HR og ansættelsesret - bliv skarp på, hvornår du kan behandle oplysninger om dine medarbejdere Advokat Sussi Skovgaard-Holm Advokatfuldmægtig Stine Kenneth Larsen Dansk Industri
Bliv skarp på, hvornår du kan behandle oplysninger om dine medarbejdere Rekrutteringsprocessen Det løbende ansættelsesforhold Efter ansættelsesforholdets ophør Oplysningspligt Indsigtsret 2
Behandlingsgrundlag før og efter forordningen Persondataloven Almindelige oplysninger Semifølsomme oplysninger Følsomme oplysninger Alle oplysninger, der ikke er semifølsomme eller følsomme oplysninger ( 6) Strafbare forhold, væsentlige sociale problemer og andre rent private forhold ( 8) Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Helbredsmæssige og seksuelle forhold ( 7) Persondataforordningen Alle oplysninger, der ikke er følsomme oplysninger (art. 6) N/A Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Genetiske data Biometrisk data 3 Helbredsoplysninger Fysisk persons seksuelle forhold eller seksuelle orientering (art. 9)
Generelt behandling af almindelige oplysninger Almindelige behandlingsprincipper skal overholdes ( 5/art. 5) Relevante behandlingsgrundlag for almindelige oplysninger om medarbejdere ( 6/ art. 6) Samtykke Opfyldelse af kontrakt Overholdelse af retlig forpligtelse Interesseafvejning Altid konkret vurdering 4
Generelt behandling af følsomme oplysninger Almindelige behandlingsprincipper skal overholdes ( 5/art. 5) Relevante behandlingsgrundlag for følsomme oplysninger om medarbejdere ( 7/ art. 9) Udtrykkeligt samtykke Overholdelse af arbejds-, sundheds- eller socialretlige forpligtelser og specifikke rettigheder Fastlægges af retskrav Altid konkret vurdering 5
Generelt - samtykke Persondataloven ( 3) Krav til samtykket: Frivilligt, specifikt og informeret Bevisbyrde: Påhviler den dataansvarlige Formkrav: Ingen dog anbefales skriftlighed Kan tilbagekalde samtykke Persondataforordningen (art.4/7) Krav til samtykket: Frivilligt, specifikt, informeret og utvetydigt + oplyses om, at samtykke kan tilbagekaldes Bevisbyrde: Påhviler den dataansvarlige Formkrav: Ingen dog på grund af bevisbyrde, anbefales skriftlighed Til enhver tid ret til at tilbagekalde samtykke 6
Rekrutteringsprocessen Krav efter persondataloven/persondataforordningen Krav efter den ansættelsesretlige lovgivning, fx. Helbredsoplysningslov Forskelsbehandlingslov 7
Rekrutteringsprocessen Hvilke oplysninger kan en arbejdsgiver behandle i forbindelse rekruttering? Almindelige stamoplysninger, så som Navn, adresse, telefonnummer, e-mail, fødselsdato, personnummer (OBS!), oplysninger om nærmeste familie (navn, adresse og lign.), herunder også oplysninger om registreret partnerskab, skattemæssige oplysninger, bankoplysninger, pensionsforhold, uddannelse, tidligere beskæftigelse og andre sædvanlige oplysninger fra et CV. Artikel 6, stk. 1, litra b + f 8
Rekrutteringsprocessen Hvilke oplysninger kan en arbejdsgiver behandle i forbindelse rekruttering? Personlighedstest? Helbredsoplysninger? Helbredsoplysningsloven Googling af ansøgere? Straffeattest? Referencer? Må man oplyse at en tidligere ansat muligvis har et alkoholmisbrug? 9
Rekrutteringsprocessen Opbevaring af oplysninger fra rekrutteringsprocessen Kandidater, der ansættes Kandidater, der får afslag Fortsat opbevaring af oplysninger kræver samtykke fra kandidaten 10
Det løbende ansættelsesforhold Hvilke oplysninger kan en arbejdsgiver behandle om en medarbejder under ansættelsesforholdet? Stamoplysninger om medarbejderen Herudover: Arbejdsopgaver Arbejdstider og andre tjeneste forhold Løn og skat Sygefravær og sygdomsperioder Oplysninger om andet fravær Tjenstlige forseelser og advarsler Personalebedømmelser Artikel 6, stk. 1, nr. b, c + f 11
Det løbende ansættelsesforhold Kontrolforanstaltninger indebærer normalt behandling af personoplysninger, så som Registrering af medarbejdernes arbejdstid eller fysiske placering via GPS Alkoholtest og/eller narkotest Kontrol af e-mail og logning af brug af internettet TV-overvågning Stempelur eller registrering af adgangskort (indstempling og udstempling) Både persondataloven/persondataforordningen og de ansættelsesretlige regler om iværksættelse af kontrolforanstaltninger skal overholdes, fx DA/LO aftalen om kontrolforanstaltninger 12
Det løbende ansættelsesforhold Offentliggørelse af oplysninger om virksomhedens medarbejdere på hjemmeside: Navn? Arbejdstelefonnummer? Arbejds-email? Privat telefonnummer? Privat adresse? Billeder af de ansatte? Intranet Hjemmeside 13
Det løbende ansættelsesforhold Hvad med følsomme oplysninger, som en arbejdsgiver måtte få om en medarbejder under ansættelsesforholdet? Oplysning om fagforeningsmæssige tilhørsforhold? Helbredsoplysninger? 14
Efter ansættelsesforholdets ophør Oplysninger om baggrund for ansættelsesforholdets ophør Henvendelser vedrørende referencer om tidligere medarbejdere Samtykke 15
Efter ansættelsesforholdets ophør Hvor længe kan du som arbejdsgiver opbevare oplysninger om en tidligere medarbejder? Så længe det er sagligt og relevant.. Fastsæt procedure herfor Som udgangspunkt op til 5 år efter fratræden 16
Oplysningspligten Arbejdsgiver skal oplyse medarbejderen om, hvilke oplysninger der behandles om medarbejderen, hvordan de behandles og af hvem Fx oplysning om hvilke stamoplysninger, der registreres Fx oplysning om hvilke lønbureau I anvender i forbindelse med lønudbetaling Fx logning/registrering af internetbrug Fx logning af e-mails Fx elektronisk nøglekort Retsgrundlaget for behandlingerne skal fremgå inklusiv hensyn bag interesseafvejning Det kan opfyldes via politik/oplysningsfolder til medarbejderne 17
Indsigtsretten En medarbejder har ret til at få indsigt i, hvilke oplysninger ens arbejdsgiver har registreret om én Fx oplysninger om ens personalesag Fx e-mailkorrespondance med kunder eller lign. Fx logning af elektronisk nøglekort Overvej intern procedure for anmodninger om indsigt for at sikre overholdelse af frister 18
Databeskyttelsesrådgiverens ansættelsesretlige status En ny type beskyttet medarbejder? NEJ! Det følger af persondataforordningens art 38, at den pågældende ikke må afskediges eller straffes for at udføre sine opgaver Artikel 29-gruppens guidelines Hvis I kalder en ansat DPO, skal de beskyttes som en DPO 19
Hvad rådgiver DI personalejura om? Vi rådgiver om persondataretten, når det er nært tilknyttet til ansættelsesretten. Det vil sige: Udveksling af oplysninger i forbindelse med rekruttering af medarbejdere Opsigelse og bortvisning Kontrolforanstaltninger Fagforbunds anmodning om oplysninger om medarbejdere Medarbejderes indsigtsret i egne oplysninger Vilkår for ansatte databeskyttelsesrådgivere 20
Hvad rådgiver DI personalejura om? Vi rådgiver eksempelvis ikke om følgende: B2B (business to business), herunder databehandleraftaler Generelle privatlivspolitikker Hvornår der er pligt til at have en databeskyttelsesrådgiver (DPO) Dokumentationskrav og it-sikkerhed Generelle samarbejdskontrakter Kunder og andre samarbejdspartneres anmodninger om eller brug af personoplysninger 21
Andre tilbud fra DI Nyt site: DI.dk/personforordningen Medlemsmøder rundt i landet: Mandag den 21. august 2017 Tirsdag den 22. august 2017 Onsdag den 23. august 2017 Torsdag den 24. august 2017 Aalborg og Aarhus Herning og Sønderborg Rønne Ringsted og Middelfart 22