/25

17 Samtidig skal virksomheden give en række andre oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling. Justitsministeriet vurderer her, at det må afhænge af en konkret vurdering, om oplysningerne skal gives: - Tidsrummet, oplysningerne opbevares i eller, hvis ikke muligt, de kriterier, der anvendes til at fastlægge tidsrummet. Her vurderer Justitsministeriet, at en henvisning til relevante forældelsesregler kan være tilstrækkeligt. - Ret til indsigt, berigtigelse, sletning, indsigelse, begrænsning mv. - Ret til at trække et samtykke tilbage. - Klagemulighed til Datatilsynet. - Om meddelelse af oplysninger er krav efter lovgivning, en kontrakt mv. - Hvor oplysningerne stammer fra (når indsamlingen sker hos andre end personen selv). Der er særlige regler om overførsler til tredjelande eller internationale organisationer samt automatiserede afgørelser. Kender medarbejderen oplysningerne, skal virksomheden fortsat ikke give medarbejderen oplysninger om disse. Men da oplysningspligten med databeskyttelsesforordningen udvides til flere elementer, vil oplysningspligten i praksis udvides. I udkastet til databeskyttelsesloven er der lagt op til, at oplysningspligten fortsat ikke gælder, hvis bl.a. den registreredes interesse i oplysningerne bør vige for afgørende hensyn til private interesser, f.eks. forretningshemmeligheder. Justitsministeriet planlægger at udgive en særskilt vejledning om den registreredes rettigheder, herunder oplysningspligten, i januar Medarbejderens indsigtsret Medarbejderen har som udgangspunkt ret til indsigt i de oplysninger, som virksomheden behandler om vedkommende. Medarbejderen kan derimod ikke kræve indsigt i oplysninger om andre personer, f.eks. kolleger. Indsigtsretten omfatter: - Hvilke oplysninger, der behandles. - Behandlingens formål. - Kategorier af modtagere af oplysningerne. - Tilgængelig information om, hvor oplysningerne stammer fra. Virksomheden skal besvare en indsigtsbegæring snarest muligt. Er der ikke svaret inden 4 uger, skal medarbejderen have oplyst hvorfor, og hvornår svaret vil foreligge. Som udgangspunkt kan indsigtsret først kræves igen 6 måneder fra den seneste meddelelse. Side 17/25

18 Virksomheden kan afslå indsigtsret helt eller delvist, hvis det er afgørende af hensyn til private interesser, såsom virksomhedens forretningsgrundlag, forretningspraksis eller knowhow. I relation til en medarbejder vil indsigtsret for eksempel formentlig kunne afslås, hvis virksomheden har foretaget en vurdering af medarbejderen, eventuelt med henblik på at give en advarsel, som medarbejderen ikke skal gøres bekendt med endnu. Indsigtsretten gælder alene for behandling, der sker elektronisk eller i et register, jf. afsnit 3.1. Medarbejderen har efter forordningen som udgangspunkt adgang til de oplysninger, som virksomheden behandler om vedkommende. Medarbejderen har fortsat ret til information om en række forhold, hvor forordningen på visse punkter udvider virksomhedens informationsforpligtelser over for medarbejderen. Samlet set har medarbejderen ret til adgang til oplysningerne og følgende information: - Formålet med behandlingen af oplysningerne. - Kategorier af oplysninger. - Eventuelle modtagere eller kategorier af modtagere af oplysningerne. - Tidsrummet, oplysningerne opbevares i eller, hvis det ikke er muligt, de kriterier. der anvendes til at fastlægge tidsrummet. - Ret til berigtigelse, sletning, indsigelse, begrænsning mv. - Klagemulighed til Datatilsynet. - Hvor oplysningerne stammer fra (når indsamlingen sker hos andre end personen selv). Der gælder særlige regler om automatiserede afgørelser samt overførsler til tredjelande eller internationale organisationer. Det står direkte i forordningen, at virksomheden (den dataansvarlige) som udgangspunkt udleverer en kopi, når der anmodes om indsigt. I den forbindelse har virksomheden mulighed for at kræve et gebyr for de administrative omkostninger ved gentagne anmodninger om indsigt. Efter forordningen vil det fortsat være muligt for Danmark at gennemføre undtagelser til indsigtsretten af hensyn til andre interesser. I tråd med dette lægger Justitsministeriet i udkastet til databeskyttelsesloven op til undtagelser fra indsigtsretten. Således har den registrerede (medarbejderen) ingen indsigtsret, hvis den registreredes interesse i oplysningerne bør vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv eller en række andre nævnte interesser, f.eks. forretningshemmeligheder. Justitsministeriet planlægger at udgive en særskilt vejledning om den registreredes rettigheder, herunder indsigtsretten, i januar Side 18/25

19 14. Fortegnelse over behandling af personaleadministration samt anmeldelse til Datatilsynet Følsomme og semi-følsomme oplysninger kan i en række tilfælde blive behandlet i forbindelse med en virksomheds personaleadministration. Det kan f.eks. være oplysninger om strafbare forhold, helbredsforhold, oplysninger i forbindelse med personlighedstests eller lignende. En virksomhed skal efter gældende regler som udgangspunkt anmelde sådanne behandlinger til Datatilsynet. Anmeldelsen sker elektronisk via Datatilsynets hjemmeside, hvor der også findes en vejledning og en kladde til anmeldelse, Efter forordningen skal en virksomhed føre en intern fortegnelse over behandlingsaktiviteter vedrørende personoplysninger under virksomhedens ansvar. En sådan fortegnelse erstatter reglerne i dag om generel anmeldelse til Datatilsynet, jf. ovenfor. Justitsministeriet vurderer i sin betænkning, at kravet om en fortegnelse omfatter al behandling af personoplysninger, dvs. både almindelige oplysninger, følsomme oplysninger, og oplysninger om straffedomme mv. Kravet om en fortegnelse omfatter virksomheder mv.: - Med mindst 250 ansatte. - Hvor behandlingen, som virksomheden foretager, sandsynligvis vil medføre risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter følsomme oplysninger eller oplysninger om straffedomme og lovovertrædelser. Fortegnelsen skal som minimum indeholde: Kontaktoplysninger for den dataansvarlige og hvis relevant, fælles dataansvarlig, repræsentant og databeskyttelsesrådgiver. Formål med behandlingen af oplysningerne (f.eks. personaleadministration) Kategorier af registrerede (f.eks. oplysninger om nuværende og tidligere medarbejdere) og kategorier af personoplysninger (f.eks. identifikationsoplysninger, oplysninger om løn, arbejdstid mv.). Kategorier af modtagere (herunder tredjelande og internationale organisationer). Hvis relevant, nærmere om overførsler til tredjelande og internationale organisationer. Hvis muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger. Ellers forventede slettefrister. Hvis muligt, en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger. Side 19/25

20 Fortegnelsen skal være skriftlig og elektronisk. Det er således ikke tilstrækkeligt at have en manuel fortegnelse efter forordningen. Justitsministeriet antager, at en virksomhed (dataansvarlig) vil kunne føre en fortegnelse over forskellige formål, f.eks. personaleadministration og whistleblowerordninger i lighed med eksempler fra Datatilsynets fortegnelser, som anvendes ved anmeldelse efter den gældende persondatalov. Har en virksomhed i dag anmeldt sin personaleadministration, vurderer ministeriets altså, at virksomheden vil kunne genanvende den anmeldelse, som virksomheden har indsendt til Datatilsynet. Virksomheden skal stille fortegnelsen til rådighed for Datatilsynet, hvis tilsynet beder om at se denne. 15. Opbevaring af oplysninger før, under og efter ansættelsesforholdet Generelt må virksomheden ikke opbevare oplysninger i længere tid end nødvendigt ud fra de formål, som oplysningerne behandles ud fra. Det gælder alle kategorier af oplysninger. Virksomheden skal også have en saglig grund til opbevaringen. Se også om de generelle principper for behandling af oplysninger i afsnit 3.2. Der er ikke fastsat en konkret tidsbegrænsning i persondataloven. Der er således overladt et skøn til virksomheden, der har indhentet/registreret oplysningerne om medarbejderen. Oplysninger vedrørende nuværende medarbejdere må kunne opbevares under ansættelsesforholdet. Datatilsynets har f.eks. i en konkret sag vurderet, at en medarbejder ikke havde ret til at få slettet en ældre advarsel fra personalesagen ud fra persondatareglerne. Det må også antages, at virksomheden kan opbevare oplysninger om fratrådte medarbejdere i et vist tidsrum efter ansættelsens ophør. Datatilsynet accepterer sjældent opbevaring i mere end 5 år, med mindre virksomheden har en relevant begrundelse for dette. Vurderingen kan afhænge af anden lovgivning, f.eks. fristerne i forældelseslovgivningen og bogføringslovens frister på 5 år fra relevant regnskabsår. For så vidt angår jobansøgere, der får afslag, vil der formentlig skulle mere til for at dokumentere sagligheden af at opbevare oplysninger om de pågældende i en længere periode. Hvis formålet med at gemme en ansøgning er at kunne besætte en fremtidig stilling, vil oftest kræve et samtykke fra ansøgeren. Justitsministeriet vurderer, at indholdet af databeskyttelsesforordningens regler om opbevaring svarer til de gældende regler i persondataloven. Side 20/25

21 16. Datasikkerhed ved personaleadministration Persondataloven fastslår, at en virksomhed som dataansvarlig skal træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger: - Hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. - Kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven. Disse regler om datasikkerhed gælder også i forhold til oplysninger, om virksomhedens medarbejdere. Datatilsynet har i den forbindelse oplistet en række specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Det er krav, som Datatilsynet pt. anvender som standardkrav ved tilladelser til personaleadministration i den private sektor. Se nærmere afsnit 14. Grundlæggende kræver Datatilsynet, at virksomheden skal beskrive, hvordan personaleoplysninger i personaleadministrationen beskyttes og hvordan Datatilsynets minimumskrav i den forbindelse er gennemført. Det kan være f.eks. være en del af en it-sikkerhedspolitik. Datatilsynet aktuelle minimumskrav kan ses i denne vejlednings Bilag 1. Vurderingen af, hvilke sikkerhedskrav en virksomhed skal overholde i forbindelse med personaleadministrationen, kan ændre sig løbende over tid, bl.a. i takt med hvilke muligheder den teknologiske udvikling faktisk giver for at beskytte personoplysninger. Kravet om, at behandling af personoplysninger skal ske med tilstrækkelig sikkerhed, er også en del af databeskyttelsesforordningen. Det er præciseret, at virksomheden ud fra - aktuelle tekniske niveau - implementeringsomkostninger - behandlingens karakter, omfang, sammenhæng og formål - risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Forordningen indeholder også en række eksempler mv. Side 21/25

22 Ud over de særlige regler om sikkerhed, er sikkerhed også skrevet ind i forbindelse med forordningens grundlæggende principper. Justitsministeriet vurderer ikke umiddelbart, at denne præcisering i sig selv fastlægger selvstændige krav til datasikkerheden, men at den skal ses som et signal om, at sikkerheden skal tillægges stor betydning ved behandling af personoplysninger. Hvis der sker sikkerhedsbrud, skal virksomheden anmelde det til Datatilsynet senest 72 timer efter, at sikkerhedsbruddet er kendt. Bliver anmeldelsen forsinket, skal virksomheden give Datatilsynet en begrundelse. Sikkerhedsbruddet skal dog ikke anmeldes, hvis det er usandsynligt, at sikkerhedsbruddet indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Virksomheden skal som udgangspunkt også underrette en registreret medarbejder, hvis sikkerhedsbruddet sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Der gælder dog flere undtagelser til denne underretningspligt. 17. Samarbejdsudvalg En rækker virksomheder har etableret et samarbejdsudvalg efter Samarbejdsaftalen mellem DA og LO. I Samarbejdsaftalen oplistes en række opgaver, hvor samarbejdsudvalget skal inddrages. Bl.a. skal samarbejdsudvalget inddrages ved fastlæggelse af principper for virksomhedens interne indsamling, opbevaring og brug af persondata. 4 Læs mere om samarbejdsudvalg på Samarbejdsnævnets hjemmeside Sanktioner En person, der har lidt materiel eller immateriel skade som følge af en ulovlig behandling af personoplysninger mv., kan kræve erstatning. Overtrædelse af en række bestemmelser i persondataloven kan også medføre straf i form af fængsel eller bøde. Som udgangspunkt vil sanktionsmulighederne ved virksomhedens overtrædelse af en række bestemmelser i databeskyttelsesforordningen eller databeskyttelsesloven svare til gældende ret. Det er dog værd at hæfte sig ved, at det af bemærkningerne til udkastet til databeskyttelsesloven fremgår, at Justitsministeriet finder, at: Bødeniveauet bør forhøjes i forhold til det nuværende niveau efter persondataloven Der vil være grundlag for, at straffen stiger i en række tilfælde. På nuværende tidspunkt er det dog vanskeligt at sige noget om, hvordan konkrete typer af overtrædelser af reglerne for behandling af oplysninger vil blive vurderet i disse sammenhænge. En politisk stillingtagen til sanktionsspørgsmålet for offentlige myndigheder udestår i udkastet til databeskyttelsesloven. 4 Samarbejdsaftalen pkt. 3 Samarbejdsudvalget Side 22/25

23 19. Øvrige elementer i det nye regelsæt om databeskyttelse Databeskyttelsesforordningen mv. omfatter også en række andre regler, der kan have direkte eller indirekte betydning for virksomheder, der administrerer personoplysninger om medarbejdere mv. Herunder regler om: - Regelsættes geografiske område - Koncerner - Datatilsynet mv., herunder det europæiske samarbejde - Internationale dataoverførsler - Databeskyttelse by design og default - Konsekvensanalyser - Automatiserede afgørelser - Adfærdskodekser og certificering Kontakt Dansk Erhverv, hvis I har behov for særlig rådgivning om sådanne elementer i forbindelse med behandling af persondata om medarbejderne. 20. Vil du vide mere? Medlemmer af Dansk Erhverv kan kontakte Hotline vedrørende spørgsmål om personoplysninger i ansættelsesforhold på tlf Dansk Erhverv har udgivet en række pjecer i Gode Råd Om -serien, der bl.a. omfatter følgende HR-områder: Gode råd om internet og mail Gode råd om sociale medier Gode råd om rekruttering Gode Råd Om - serien findes på Dansk Erhverv har også udgivet en generel erhvervsjuridisk vejledning om persondatabeskyttelsesområdet. Læs mere i Retningslinjer for overholdelse af regler om persondatabeskyttelse på Side 23/25

24 Bilag 1. Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration (Persondataloven) Nedenstående retningslinjer er fra Datatilsynets hjemmeside, Retningslinjerne er senest opdateret af Datatilsynet den 6. juni 2015: Krav om datasikkerhed i forbindelse med personaleadministration I forbindelse med personaleadministration skal persondatalovens regler i det hele iagttages. Det indebærer bl.a., at den dataansvarlige virksomhed skal leve op til lovens krav om datasikkerhed. Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette følger af lovens 41, stk. 3. Datatilsynet har udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standard vilkår om iagttagelse af disse. Minimumskrav for sikkerhed i forbindelse med personaleadministration: 1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. Side 24/25