Guide om behandling af personaleoplysninger

Transkript

1 Guide om behandling af personaleoplysninger Indledning Denne guide handler om advokatvirksomheders behandling af personaleoplysninger. Alle advokatvirksomheder vil som led i at have ansatte medarbejdere behandle personoplysninger om disse. Det sker før ansættelsesforholdet etableres, under ansættelsesforholdet og efter ophøret af ansættelsesforholdet. Når advokatvirksomheder behandler sådanne personoplysninger, gælder reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Personoplysninger dækker over enhver form for information om ansøgeren/den ansatte/den tidligere ansatte (herefter medarbejderen). Behandling dækker over en række forskellige måder at håndtere personoplysninger på. F.eks. omfattes både indsamling, systematisering, registrering, opbevaring, brug og videregivelse af oplysninger. Når en advokatvirksomhed behandler personaleoplysninger, er den dataansvarlig. En dataansvarlig defineres som den, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. 1 Den gældende persondatalov fastsætter en generel ramme for behandling af personoplysninger i forbindelse med ansættelsesforhold. Herudover er ansættelsesforhold på en række områder specifikt reguleret i anden lovgivning mv. Det behandles som udgangspunkt ikke i denne guide. Efter databeskyttelsesforordningen kan Danmark fastsætte mere specifikke bestemmelser om behandling af personoplysninger i forbindelse med ansættelsesforhold. Regeringen har den 25. oktober 2017 fremsat Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven), hvor det foreslås i vidt omfang at videreføre de gældende regler i persondataloven. Overordnet set videreføres mange af principperne fra persondataloven og databeskyttelsesdirektivet i uændret form i databeskyttelsesforordningen og databeskyttelsesloven. Behandlingsreglerne i persondataloven videreføres i vidt omfang, ligesom der i databeskyttelsesforordningen er regler om oplysningspligt, indsigtsret og indsigelsesret, som også i dag er kendte begreber. Med databeskyttelsesforordningen indføres der dog også nogle nye elementer. F.eks. bortfalder anmeldelsespligtordningen og erstattes af en regel om, at der skal føres interne fortegnelser over behandlingsaktiviteter. Advokatvirksomheder, som allerede på nuværende tidspunkt har foranstaltninger og rutiner, som sikrer overholdelse af persondataloven, har et godt udgangspunkt for at efterleve databeskyttelsesforordningens bestemmelser. Kategorier af personoplysninger Databeskyttelsesforordningen omtaler specifikt behandling af særlige kategorier af personoplysninger. Disse betegnes i det følgende som følsomme oplysninger. Herudover omtales specifikt behandling af personoplysninger vedrørende straffedomme. Disse omtales i det følgende som oplysninger vedrørende straffedomme. Hvis en personoplysning ikke er omfattet af en af disse to kategorier, er personoplysningen en almindelig oplysning. Almindelige oplysninger om en medarbejder er f.eks. identifikationsoplysninger som navn, adresse, telefonnummer og fødselsdato, nær familie, oplysninger om uddannelse, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider og andre tjenstlige forhold, oplysninger om løn, skat, sygefravær og sygdomsperioder, oplysninger om andet fravær fra arbejdet, oplysninger om pensionsforhold, kildeskatteoplysninger og oplysninger om kontonummer, hvortil løn skal anvises. Det gælder ligeledes udtalelser fra tidligere arbejdsgivere om kvalifikationer m.v., med mindre udtalelsen i øvrigt indeholder oplysninger, der har karakter af følsomme oplysninger. 1 Se i øvrigt Datatilsynets og Justitsministeriets vejledning om dataansvarlige og databehandlere: Version 1.0 Side 1 Den 19. december 2017

2 Følsomme oplysninger er f.eks. oplysninger om race eller etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en ansats seksuelle forhold eller seksuelle orientering. Grundlag for behandling af personoplysninger Databeskyttelsesforordningen opstiller seks grundlæggende principper for behandling af personoplysninger: 1) Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. 2) Behandlingen af personoplysninger er undergivet en formålsbegrænsning, hvilket vil sige, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål. De må ikke viderebehandles på en måde, der er uforenelig med disse formål. 3) Personoplysninger skal behandles ud fra et princip om dataminimering, hvilket vil sige, at de skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. 4) Personoplysninger skal behandles ud fra et princip om rigtighed, hvilket vil sige, at de skal være korrekte og om nødvendigt ajourførte. 5) Personoplysninger skal behandles ud fra et princip om opbevaringsbegrænsning, hvilket vil sige, at de skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. 6) Personoplysninger skal behandles ud fra et princip om integritet og fortrolighed, hvilket vil sige, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for personoplysningerne, herunder skal de beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger. Disse grundlæggende principper i databeskyttelsesforordningen er ikke en nyskabelse, da de stort set svarer til de principper, der fremgår af databeskyttelsesdirektivet. Den dataansvarlige er ansvarlig for, at principperne overholdes. Advokatvirksomheder, der behandler personaleoplysninger, skal have et lovligt grundlag herfor. Databeskyttelsesforordningen opstiller seks alternative betingelser for, hvornår behandling af personoplysninger er lovlig. Betingelserne svarer i store træk til de betingelser, der i dag fremgår af databeskyttelsesdirektivet. Behandling af personoplysninger er lovlig i følgende situationer: 1) Medarbejderen har givet sit samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. 2 2) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som medarbejderen er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på medarbejderens anmodning forud for indgåelse af en kontrakt. 3) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler advokatvirksomheden. 2 Se i øvrigt Datatilsynets og Justitsministeriets vejledning om samtykke: formateret_.pdf Version 1.0 Side 2 Den 19. december 2017

3 4) Behandling er nødvendig for at beskytte medarbejderens eller en anden fysisk persons vitale interesser. 5) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som advokatvirksomheden har fået pålagt. 6) Behandling er nødvendig for, at advokatvirksomheden eller en tredjemand kan forfølge en legitim interesse, medmindre medarbejderens interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor. Disse behandlingsregler er heller ikke en nyskabelse, da de også fremgår af persondataloven og databeskyttelsesdirektivet. I udkastet til databeskyttelseslov lægges der i vidt omfang op til en videreførelse af de gældende regler i persondataloven, idet der dog indføres en særlig hjemmel for behandling i ansættelsesforhold. Formålet er at udfylde og supplere databeskyttelsesforordningens behandlingsregler, så der i videst muligt omfang kan ske behandling i samme omfang, som det er tilfældet i dag. Behandling af oplysninger forud for ansættelsen Som nævnt ovenfor vil en advokatvirksomhed forud for en ansættelse af en medarbejder behandle en række almindelige oplysninger om medarbejderen. Det er dels oplysninger, som ansøgeren selv giver til advokatvirksomheden, f.eks. en ansøgning, et CV, fotos, der er vedlagt ansøgningen, eksamensbeviser, udtalelser fra tidligere arbejdsgivere og referencer. Dels er det oplysninger, som advokatvirksomheden af egen drift finder om ansøgeren. Det kan f.eks. være offentligt tilgængelige oplysninger på LinkedIn, Facebook eller oplysninger, der indhentes via en almindelig søgning på internettet. Grundlaget for behandling af sådanne almindelige oplysninger, der behandles med det formål at udvælge en medarbejder til ansættelse i advokatvirksomheden, kan være enten databeskyttelsesforordningen artikel 6, stk. 1, litra a, om gennemførelse af foranstaltninger forud for indgåelse af en kontrakt, eller interesseafvejningsreglen i artikel 6, stk. 1, litra f. Billeder, der er vedlagt en ansøgning, kan behandles til ansættelsesprocessen, hvis der foreligger et samtykke hertil. Hvis billedet agtes anvendt til andre videregående formål end ansættelsesprocessen, kræves der også samtykke til denne anvendelse. En advokatvirksomhed vil forud for ansættelse af en medarbejder også i visse tilfælde have behov for at behandle følsomme oplysninger om en ansøger. Efter retsplejelovens regler kan en advokatfuldmægtig ikke autoriseres, hvis vedkommende er dømt for et kvalificeret strafbart forhold, hvis vedkommende har udvist kvalificeret strafværdig adfærd i en tidligere stilling, eller hvis vedkommende har forfalden gæld på mere end kr. til det offentlige. Beskikkelse som advokat kan også nægtes i disse situationer. Uanset at retterne ved autorisation af advokatfuldmægtige/advokater påser, om den pågældende bør nægtes autorisation af de ovenfor anførte grunde, vil en advokatvirksomhed i forbindelse med en ansættelsesproces af advokatfuldmægtige og advokater typisk behandle oplysninger om den pågældende fra Det Centrale Kriminalregister, ligesom der vil blive indhentet en attestation fra SKAT om, hvorvidt den pågældende har gæld til det offentlige. Advokatvirksomheden vil typisk anmode medarbejderen om selv at fremskaffe en straffeattest (privat straffeattest), men kan også selv indhente den med samtykke (privat straffe attest med samtykke). I begge situationer kræves der et samtykke fra medarbejderen til, at advokatvirksomheden kan behandle oplysningerne. Det vil også typisk være relevant at indhente straffeattester på bogholdere og andre betroede medarbejder. Efter hvidvasklovens 8 skal advokatvirksomheder, der er omfattet af hvidvaskloven, have tilstrækkelige skriftlige politikker, procedurer og kontroller, som bl.a. skal omfatte screening af medarbejdere. Dette kan blandt andet indebære, at en virksomhed inden ansættelsen af en person sikrer, at denne ikke er dømt for et strafbart forhold, der begrunder en nærliggende fare for misbrug af den pågældendes stilling, ligesom det sikres, at virksomheden bliver bekendt med, såfremt medarbejdere dømmes for et sådant forhold i løbet af deres ansættelse. Der kan anlægges en risikovurdering, alt efter hvilken funktion en ansat skal varetage i virksomheden. Det vil f.eks. ikke være aktuelt for personer, der ikke varetager funktioner, der sikrer opfyldelse af hvidvaskloven. For personer, som ansættes i en stilling, hvor personen direkte eller indirekte kan misbruge stillingen til hvidvask eller finansiering af terrorisme, vil det altid være relevant Version 1.0 Side 3 Den 19. december 2017

4 med en nærmere undersøgelse af personen inden ansættelsen. Det vil bero på en konkret vurdering i forhold til, hvordan man har indrettet sig i den enkelte virksomhed, om en person direkte eller indirekte kan misbruge sin stilling til hvidvask eller finansiering af terrorisme. De gældende regler i persondataloven sætter efter Datatilsynets opfattelse grænser for, i hvilke tilfælde der kan indhentes kreditoplysninger på jobansøgere. Det er Datatilsynets opfattelse, at en virksomhed ikke må indhente kreditoplysninger om jobansøgere, medmindre der er tale om ansættelse i en særligt betroet stilling. Vurderingen af, om en stilling må anses for særligt betroet, beror efter Datatilsynets opfattelse navnlig på den funktion, som den pågældende person udøver. Der kan i den forbindelse lægges vægt på, hvilke opgaver den pågældende medarbejder er befuldmægtiget til at udføre, og i hvilket omfang medarbejderen er underlagt rutinemæssige kontrolforanstaltninger, evt. fra overordnede. Det er Datatilsynets opfattelse, at en stilling som ledende medarbejder med økonomiansvar må anses for en særligt betroet stilling, ligesom en stilling som bogholder også må kunne betragtes som en særligt betroet stilling. Efter Danske Advokaters opfattelse videreføres denne retstilstand med databeskyttelsesforordningen og i udkastet til databeskyttelseslov, hvorfor advokatvirksomheder må være berettigede til at indhente kreditoplysninger om personer, der søger stillinger som advokatbogholdere eller personer, der søger stillinger med mere overordnet økonomiansvar. Grundlaget for behandlingen vil kunne være interesseafvejningsreglen i artikel 6, stk. 1, litra f. Advokatvirksomheder vil i nogle situationer benytte sig af personlighedstest i forbindelse med ansættelse af nye medarbejdere. Det gælder særligt, når der er tale om stillinger, der er særligt betroede. En sådan test kan i sagens natur alene gennemføres, hvis medarbejderen samtykker til at blive testet. Uanset at resultatet af en personlighedstest kan betragtes som oplysninger af mere privat karakter, må det som udgangspunkt betragtes som almindelige oplysninger. En personlighedstest kan dog også indeholde følsomme oplysninger. I så fald kræves der et udtrykkeligt samtykke fra medarbejderen til advokatvirksomhedens behandling af oplysningerne. En advokatvirksomhed kan modtage uopfordrede ansøgninger, som vurderes som så interessante, at de er værd at opbevare med henblik på fremtidige stillinger i virksomheden. På samme måde kan advokatvirksomheden være interesseret i at opbevare ansøgninger, der ikke kommer i betragtning til en konkret stilling. Behandlingen af oplysningerne vil kunne foretages enten på baggrund af samtykke eller ud fra interesseafvejningsreglen. Med hensyn til opbevaringsperioden henvises der til afsnittet herom nedenfor. Behandling af oplysninger om nuværende ansatte Når et ansættelsesforhold er etableret, vil en advokatvirksomhed behandle en række yderligere almindelige oplysninger. Det er dels oplysninger, som ansøgeren selv giver til advokatvirksomheden, f.eks. den ansattes CPR-nr., adresseoplysninger, kontonummer m.v., ansættelsesaftalens beskrivelse af arbejdsopgaver, -tid, løn og lignende, oplysninger om nærmeste pårørende samt oplysninger om sygefravær og sygdomsperioder. Dels er det oplysninger, som advokatvirksomheden af egen drift finder om ansøgeren. Det kan f.eks. være oplysninger om medarbejderen, der løbende tilflyder advokatvirksomheden fra ledere og andre medarbejdere (herunder MUS-samtalereferater) samt fra samarbejdspartnere. Henvendelser og klager af enhver art fra øvrige medarbejdere eller kunder/samarbejdspartnere, ledelsens egen indsamling af oplysninger i sociale medier og henvendelser fra offentlige myndigheder om medarbejderen m.v. vil også være omfattet. Grundlaget for behandling af sådanne almindelige oplysninger, der behandles med det formål at overholde advokatvirksomhedens pligter som arbejdsgiver m.v., vil være enten databeskyttelsesforordningen artikel 6, stk. 1, litra a, om behandling, der er nødvendig for opfyldelse af en kontrakt, interesseafvejningsreglen i artikel 6, stk. 1, litra f, eller databeskyttelsesloven. Videregives oplysninger til offentlige myndigheder, f.eks. til SKAT om A-skat eller lignende, er behandlingen nødvendig for at overholde den indeholdelses- og indberetningspligt, der påhviler en advokatvirksomhed som arbejdsgiver, jf. skattelovgivningens bestemmelser herom. Version 1.0 Side 4 Den 19. december 2017

5 Ifølge Datatilsynets praksis efter persondataloven må der alene offentliggøres arbejdsrelaterede oplysninger om ansatte på internettet med forudgående samtykke. Offentliggørelse af oplysninger af mere personlig karakter, f.eks. et billede af den ansatte, kan alene offentliggøres med den ansattes samtykke. Denne praksis må forventes opretholdt med databeskyttelsesforordningen. Når et ansættelsesforhold er etableret, vil en advokatvirksomhed i visse situationer også skulle behandle følsomme oplysninger om medarbejderen. Det kan f.eks. være helbredsoplysninger om medarbejderen, herunder oplysninger om alkoholmisbrug og behandling af sådant misbrug, oplysninger om medlemskab af en fagforening eller oplysninger om strafbare forhold. Andre rent private forhold indeholder ikke nødvendigvis følsomme oplysninger i databeskyttelsesforordningens forstand. Det kan f.eks. være oplysninger om, at medarbejderen er bortvist fra jobbet, eller oplysninger om udfaldet af personlighedstest. Det afgørende er indholdet af oplysningerne og ikke den formelle beskrivelse. Private forhold og udfaldet af personlighedstests behøver ikke nødvendigvis at indeholde følsomme oplysninger. Som udgangspunkt er det forbudt at behandle følsomme personoplysninger. En advokatvirksomhed kan dog i visse tilfælde behandle følsomme oplysninger om en medarbejder. Det kan navnlig være tilfældet, hvis den ansatte har givet sit udtrykkelige samtykke til, at advokatvirksomheden kan foretage behandlingen. Databeskyttelsesforordningen åbner imidlertid også mulighed for behandling af følsomme personoplysninger i andre tilfælde end udtrykkeligt samtykke fra den ansatte. Det kan f.eks. være i de tilfælde, hvor behandlingen er nødvendig for at opfylde bestemmelser i en lov eller bekendtgørelse. Der kan f.eks. registreres helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til 56 i lov om sygedagpenge. Efter denne bestemmelse kan en arbejdsgiver ved aftale med en lønmodtager opnå ret til fra kommunen at få refusion i de første 30 kalenderdage af sygefraværet under nogle nærmere angivne betingelser, herunder at der er tale om langvarig eller kronisk sygdom mv. En advokatvirksomhed vil i sådanne situationer behandle følsomme helbredsoplysninger om kronisk sygdom mv. Der kan ikke gives et entydigt svar på, om oplysninger, der registreres efter funktionærloven, skal betragtes som følsomme oplysninger. I tilfælde af opsigelse, hvor en tidligere medarbejders ret til på begæring at få oplysning om årsagen til afskedigelsen nødvendiggør registrering af oplysninger herom, kan oplysningerne betragtes som følsomme, hvis de er præcise og gengiver konkrete faktiske forhold af social eller personlig karakter om medarbejderen. Hvis oplysningerne alene er holdt i vage og skønsmæssige termer, er de ikke nødvendigvis følsomme. Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere foretages, hvis behandlingen er nødvendig for overholdelsen af advokatvirksomhedens arbejdsretlige forpligtelser eller specifikke rettigheder, som omfatter alle former for forpligtelser og rettigheder, der hviler på et arbejdsretligt grundlag. Dette gælder, uanset om grundlaget er lovgivning eller aftale. Også behandling af oplysninger, som sker til overholdelse af forpligtelser eller rettigheder, som følger af kollektive overenskomster mellem arbejdsmarkedets parter eller af individuelle ansættelseskontrakter, er dermed omfattet. Der vil herudover kun være begrænset mulighed for at registrere følsomme oplysninger i et personaleregister. Der skal være tale om registrering, som er nødvendig for, at det kan fastlægges, om nogen har et retskrav. Det vil f.eks. kunne forekomme, at en advokatvirksomhed har behov for at registrere oplysninger om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre virksomhedens krav på erstatning gældende over for medarbejderen. Også på områder, hvor der kan tænkes at eksistere et retskrav, f.eks. en medarbejders krav på erstatning som følge af en arbejdsskade, kan det være nødvendigt at foretage registreringer af følsomme oplysninger til brug for en eventuel sag. Behandling af oplysninger om tidligere ansatte, herunder om sletning Databeskyttelsesforordningen fastsætter ikke præcise frister for, hvor lang tid en advokatvirksomhed som arbejdsgiver må opbevare oplysninger om medarbejdere efter ophøret af ansættelsesforholdet. Version 1.0 Side 5 Den 19. december 2017

6 Som dataansvarlig er der en pligt til at slette personoplysninger uden unødig forsinkelse i seks forskellige situationer. Det kan f.eks. være i den situation, hvor oplysningerne ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet. Datatilsynets praksis efter persondataloven er, at oplysninger om fratrådte medarbejdere kan opbevares indtil 5 år efter ansættelsesforholdets ophør. Denne praksis må forventes videreført efter databeskyttelsesforordningen og databeskyttelsesloven, men det er væsentligt at pointere, at der ikke er faste grænser. Databeskyttelsesforordningen åbner således mulighed for at fravige udgangspunktet om, at personoplysninger skal slettes uden unødig forsinkelse. Det kan f.eks. være, når advokatvirksomheden har brug for oplysningerne med henblik på, at retskrav kan fastlægges, gøres gældende eller forsvares. Det kan eksempelvis være berettiget at opbevare personoplysninger i længere tid, hvis de skal bruges i forbindelse med en ansættelsesretlig sag. I sådanne situationer kan oplysningerne gemmes i så lang tid, som det er nødvendigt for at føre sagen. Tilsvarende kan gælde i forbindelse med arbejdsskader. For jobansøgninger opererer Datatilsynet med en vejledende 6 måneders slettefrist. Denne må også forventes videreført efter databeskyttelsesforordningen og databeskyttelsesloven, men også her kan der være anledning til at fravige fristen. Hvis det eksempelvis formodes, at en jobansøger, der ikke er blevet ansat, vil indlede en sag efter ligebehandlingsloven eller forskelsbehandlingsloven, kan oplysningerne opbevares i længere tid. Datatilsynets praksis om personaleoplysninger på internettet og behandling af en fratrådt medarbejders konto må anses at blive videreført med databeskyttelsesforordningen. Retningslinjerne om behandling af fratrådte medarbejderes konti gælder i de tilfælde, hvor andet ikke konkret kan anses for aftalt mellem arbejdsgiveren og medarbejderen. Retningslinjerne siger bl.a., at en konto skal holdes aktiv i en periode, der er så kort som mulig, at der skal opsættes et autosvar, og at kun en enkelt eller ganske få betroede medarbejdere må have adgang til en fratrådt medarbejders konto. I forbindelse med en medarbejders fratræden, kan der også opstå spørgsmål om, hvornår advokatvirksomheden må videregive de personoplysninger, som advokatvirksomheden ligger inde med. Hvis advokatvirksomheden efter anmodning fra en anden virksomhed, hvor medarbejderen har søgt ansættelse, videregiver referencer på medarbejderen, kan dette ske uden samtykke fra medarbejderen, hvis der er tale om almindelige oplysninger. Følsomme oplysninger må alene videregives med medarbejderens samtykke. Information til de registrerede Databeskyttelsesforordningen indeholder dels regler om oplysningspligt ved indsamling af personoplysninger hos den registrerede, dels regler om oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede. I den første situation skal en advokatvirksomhed, der indsamler personoplysninger om en medarbejder hos medarbejderen, på det tidspunkt, hvor oplysningerne indsamles, give medarbejderen en række obligatoriske oplysninger. Herudover skal der gives en række supplerende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling. Hvis advokatvirksomheden agter at viderebehandle personoplysningerne til et andet formål end det, som de blev indsamlet til, skal den derfor give medarbejderen oplysninger om det andet formål og andre relevante yderligere oplysninger som f.eks. tidsrum, indsigt, sletning m.v. Hvis en medarbejder allerede er bekendt med oplysningerne, gælder oplysningspligten ikke. Reglerne svarer i store træk til persondatalovens og databeskyttelsesdirektivets regler herom, men på visse punkter sker der en udvidelse af forpligtelsen med databeskyttelsesforordningens regler. Det gælder f.eks. slettefrister og overførsel af personoplysninger til tredjelande. I den anden situation skal en advokatvirksomhed, der indsamler personoplysninger om en medarbejder, hvor oplysningerne ikke er indsamlet hos medarbejderen, give medarbejderen en række obligatorisk oplysninger. Herudover skal der gives en række supplerende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling af medarbejderen. De obligatoriske og supplerende oplysninger skal Version 1.0 Side 6 Den 19. december 2017

7 gives til medarbejderen inden for nærmere angivne frister. Hvis en advokatvirksomhed agter at viderebehandle personoplysningerne til et andet formål end det, som de blev indsamlet til, skal den forud for denne viderebehandling give den ansatte oplysninger om det andet formål og andre relevante yderligere oplysninger f.eks. om tidsrum, indsigt, sletning mv. Oplysningspligten gælder ikke i en række tilfælde, herunder hvis medarbejderen allerede er bekendt med oplysningerne. Reglerne svarer i store træk til persondatalovens og databeskyttelsesdirektivet regler herom. Ifølge Datatilsynets praksis efter persondataloven skal jobansøgere både oplyses om, at de er blevet kontrolleret i kreditoplysningsbureauer som f.eks. RKI, samt om en eventuel opbevaring af kreditoplysningerne, herunder i hvilke tilfælde oplysningerne opbevares. Denne praksis må efter Danske Advokaters opfattelse antages at fortsætte efter databeskyttelsesforordningen. Tekniske og organisatoriske sikkerhedsforanstaltninger I forbindelse med personaleadministration skal databeskyttelsesforordningens regler om datasikkerhed også iagttages. Efter databeskyttelsesforordningen skal en advokatvirksomhed i forbindelse med personaleadministration gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med advokatvirksomhedens behandling af personoplysninger. I databeskyttelsesforordningen oplistes en række ikke udtømmende eksempler på foranstaltninger, det kan komme på tale at gøre brug af i sikkerhedsmæssige sammenhænge. Der er tale om eksempler på foranstaltninger, der skal gennemføres under hensyntagen til bl.a. risici, og hvis det er relevant. Der skal etableres et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med advokatvirksomhedens behandling af personoplysninger, ved hjælp af passende tekniske og organisatoriske foranstaltninger. Det følger af Betænkning nr. 1565/2017 om databeskyttelsesforordningen, at det som udgangspunkt er den dataansvarlige, der beslutter den nærmere fremgangsmåde og systematik for så vidt angår gennemførelse af passende tekniske og organisatoriske foranstaltninger. Betænkningen angiver følgende vejledende fire trin, som kan indgå i den dataansvarliges overvejelser: 1. Identifikation og vurdering af risici. 2. Identifikation af mulige foranstaltninger. 3. Gennemgang af, hvilke foranstaltninger som imødegår relevante risici, så et passende sikkerhedsniveau opnås. 4. Implementering af de foranstaltninger som det besluttes at gennemføre. Vedrørende trin 1 anbefales det, at advokatvirksomheder søger nærmere vejledning i betænkningen samt i ISO-standarden ISO/IEC DIS Information technology Security techniques Privacy impact assessment Guidelines og publikationen Cloud Computing Risk Assessment fra ENISA, der begge er omtalt i betænkningen. En nærmere beskrivelse heraf ligger uden for rammerne af denne guide. Vedrørende trin 2 kan det ved identifikationen af foranstaltninger, der kan være relevante at gennemføre, søges vejledning i ISO standardens anneks A, der også omtales i betænkningen. Vedrørende trin 3 anføres det i betænkningen, at når det skal overvejes, hvilke kombinationer af foranstaltninger, der kan imødegå en risiko, kan det være hensigtsmæssigt at have enkle grundprincipper for øje, f.eks. pseudonymisering og kryptering. Det må antages, at Datatilsynets IT-sikkerhedstekster, jf. nedenfor, stadig vil kunne være udgangspunkt for de overvejelser og vurderinger, som advokatvirksomheder skal foretage efter databeskyttelsesforordningen, herunder følgende specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration: Version 1.0 Side 7 Den 19. december 2017

8 1. Advokatvirksomheden skal beskrive, hvordan den beskytter sine personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i advokatvirksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af advokatvirksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt, dog med behørigt hensyn til driften altså at der er tilstrækkelige medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning m.v. Der foreligger et skøn hos virksomheden. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8. PC er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. Efter Danske Advokaters vurdering skal der ved opkobling til wifi, hvortil der er fri adgang, sikres passende sikkerhedsmæssige foranstaltninger under hensyntagen til det aktuelle teknologiske udviklingstrin på it-området. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger eller personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger eller personnummer sendes med via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. Version 1.0 Side 8 Den 19. december 2017

9 Efter Danske Advokaters opfattelse bør der i de situationer, hvor en computer indleveres til reparation, og hvor der på computeren ligger personoplysninger, etableres flere koder til forskellige sektioner af data. En reparatør vil eksempelvis ikke have behov for at kunne tilgå personoplysninger, der måtte ligge på computeren. En sådan ordning med flere koder vil kunne hjælpe, men ikke fjerne risikoen for misbrug af data. Herudover bør det også ved aftale og kontrol sikres, at reparatører ikke uretmæssigt tilgår persondata. Det kan f.eks. være ved brug af fortrolighedserklæringer. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 (databeskyttelsesforordningens artikel 28) om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. Eksempel på en fortegnelse over behandlingsaktiviteter vedrørende HR Efter de gældende regler i persondataloven skal advokatvirksomheder til Datatilsynet anmelde personaleadministration, der har til formål at behandle oplysninger om ansatte og ansøgere hos advokatvirksomheden i forbindelse med ansættelse, arbejdsforløb og ophør af ansættelse. Hvis der alene er tale om behandling af ikke-følsomme oplysninger, skal der dog ikke ske anmeldelse. Hvis en advokatvirksomhed behandler følsomme oplysninger om sine ansatte, er hovedreglen, at der skal ske anmeldelse til tilsynet. Denne ordning videreføres ikke med databeskyttelsesforordningen, men erstattes af en ordning om, at der skal føres interne fortegnelser over behandlingsaktiviteter. Efter databeskyttelsesforordningen skal der således i visse tilfælde føres interne fortegnelser over den behandling af personoplysninger almindelige såvel som følsomme der finder sted. Fortegnelserne skal føres med det formål, at den dataansvarlige kan påvise, at en behandling overholder databeskyttelsesforordningens regler. Formålet er således at bidrage til den samlede dokumentation af, hvordan databeskyttelsesreglerne efterleves. Kravene til en dataansvarligs fortegnelser over behandlingsaktiviteter er i høj grad i overensstemmelse med de krav, der for så vidt angår anmeldelsespligtige behandlinger stilles til en dataansvarliges anmeldelse til Datatilsynet efter de gældende regler i persondataloven. Eventuelle tidligere anmeldelser til Datatilsynet kan i vidt omfang genbruges som fortegnelse. Fortegnelser over behandlingsaktiviteter skal foreligge skriftligt og elektronisk. De må således ikke alene føres i fysiske dokumenter eller efter hukommelsen. Det er Danske Advokaters opfattelse, at advokatvirksomheder altid skal udarbejde fortegnelser over behandlingsaktiviteter. Efter Danske Advokaters vurdering finder undtagelsesbestemmelsen i databeskyttelsesforordningen for virksomheder, der beskæftiger under 250 personer, ikke anvendelse for advokatvirksomheder. Eksempel på en fortegnelse for en advokatvirksomhed (eksemplet er med nogle enkelte tilpasninger identisk med det eksempel, der er på side 461 i betænkning 1565/2017 om databeskyttelsesforordningen. Dataansvarlig Advokatvirksomhedens navn, CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og ) Den fælles dataansvarlige samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og ) Version 1.0 Side 9 Den 19. december 2017

10 Den dataansvarliges repræsentant samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og ) Formål (ene) Behandlingens eller behandlingernes formål (et samlet, logisk sammenhængende formål med en behandling eller en række af behandlinger, som hermed angives som ét formål ud af alle samlede formål hos den dataansvarlige) Personaleadministration Kategorierne af registrerede og kategorierne af personoplysningerne Kategori af registrerede personer (eksempelvis ansøgere, nuværende eller tidligere ansatte) Oplysninger, som behandles om de registrerede personer (afkryds og beskriv de typer af oplysninger, som er omfattet af behandlingsaktiviteterne) Der behandles oplysninger om følgende kategorier af registrerede personer: a) Ansøgere b) Ansatte c) Tidligere ansatte Oplysninger, som indgår i den specifikke behandling. Beskriv: Identifikationsoplysninger Oplysninger vedrørende ansættelsesforholdet til brug for administration, herunder stilling og tjenestested, lønforhold, oplysninger af relevans for lønindeholdelse, personalepapirer, uddannelse og sygefravær. Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Helbredsoplysninger, herunder genetisk data Biometrisk data med henblik på identifikation Version 1.0 Side 10 Den 19. december 2017

11 Modtagerne af personoplysningerne Tredjelande og internationale organisationer Sletning Kategorier af modtagere som oplysninger er eller vil blive videregivet til, herunder modtagere i tredjelande og internationale organisationer (eksempelvis andre myndigheder, virksomheder, borger/ kunder mv.) Oplysninger om overførelse af personoplysninger til tredjelande eller internationale organisationer (eksempelvis databehandleres placering i tredjelande, databehandlers brug af cloudløsninger placeret i tredjelande) Tidspunkt for sletning af oplysninger (de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger) Tekniske og organisatoriske sikkerhedsforanstaltninger Beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (hvis muligt skal der gives en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. artikel 32, stk. 1) Seksuelle forhold Strafbare forhold 1. Offentlige myndigheder (så vidt muligt myndighedens navn, f.eks. SKAT) 2. Banker 3. Kreditbureauer Nej (Angivelse af virksomhed/ samarbejdspartner, hvis denne er placeret i tredjeland) Oplysninger om tidligere ansatte slettes senest X år efter afslutningen af den journalperiode, hvor personalesagen er afsluttet. Oplysninger om ansøgere slettes senest X måneder efter afslutningen af den journalperiode, hvor sagen er afsluttet. Oplysninger overføres løbende til Rigsarkivet efter arkivlovens regler og Statens Arkivers bestemmelser herom. Behandling af personoplysninger i forbindelse med HR-arbejde sker i overensstemmelse med interne retningslinjer, som bl.a. fastsætter rammerne for autorisation- og adgangsstyring og logning. Personoplysninger opbevares i pseudonymiseret og i krypteret form og transmitteres krypteret. Fysisk materiale opbevares aflåst. Der anvendes følgende sikkerhedsstandarder: ISOXXXXX. Version 1.0 Side 11 Den 19. december 2017