Det kan godt være lidt en jungle at holde styr på, hvordan I håndterer medarbejder oplysningerne helt korrekt og sikkert i virksomheden. Men med gode arbejdsgange og et fornuftigt system så er det faktisk ikke så svært.

GDPR-lovgivningen er lavet for, at I kan vide, hvad I må og ikke må, samt hvordan I gør. Sørg for at have tydelige processer fra start til slut og følg reglerne på området, så er du sikker på at det hele sker korrekt.
Er du ikke helt inde i GDPR-lovgivningen endnu, så læs med her. Vi guider dig til, hvad du som minimum skal vide.

 

Lovligt behandlingsgrundlag

Der bliver typisk håndteret data om personer i tre tilfælde.

  • Før ansættelse, f.eks. ansøgninger, cv’er osv.
  • Under ansættelse, alt fra kontonummer til registrering af sygefravær
  • Efter ansættelse

Lige meget hvilken type oplysninger I behandler, så skal I have det der hedder et lovligt behandlingsgrundlag. Inden for GDPR er der typisk 6 typer af behandlingsgrundlag, og I skal huske at dokumentere, hvilken af de 6 typer behandlingen hører ind under.
I nogle tilfælde kræver behandling grundlaget også, at I overholder jeres oplysningspligt. F.eks. hvis I logger e-mails, så skal medarbejderen have besked om hvordan og hvorfor.

 

Metodisk sletning

En mindst lige så vigtig del af GDPR-lovgivningen, og korrekt opbevaring af persondata, er metodisk sletning.

Ifølge loven må I kun opbevare oplysninger om en person, så længe det er nødvendigt. Det kan selvfølgelig på mange måder være et fortolkningsspørgsmål, men under alle omstændigheder, er det vigtigt at have et system, der kan hjælpe dig med at håndtere, at alle data bliver slettet korrekt.

Virksomheden skal have tydelige og skriftlige procedurer for dette. Derudover skal virksomheden også overholde den enkelte persons “ret til at blive glemt”. Det vil sige, at man skal slette alle oplysninger om en person på personens anmodning.

 

Følsomme og ikke følsomme personoplysninger

I opbevaring og håndtering af medarbejderoplysninger skelnes der mellem to typer.
Den første kræver ingen samtykke fra medarbejderen, men det gør den anden.
Oplysninger der ikke kræver samtykke (Ikke-følsomme oplysninger):

  • Navn
  • Adresse
  • Telefonnummer
  • Fødselsdato
  • Familieforhold
  • Kontonummer
  • Skatte- og gældsoplysninger
  • Løn
  • Registrering om arbejdstider, fravær og sygedage

Oplysninger der kræver samtykke (Følsomme personoplysninger):

  • CPR
  • Helbredsforhold
  • Straffeattest
  • Personlighedstest
  • Oplysning om race eller etnisk baggrund
  • Oplysninger om politiske, religiøse eller andre overbevisninger
  • Seksuelle forhold

Derudover kræver det et samtykke, hvis du vil offentliggøre et billede af medarbejderen f.eks. på virksomhedens hjemmeside, eller hvis I opbevarer oplysninger om væsentlige sociale problemer.

 

Andre GDPR principper

Når du skal overholde GDPR og altså håndtere medarbejdernes oplysninger korrekt, så er der lavet en række principper i GDPR, ovenfor har vi været igennem 3 af dem.

Derudover skal du sørge for at:

  • Alle data, der er opbevaret, er korrekte, og overholde at den enkelte person har ret til at få disse ændret, såfremt der er fejl.
  • At data er opbevaret sikkert og forsvarligt, så kun relevante personer har adgang hertil.
  • Tildele ansvaret for GDPR og korrekt håndtering af medarbejderoplysninger, samt sørge for at have skriftlige procedurer herfor.