Gode råd om Brugen af personoplysninger Kend reglerne for håndtering af personlige oplysninger om medarbejderne! Udgivet af Dansk Handel & Service Brugen af personoplysninger 2006
Gode råd om Brugen af personoplysninger Læs i denne pjece om: 1. Hvilke oplysninger er omfattet af persondataloven? 2. Betingelser for behandling af oplysninger 3. Konkrete eksempler 4. Grundlæggende principper, der altid skal overholdes 5. Anmeldelse og tilladelse fra Datatilsynet Som arbejdsgiver er man altid i besiddelse af forskellige personlige oplysninger om de ansatte. Der kan være tale om helbredsoplysninger, lønoplysninger, referencer, uddannelse, advarsler osv. Håndteringen af disse oplysninger er først og fremmest reguleret i persondataloven. Formålet med denne pjece er at give et overblik over de vigtigste regler, der gælder, når man som arbejdsgiver håndterer personlige oplysninger. Pjecen er vejledende og kan ikke erstatte konkret rådgivning. 1. Hvilke oplysninger er omfattet af persondataloven? Alle personlige oplysninger er omfattet af persondataloven, uanset om de findes i en e-mail, et word-dokument eller i en fysisk personalesag. Opdeling af personlige oplysninger Når man skal behandle personlige oplysninger, er det vigtigt at gøre sig klart, om der er tale om en almindelig oplysning, en semi-følsom oplysning eller en følsom oplysning. I det efterfølgende skema kan du se, om en oplysning kan betegnes som almindelig, semi-følsom eller følsom. 2
Følsomme oplysninger Race, religion, helbred, sex, politik, fagforening Semi-følsomme oplysninger Strafbare forhold, væsentlige sociale problemer, andre rent private forhold som fx registreret partner, bortvisning fra jobbet, personlighedstest mv. CPR-nummer Almindelige oplysninger Økonomi, skat, gæld, antal sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger som navn, adresse og fødselsdato 2. Betingelser for behandling af personlige oplysninger En behandling kan kun ske, hvis den har et sagligt formål og opfylder en af nedenstående betingelser. Almindelige oplysninger Udgangspunktet er, at arbejdsgiveren uden videre kan registrere almindelige oplysninger, fordi han normalt har en berettiget interesse deri. Semi-følsomme oplysninger Semi-følsomme oplysninger kan registreres, hvis arbejdsgiver har en berettiget interesse, der klart overstiger hensynet til den ansatte, eller hvis den ansatte har givet samtykke. Desuden kan semi-følsomme oplysninger registreres, hvis det er nødvendigt for at forsvare et retskrav. For eksempel kan arbejdsgiveren opbevare oplysninger om strafbare forhold i forbindelse med en bortvisningssag eller politianmeldelse og helbredsoplysninger i forbindelse med en sygedagpengesag, arbejdsskade el. lign. Tilsvarende kan advarsler også opbevares uden samtykke også selvom de indeholder semi-følsomme eller følsomme oplysninger. 3
Følsomme oplysninger Følsomme oplysninger kan registreres, hvis den ansatte har givet samtykke, eller hvis det er nødvendigt for at forsvare et retskrav, jf. eksemplerne ovenfor. Desuden kan oplysninger om medlemskab af en fagforening registreres, hvis det er nødvendigt for at overholde en overenskomst. Samtykke Når man beder en ansat om at give samtykke til en registrering, skal arbejdsgiveren gøre det klart, hvad der konkret gives samtykke til. Hvis den ansatte selv har givet virksomheden en oplysning, anses den ansatte for at have givet samtykke til, at oplysningen bliver anvendt til forventelige formål. For eksempel at en indhentet straffeattest opbevares i personalesagen. Et samtykke kan til enhver tid kaldes tilbage af den ansatte. 3. Konkrete eksempler Særligt vedr. CPR-nr. Arbejdsgiveren må altid registrere de ansattes personnumre, fordi det er nødvendigt for at kunne foretage indberetning til skattemyndighederne, barselsfond osv. Internet og e-mail Registrering og gennemgang af medarbejdernes hjemmesidebesøg og e-mail er omfattet af persondataloven. Denne kontrol kræver derfor et sagligt formål, og at medarbejderen er blevet gjort opmærksom på, at færden på internet og e-mail bliver registreret og kontrolleret. Et sagligt formål kan være driftsmæssige hensyn, sikkerhedsmæssige hensyn, kontrol med overholdelsen af virksomhedens internet og e-mailpolitik osv. Derfor bør arbejdsgiveren udarbejde en internet- og e-mailpolitik, der sikrer, at gældende regler bliver overholdt. På www.dhs.dk kan du hente udkast til formuleringer til både en internet- og en e-mailpolitik. Virksomhedens hjemmeside Arbejdsgiveren kan uden samtykke offentliggøre medarbejdernes navn, stilling, arbejdstelefonnummer og mailadresse på hjemmesiden. Billede, privatadresse og privat telefonnummer kræver udtrykkeligt samtykke fra den ansatte. 4
Kreditoplysninger Datatilsynet har udtalt, at der kun kan indhentes kreditoplysninger hos eksempelvis RKI ved særligt betroede stillinger. Ifølge Datatilsynet er for eksempel en almindelig kassemedarbejder ikke at betragte som særligt betroet. Straffeattester Arbejdsgiveren må kræve en straffeattest, hvis der er et sagligt formål med det. Det er for eksempel sagligt at kræve en straffeattest fra medarbejdere, der har adgang til likvide midler. Telefonopkald Der kan som udgangspunkt ikke foretages registrering af medarbejderens udgående telefonopkald. Det er kun tilladt at registrere telefonnumrene, hvis de to sidste cifre af det opkaldte nummer udelades. Har virksomheden et konkret behov for at foretage registrering af udgående telefonopkald, kan Datatilsynet give tilladelse til det. Jobansøgninger og fratrådte medarbejdere Arbejdsgiveren kan opbevare oplysninger om ansøgere, der ikke bliver ansat, samt om fratrådte medarbejdere, så længe det har et sagligt formål. Oplysninger om ansøgere, der bliver anset for ukvalificerede, skal derfor slettes hurtigst muligt, mens oplysninger om kvalificerede ansøgere må opbevares i længere tid, hvis jobansøgeren har givet samtykke til det. Arbejdsgiveren vil sandsynligvis også uden samtykke kunne opbevare oplysningerne i en kortere periode. Det gælder dog ikke følsomme og semi-følsomme oplysninger, for eksempel resultater af en personlighedstest. Oplysninger om fratrådte medarbejdere kan opbevares, så længe der er behov for det. Datatilsynet har oplyst, at i praksis accepteres typisk en opbevaring på fem år og muligvis også længere. Helbredsoplysninger Ved ansættelsen kan arbejdsgiveren kræve oplysninger om sygdomme, der vil have væsentlig betydning for ansættelsesforholdet. I det løbende ansættelsesforhold kan arbejdsgiveren desuden registrere helbredsoplysninger, hvis det er nødvendigt af hensyn til opfyldelse af lovkrav. For eksempel hvis der er indgået en 56-aftale (tidligere en 28-aftale) med en kronisk syg. 5
Tv-overvågning Her henviser vi til vores pjece Gode råd om tv-overvågning, der kan hentes på www.dhs.dk. 4. Grundlæggende principper, der altid skal overholdes Nedenstående betingelser skal altid være opfyldt før en oplysning kan registreres, uanset om der er givet samtykke: Man skal overholde god databehandlingsskik Registreringen skal altid have et sagligt formål Kun relevante og nødvendige oplysninger må registreres Oplysningerne skal være ajourført. Urigtige og vildledende oplysninger skal slettes eller rettes Oplysningerne må ikke opbevares i længere tid end nødvendigt Oplysningerne skal opbevares sikkert og må ikke kunne komme uvedkommende til kundskab. Den ansattes rettigheder Den ansatte har visse rettigheder, når arbejdsgiveren behandler personlige oplysninger om vedkommende. Der gælder blandt andet en oplysningspligt, en indsigtsret og en indsigelsesret. Oplysningspligten og indsigtsretten gælder dog kun ved elektronisk databehandling og manuelle registre. Det vil sige, at oplysningspligten og indsigtsretten ikke gælder, hvis oplysningerne findes i en samling af manuelle sager, for eksempel hængemapper eller omslag, der ikke er arrangeret efter særlige kriterier, for eksempel alfabetisk. Her gælder altså kun indsigelsesretten. Oplysningspligt Når oplysningerne stammer fra den ansatte selv, er der ingen oplysningspligt, når den ansatte allerede ved, at oplysningerne indsamles og kender formålet med det. Når dette ikke er tilfældet, for eksempel hvis den registrerede oplysning er indhentet hos tredjemand, skal arbejdsgiveren oplyse den ansatte om: hvilken type oplysninger, der registreres formålet med registreringen andre oplysninger, der er nødvendige for, at den ansatte kan varetage sine interesser, for eksempel hvem der modtager oplysningerne, og at den ansatte har indsigtsret. 6
Indsigtsret Den ansatte kan kræve at få oplyst: hvilke oplysninger, der behandles om den ansatte behandlingens formål hvem der modtager oplysningerne og tilgængelig information om, hvorfra oplysningerne stammer. Den ansatte har således ikke krav på at få udleveret selve dokumentet eller en kopi deraf. Arbejdsgiveren skal så vidt muligt svare den ansatte inden fire uger. Hvis det ikke er muligt, skal arbejdsgiveren underrette den ansatte om grunden dertil samt om, hvornår den ansatte kan forvente et svar. Den ansatte kan tidligst kræve indsigtsret igen, når der er gået seks måneder, medmindre der foreligger særlige omstændigheder. Indsigelsesret Den ansatte kan kræve, at en oplysning slettes, hvis registreringen er ulovlig, eller hvis den ansatte i øvrigt har vægtige grunde. 5. Anmeldelse og tilladelse fra Datatilsynet Arbejdsgiveren skal søge om tilladelse samt foretage anmeldelse hos Datatilsynet, hvis han/hun registrerer følsomme eller semi-følsomme oplysninger, medmindre dette kun sker undtagelsesvist. Der er ikke krav om anmeldelse, hvis der er tale om helbredsoplysninger, der er nødvendige for at opfylde lovgivningen eller oplysninger, der er nødvendige som følge af kollektive overenskomster. Det kræver Datatilsynets tilladelse at oprette et bortvisningsregister. Anmeldelse til Datatilsynet kan ske via www.datatilsynet.dk. Kontakt Hvis du ønsker yderlige information, er du altid velkommen til at kontakte Dansk Handel & Service Hotline på 3374 6000. 7
Spørg os Dansk Handel & Service Vester Farimagsgade 19 1506 København V Telefon 33 74 60 00 Telefax 33 74 60 80 E-mail dhs@dhs.dk www.dhs.dk