HR Dokumenter Forlaget Andersen A/S 6.1 Introduktion Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab jej@lett.dk Indhold Denne artikel har følgende 1. Indledning 2. Persondataloven gældende regler 3. Persondata EU-forordningen (nye regler per 25. maj 2018) 1. Indledning I dette kapitel findes en række af de dokumenter, der vil være relevante at implementere i en virksomheds HR, hvis reglerne om persondata skal overholdes, herunder de nye regler, der træder i kraft 25. maj 2018. Dokumenterne er eksempler og omfattet af særlige lovregler og må ikke benyttes uden forudgående juridisk rådgivning. Vidste du, at: Per 25. maj 2018 træder nye regler i kraft, som på en række områder vil stille høje krav til alle virksomheder og deres håndtering af personoplysninger, herunder om medarbejderne og deres data og vil indebære potentielt høje bøder, hvis reglerne ikke er overholdt? 2. Persondataloven gældende regler Persondataloven indeholder i dag en række krav til virksomhedernes behandling af persondata, herunder medarbejdernes persondata. Når en virksomhed eller offentlig myndighed indsamler og registrerer data om fysiske personer, herunder om ansatte eller kunder, er dette således reguleret af en række regler i persondataloven. I korte træk stiller persondataloven først og fremmest krav om, at alle persondata behandles i overensstemmelse med god databehandlingsskik, dvs. at virksomheden ikke må gå længere i behandlingen af persondata end relevant og nødvendigt for at varetage berettigede hensyn. Derudover indeholder persondataloven en række specielle regler for forskellige kategorier af oplysninger (følsomme oplysninger, semifølsomme oplysninger, CPR-oplysninger og almindelige personoplysninger). Kapitel 6.1. Side 1/8. Oktober 2016
For hver type af oplysninger gælder der særlige krav til behandling af oplysningerne ( hjemmelsgrundlag ). Persondatalovens behandlingsregler kan kort illustreres som følger: De forskellige hjemmelsgrundlag kan yderligere illustreres som følger: I tillæg til ovennævnte indeholder persondataloven en række krav til datasikkerhed og anmeldelse af personaleadministrationen i en virksomhed samt regler omkring videregivelse af persondata. Videregivelse til udlandet og lande uden for EU er underlagt særlige regler og krav. Reglerne indebærer også krav om indgåelse af fx databehandleraftaler, hvis en virksomhed benytter sig databehandlere (fx en ekstern lønadministrator eller HR-administrator). I tillæg hertil kommer en række rettigheder for de registrerede, som skal iagttages over for medarbejderne. De områder, hvor virksomhederne kommer i kontakt med persondatareglerne, er i den almindelige personaleadministration (altså behandling af oplysninger om medarbejderne, herunder brug af helbredsoplysninger og billeder), ved behandling af kundedata, herunder i markedsføringsøjemed, iværksættelse af forskellige kontroller af medarbejderne, herunder gennemgang af IT- og e-mails, TVovervågning, og i produktudvikling, herunder udviklingen af apps, brug af cloudløsninger mv. Kapitel 6.1. Side 2/8. Oktober 2016
En virksomhed bør altid undersøge, om den opfylder kravene til behandling af persondata, herunder om der er sket fornødne anmeldelser til Datatilsynet. En virksomhed vil typisk have behov for at anmelde sin personaleadministration samt whistleblowerordning (hvis den har en sådan). Andre områder, hvor en virksomhed eller en offentlig myndighed skal have fokus på overholdelse af persondatalovens regler, er ved overførsel af persondata til EU eller andre lande og til lønadministratorer mv., virksomhedsoverdragelser og anden overførsel af medarbejdere og data. I tillæg til reglerne i persondataloven gælder en del anden lovgivning, der også regulerer behandlingen af medarbejderdata. Disse andre regler omfatter især helbredsoplysningsloven, der blandt andet faststår, at det kun er berettiget for arbejdsgiveren at anmode medarbejderen om helbredsoplysninger, hvis det har væsentlig betydning for medarbejderens udførelsen af det pågældende arbejde. Dertil kommer fx TV-overvågningsloven, der sætter grænser for virksomhedernes brug af TV-overvågning, samt straffeloven, der blandt andet indeholder regler, der værner privatlivets fred og bestemmer, at en arbejdsgiver ikke uberettiget må gennemgå medarbejderens private e- mails og sms er eller tilsvarende privat kommunikation uden samtykke. De almindelige arbejdsretlige regler opstiller også visse betingelser for iværksættelse af såkaldte kontrolforanstaltninger, fx visitationer og drugtest, iværksættelse af e-mail og internetpolitik, alkoholpolitik mv. I nedennævnte dokumenter findes oplæg til de mest anvendte dokumenter til opfyldelse af kravene i persondataloven, nemlig Persondatameddelelse Samtykkeerklæring Persondatapolitik 3. Persondata EUforordningen (nye regler per 25. maj 2018) Processen med forberedelse til den nye persondataforordning kan illustreres som følger: Kapitel 6.1. Side 3/8. Oktober 2016
Den 15. december 2015 blev EU-Parlamentet, Rådet og EU- Kommissionen efter næsten fire års forhandlinger enige om en persondataforordning, der træder i kraft i Danmark den 25. maj 2018. Forordningen medfører væsentlige ændringer på det persondataretlige område, hvilket kommer til at påvirke alle danske virksomheder og offentlige myndigheder. Der er blandt andet tale om en væsentlig forhøjelse af bødeniveauet for overtrædelse af persondataforordningen, som for virksomheder svarer til op til 4 % af den globale årlige koncernomsætning. Den nye persondataforordning indfører også en række ændringer og nyskabelser i forhold til den gældende persondatalov, som virksomheder og offentlige myndigheder skal blive fortrolige med og indrette sig på. Nedenfor er nævnt de væsentligste nyskabelser i persondataforordningen: Væsentligt højere bøder Der kan for virksomheder udstedes bøder på op til 4 % af den globale årlige koncernomsætning og for øvrige op til 20.000.000 euro. Underretningspligt Der skal ved brud på datasikkerheden ske underretning til tilsynsmyndighederne inden for 72 timer og i visse tilfælde til de berørte personer. Data Protection Officer Offentlige myndigheder og private virksomheder, hvis kerneaktiviteter er behandling af persondata, eller som behandler følsomme personoplysninger i et større omfang (fx helbredsoplysninger), skal udpege en Data Protection Officer (DPO). Den person, der udpeges som DPO, skal have en særlig viden om persondatabeskyttelse og sikre, at forordningens regler overholdes i virksomhedens/myndighedens daglige drift. Skærpede dokumentationskrav Virksomheder og offentlige myndigheder skal kunne dokumentere, at de overholder forordningens regler. Betingelser for samtykke Et samtykke skal være frivilligt, specifikt, informeret og udtrykkeligt. Kravet om frivillighed betyder blandt andet, at der ved salg af varer eller serviceydelser ikke almindeligvis må stilles krav om samtykke til, at personoplysninger kan bruges til markedsføringsøjemed. Kapitel 6.1. Side 4/8. Oktober 2016
Privacy by design og Privacy by default Persondatabeskyttelse skal indbygges i produkter, services, forretningsprocesser osv. fra udviklingsstadiet, og der vil blive stillet krav om, at de mest restriktive privatlivsbeskyttende indstillinger automatisk skal gælde, når en kunde køber et nyt produkt eller en service, fx opretter sig som bruger på sociale medier eller downloader apps. Styrkelse af personers rettigheder Registrerede personer skal have mere information om, hvordan deres personoplysninger behandles. Informationen skal være tilgængelig på en klar og forståelig måde, og begæringer fra personer om indsigt i, hvilke personoplysninger en virksomhed eller den offentlige myndighed behandler eller opbevarer om dem, skal almindeligvis besvares uden ugrundet ophold og senest inden for en måned uden omkostninger for personen. Personers ret til at blive glemt De nugældende regler om sletning af data bliver præciseret, så det bliver lettere for personer at få slettet oplysninger, som ikke længere er nødvendige for virksomheder eller offentlige myndigheder at behandle også hvis oplysningerne har været offentliggjort. Dataportabilitet Personer skal have lettere ved at overføre deres personoplysninger fra én serviceudbyder til en anden. Den dataansvarlige pålægges i visse tilfælde en pligt til at overføre oplysninger om en person til vedkommende selv eller til en anden serviceudbyder. Oplysningerne skal desuden gives i et format, der gør det let for personen selv at overføre oplysningerne til en anden serviceudbyder. Særlig beskyttelse af mindreårige Behandling af oplysninger om personer under 16 år vil for fremtiden kræve forældresamtykke. Forordningen giver medlemsstaterne mulighed for at sænke alderskriteriet, således at samtykkekravet alene gælder personer under 13 år. One-stop-shop For koncerner med selskaber i flere EU-lande indføres en ny one-stop-shop. Dette betyder, at virksomheden alene skal have kontakt til én tilsynsmyndighed for så vidt angår alle virksomhedens koncernselskaber i EU og ikke, som det er tilfældet i dag, skal forholde sig til tilsynsmyndighederne i alle de lande, hvor virksomheden har etableret koncernselskaber. Kapitel 6.1. Side 5/8. Oktober 2016
På nævnte baggrund kan der opstilles fire konkrete tiltag, som virksomhederne bør iværksætte for at forberede sig på persondataforordningen. 1. Få overblik over virksomhedens data Først bør det kortlægges, hvilke personoplysninger der behandles i virksomhedens eller den offentlige myndigheds organisation. Det kan lyde som en forholdsvis simpel opgave, men al erfaring viser, at opgaven som oftest er særdeles kompleks og meget tidskrævende, da der i kortlægningsprocessen er behov for input fra mange forskellige interessenter i hele organisationen. Kortlægningen bør have som mål at give det fulde overblik over: Hvilke typer af personoplysninger der indsamles Hvorfra oplysningerne indsamles Hvordan oplysningerne indsamles Om oplysningerne videregives og til hvem Hvor og hvordan oplysningerne er gemt og sikret Hvordan oplysningerne bruges (herunder mulige fremtidige formål) Hvornår og hvordan oplysningerne vil blive slettet Da kortlægningen af organisationens indsamling og behandling af data danner grundlaget for at kunne iværksætte de korrekte foranstaltninger til overholdelse af forordningens regler, er det vigtigt, at kortlægningen bliver korrekt. Det betyder, at der bør afsættes god tid til kortlægningsprocessen, fordi denne vil kræve, at der stilles masser af spørgsmål til mange forskellige personer på tværs af hele organisationen, og at man gennem hele processen har for øje, at der er overensstemmelse mellem de svar, man får. Det kan anbefales, at virksomheden som en del af kortlægningsprocessen opbygger et såkaldt data map på baggrund af de oplysninger, der er blevet indsamlet. Dette data map bør opdateres regelmæssigt og mindst en til to gange om året. Et væsentligt punkt i kortlægningsprocessen vil være en kortlægning af de data, virksomheden indsamler og behandler omkring egne medarbejdere. Kapitel 6.1. Side 6/8. Oktober 2016
2. Få overblik over egne leverandører (databehandlere) Virksomheden er ikke kun ansvarlig for den behandling af personoplysninger, der foretages internt i organisationen, men også for den behandling, der sker hos eksterne leverandører (databehandlere, fx en lønadministrator). Reglerne i den nye persondataforordning medfører, at den dataansvarlige (typisk arbejdsgiveren) og databehandleren (typisk fx en lønadministrator) hæfter solidarisk over for de personer, der har lidt skade ved overtrædelse af forordningen. Derfor er det vigtigt, at virksomheden i forlængelse af datakortlægningsprocessen foretager en minutiøs gennemgang af, hvilke leverandører der er indgået aftaler med om behandling af personoplysninger i hele organisationen, fx cloudleverandører, outsourcing eller leverandører af internetbaserede personaleadministrationsværktøjer mv. Når virksomheden har fået et overblik over organisationens brug af databehandlere, bør kontrakterne med disse leverandører gennemgås med henblik på at identificere, om de pågældende aftaler lever op til de skærpede krav i forordningen. Når dette er afklaret, kan det være nødvendigt at igangsætte en genforhandlingsproces med visse leverandører, så det sikres, at kontrakten tager højde for de nye krav, som persondataforordningen indebærer, og dermed mindsker organisationens risikoeksponering ved brug af databehandlere. 3. Få overblik over egen dokumentation De skærpede dokumentationskrav i persondataforordningen betyder, at det blandt andet skal dokumenteres, hvorledes en række grundlæggende principper i forordningen er overholdt. Dette stiller væsentligt større krav til udarbejdelse af dokumentationen for forretningsprocesser, forretningsgange mv., end vi kender i dag. Det er derfor vigtigt at danne sig et overblik over, hvilken dokumentation der allerede findes i organisationen i dag, og om den er tilstrækkelig, eller om der eventuelt er behov for yderligere dokumentation på forskellige områder i organisationen. Er fx IT-sikkerheden blevet gennemgået og dokumenteret? Er der udarbejdet en beskrivelse for håndtering af eventuelle sikkerhedsbrister? Findes der en generel beskrivelse af organisationens sikring af de registreredes rettigheder, fx procesbeskrivelser for håndtering af indsigtsanmodninger, anmodninger om sletning eller berigtigelse fra de registrerede mv.? Kapitel 6.1. Side 7/8. Oktober 2016
4. Hvilke ændringer i persondataforordningen har størst betydning for virksomheden? Persondataforordningen indeholder mange krav, som i større eller mindre grad vil påvirke alle virksomheder og offentlige myndigheder i Danmark og resten af EU. Det er derfor vigtigt, at virksomheden får identificeret de områder, som har størst betydning for netop denne virksomhed. Dernæst kan virksomheden fokusere på at få sikret de områder, som har størst forretningsmæssig betydning og/eller medfører den største risikoeksponering. De indledende analyser, der er blevet udarbejdet for så vidt angår data, leverandører og dokumentation, vil kunne danne grundlag for at belyse, på hvilke områder virksomheden har den største risikoeksponering i forhold til den nye persondataforordning. Det er i denne proces også vigtigt at have for øje, hvordan de nyskabelser, forordningen medfører, kan påvirke salget af organisationens produkter, og om der tages specielle forholdsregler for at tilpasse produkterne og databehandlingen til de nye regler. Om forfatteren: Jeppe Høyer Jørgensen Hovedredaktør Jeppe Høyer Jørgensen er Partner hos LETT og er en af de førende specialister inden for arbejds- og ansættelsesret. Han har skrevet en række af de mest betydningsfulde bøger indenfor området ansættelsesret samt er en ofte anvendt foredragsholder og underviser på en række kurser indenfor området. Ligeledes har han lang erfaring i at rådgive multinationale og nationale virksomheder om alle problemstillinger inden for arbejds- og ansættelsesret; herunder om større omstruktureringer og transaktioner. Jeppe Høyer Jørgensen er desuden en del af LETTs persondatacompliance team. Kapitel 6.1. Side 8/8. Oktober 2016