GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

ARBEJDSDOKUMENT - GDPR

Rekrutteringssystemer og færdighedsdatabaser

Det er almindeligt, at arbejdsgivere behandler personoplysninger, når de ansætter personale. Det samme gælder brugen af kompetencedatabaser.

Anvendelse af rekrutteringssystemer og færdighedsdatabaser

Det er vigtigt at huske ikke at behandle flere personoplysninger end nødvendigt til formålet. Derudover er det vigtigt at slette eller anonymisere personoplysningerne, når det ikke længere er nødvendigt at behandle dem til det formål, hvortil de blev indsamlet.

I nogle tilfælde kan det også være hensigtsmæssigt at foretage en konsekvensanalyse vedrørende databeskyttelse, inden den planlagte behandling foretages.

What breaches of the GDPR can lead to an administrative fine?

Undgå samtykke

Samtykke (artikel6, stk. 1, litra a), i GDPR) er ikke altid et passende eller tilladt retsgrundlag for at understøtte en behandling. Dette gælder bl.a., når magtforholdet mellem den registrerede og den dataansvarlige ikke er det samme. For eksempel mellem en arbejdsgiver og en medarbejder eller mellem en myndighed og borgere. Det kan dog være tilladt og hensigtsmæssigt i nogle tilfælde, f.eks. hvis medarbejderen ønsker at tage en personlighedstest. 

Retsgrundlag for behandling af personoplysninger i forbindelse med rekruttering

Det retsgrundlag, som arbejdsgiveren kan anvende til behandling af personoplysninger i forbindelse med ansættelse, er forskelligt, afhængigt af om arbejdsgiveren er en privat virksomhed eller en offentlig myndighed. 

Sensitive personal data according to GDPR

Almennyttige hensyn

Hvis arbejdsgiveren er en offentlig myndighed, anvender vedkommende normalt retsgrundlaget for udøvelsen af offentlig myndighed og opgaver i samfundets interesse (artikel 6, stk. 1, litra e), i GDPR). Offentlige myndigheder kan ikke anvende legitime interesser som retsgrundlag for udøvelsen af deres offentlige beføjelser.

What is the definition of anonymised data?

Legitim interesse

Det er almindeligt at anvende retsgrundlaget legitim interesse (artikel 6, stk. 1, litra f), i GDPR), når en arbejdsgiver ansætter personale, hvis det er en privat virksomhed. Legitim interesse betyder, at virksomheden har afvejet interesserne og konkluderet, at deres interesse i at udføre behandlingen vejer tungere end den registreredes interesser og rettigheder.

Informere de registrerede om behandlingen af deres personoplysninger

En arbejdsgiver underretter de registrerede om behandlingen af deres personoplysninger. I dette tilfælde skal arbejdsgiverens ansatte betragtes som en kategori af registrerede i henhold til databeskyttelsesforordningen.  

Medarbejderne har f.eks. ret til at vide, hvorfor arbejdsgiveren behandler deres personoplysninger, og på hvilket retsgrundlag arbejdsgiveren støtter behandlingen. Derudover skal de informeres om deres rettigheder i henhold til GDPR.

Hvornår skal en arbejdsgiver informere medarbejderne om behandlingen?

En arbejdsgiver underretter de registrerede om behandlingen af deres personoplysninger. I dette tilfælde skal de ansatte som ansatte hos arbejdsgiveren betragtes som en kategori af registrerede i henhold til databeskyttelsesforordningen.  

Medarbejderne har f.eks. ret til at vide, hvorfor arbejdsgiveren behandler personoplysningerne, og på hvilket retsgrundlag arbejdsgiveren støtter behandlingen. Derudover vil de blive informeret om deres rettigheder i henhold til GDPR. 

Artikel 13 i GDPR

I nogle tilfælde kan arbejdsgiveren have direkte adgang til medarbejderens personoplysninger. Dette gælder for databeskyttelsesforordningens artikel 13. I sådanne tilfælde skal arbejdsgiveren underrette de ansatte senest, når personoplysningerne indsamles.

Artikel 14 i GDPR

Denne gang adskiller sig fra, når arbejdsgiveren i stedet indsamler personoplysningerne fra en anden kilde. I sådanne tilfælde finder databeskyttelsesforordningens artikel 14 anvendelse. I sådanne tilfælde skal de ansatte underrettes om behandlingen inden for en rimelig frist, dog senest en måned efter behandlingen. Hvis personoplysningerne skal anvendes til kommunikation med den registrerede, skal oplysningerne dog gives senest på tidspunktet for den første kommunikation med den registrerede. Hvis arbejdsgiveren har til hensigt at videregive oplysningerne til en anden modtager, skal oplysningerne om behandlingen gives senest, når personoplysningerne videregives for første gang.

Anvendelse af rekrutteringssystemer ved rekruttering af nye medarbejdere til virksomheden

Det er almindeligt for arbejdsgivere at bruge et rekrutteringssystem, når de rekrutterer nye medarbejdere til virksomheden. Det gælder både intern og ekstern rekruttering. Bemærk, at det ikke er tilladt at behandle flere personoplysninger end nødvendigt for formålet med behandlingen. Det er med andre ord ikke tilladt at behandle flere personoplysninger end nødvendigt for at kunne vurdere, om en person er egnet til tjenesten eller ej. 

Virksomhederne bør derfor være opmærksomme på ikke at få for vidtgående behandling for den specifikke tjeneste. Arbejdsgiveren bør f.eks. undgå at behandle oplysninger, der er følsomme over for privatlivets fred. Eksempler på oplysninger, der er følsomme over for privatlivets fred, er oplysninger om lovovertrædelser. Desuden bør virksomheden ikke behandle følsomme personoplysninger i henhold til GDPR, når den rekrutterer, men der er undtagelser. Det kan f.eks. være relevant for en fødevarevirksomhed at vide, om medarbejderne har relevante allergier. Oplysninger om allergier er følsomme personoplysninger i henhold til artikel 9 i GDPR, da de udgør oplysninger om en persons helbred. 

Hvis et job indebærer et højt ansvarsniveau, f.eks. økonomisk eller sikkerhedsmæssigt, kan det være mere hensigtsmæssigt at anmode om mere omfattende oplysninger om de potentielle medarbejdere, end hvis personen arbejder i kundeservice med enklere administrative opgaver.

Frist for behandling af personoplysninger i forbindelse med rekruttering

I henhold til den generelle regel i GDPR skal virksomheder slette personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. Det kan dog være nødvendigt for virksomheden at gemme visse data længere, hvis dette er nødvendigt for at overholde anden gældende lovgivning. F.eks. er virksomhederne ofte nødt til at opbevare fakturaer og kvitteringer i et vist antal år i henhold til deres nationale regnskabslovgivning. 

Når en arbejdsgiver skal ansætte en person, behandler de som regel personoplysninger som f.eks. navne, notater fra samtalen, eventuelle referencer osv. Personoplysningerne skal slettes, når de ikke længere er nødvendige for ansøgningsprocessen. Virksomheden kan dog opbevare personoplysninger, så længe medarbejderen kan anlægge sag mod virksomheden. Hvis personen f.eks. kan klage over et afslag på en tjenesteydelse.

Bemærk, at virksomheder kan vælge at afidentificere personoplysningerne i stedet for at slette dem.

Fortsæt med at gemme personoplysninger i en kandidatpulje med henblik på fremtidig rekruttering

En arbejdsgiver kan finde det nyttigt at gemme jobsøgendes personoplysninger i en kandidatpulje med henblik på fremtidig rekruttering. På den anden side er det ikke tilladt at påberåbe sig retsgrundlaget for en legitim interesse. I sådanne tilfælde skal arbejdsgiveren i stedet indhente gyldigt samtykke fra den jobsøgende. 

Behandle personoplysninger i færdighedsdatabaser som arbejdsgiver

En virksomhed kan have en legitim interesse i at behandle personoplysninger i kompetencedatabaser til intern rekruttering. For eksempel, hvilken uddannelse medarbejderen har gennemført, eller hvilken erfaring de har fra tidligere arbejdsliv. Derudover kan virksomheden have behov for at behandle resultaterne af forskellige personlighedstest eller lignende, som medarbejderen har taget. Bemærk venligst, at sådanne personoplysninger er følsomme over for privatlivets fred og derfor underlagt strengere regler i henhold til GDPR. 

Konsekvensanalyse vedrørende ansættelse

Virksomheder, der er dataansvarlige, kan være nødt til at foretage en konsekvensanalyse, inden de begynder at behandle personoplysninger. Her er to eksempler på, hvornår en arbejdsgiver skal foretage en konsekvensanalyse: 

Subjektivt integritetskänsliga personuppgifter

Baggrundskontrol

Om en arbejdsgiver har til hensigt at foretage baggrundskontrol af ansatte eller potentielle ansatte forud for ansættelsen.

Measures that companies need to take to comply with GDPR

Kompetencedatabaser

Hvis et rekrutteringsfirma opretter en færdigheds- eller kandidatdatabase.

Mere info om GDPR i arbejdstjenesten

Arbejdsgivernes brug af biometriske data

Biometriske data er følsomme personoplysninger. Behandlingen af sådanne oplysninger er således forbudt i henhold til den generelle regel i databeskyttelsesforordningens artikel 9, men der er undtagelser. Eksempler på biometriske data er ansigtsgenkendelse og aflæsning af fingeraftryk. For eksempel kan en arbejdsgiver have en stærk grund til at bruge ansigtsgenkendelse af sikkerhedsmæssige årsager, og dette kan tillades i sådanne tilfælde. Vær opmærksom på, at en arbejdsgiver ikke bør bruge samtykke som retsgrundlag for behandling af biometriske data, da der er et ulige magtforhold mellem arbejdsgiver og medarbejder. 

Vil du lære mere?

Læs mere
Scroll to Top