GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Arbejdsbestemmelser

Arbejdsgivere har et ansvar, når de behandler personoplysninger

Arbejdsgivere har et ansvar for behandlingen af personoplysninger i henhold til GDPR (GDPR). Arbejdsgiverne skal bl.a. sikre, at deres behandling af medarbejdernes personoplysninger sker korrekt. Arbejdsgivere skal behandle deres ansattes personoplysninger for at opfylde deres forpligtelser i henhold til arbejdsretten. 

Hvem er den dataansvarlige?

Arbejdsgiveren er dataansvarlig for personoplysninger i forbindelse med behandling af sine medarbejderes personoplysninger. Det er således ikke en leder eller en anden person i virksomheden, der har rollen som »dataansvarlig«, men virksomheden som organisation. Enkeltpersoner kan dog være dataansvarlige i visse tilfælde. For eksempel, hvis en person udfører en individuel forretningsaktivitet. 

Er det almindeligt for arbejdsgivere at behandle følsomme personoplysninger om deres medarbejdere?

Ja, det er almindeligt, at arbejdsgivere behandler forskellige kategorier af følsomme personoplysninger i deres ansattes arbejdsliv. Eksempler på følsomme personoplysninger i henhold til artikel 9 i GDPR er sundheds- og fagforeningsdata. 

What breaches of the GDPR can lead to an administrative fine?

Hvilke typer følsomme personoplysninger behandler arbejdsgivere normalt?

Arbejdsgivere behandler normalt oplysninger om deres ansattes helbred, f.eks. når arbejdsgiveren behandler oplysninger om ansattes sygefravær. Desuden er det almindeligt at medtage sådanne oplysninger på lønsedlen. Det er vigtige oplysninger, der påvirker størrelsen af lønnen. 

Sikker og tryg arbejdsplads ved lov

Desuden er det vigtigt, at arbejdsgiverne sikrer en tryg og sikker arbejdsplads i henhold til loven, som er egnet og tilpasset medarbejdernes eventuelle særlige behov. For eksempel kan en medarbejder informere deres arbejdsgiver om deres mulige handicap eller diagnoser. Disse er eksempler på følsomme personoplysninger, som arbejdsgiveren kan have brug for at behandle i overensstemmelse med GDPR, herunder enhver anden gældende arbejdsret. 

Bemærk venligst, at opbevaring og overførsel af følsomme personoplysninger kræver højere sikkerhed end behandling af andre kategorier af personoplysninger. Derfor bør arbejdsgiveren f.eks. aldrig e-maile en lønseddel, der ikke er krypteret, hvis den indeholder helbredsoplysninger, f.eks. sygefravær.

Hvad er arbejdsgivernes ansvar, når de behandler personoplysninger i henhold til GDPR?

Arbejdsgivere skal sikre, at behandlingen af personalets personoplysninger udføres i overensstemmelse med reglerne i GDPR. Det betyder blandt andet, at arbejdsgiveren har pligt til at informere medarbejderne om behandlingen af deres personoplysninger. De oplysninger, der skal videregives, er nærmere reguleret i databeskyttelsesforordningens artikel 13 og 14. Oplysningerne kan med fordel udarbejdes skriftligt i en særlig meddelelse om beskyttelse af personlige oplysninger, der er beregnet til medarbejdere. Dette skal dog ikke offentliggøres på arbejdsgiverens hjemmeside, men kan i stedet offentliggøres eller deles internt direkte til kun de ansatte.  

Når en arbejdsgiver behandler de ansattes personoplysninger, skal de ansatte anses for at være registreret i henhold til GDPR. De har således forskellige rettigheder, som arbejdsgiveren er forpligtet til at give efter anmodning. F.eks. retten til indsigt og retten til berigtigelse af deres personoplysninger, som behandles af arbejdsgiveren. 

Derudover kan arbejdsgiveren være ansvarlig for enhver skade forårsaget af behandlingen i overensstemmelse med databeskyttelsesforordningens artikel 82, hvis behandlingen foretages i strid med databeskyttelsesforordningens bestemmelser.

Medarbejdere, der arbejder hjemmefra

Uanset om medarbejderne arbejder fra et fysisk kontor eller hjemmefra, skal arbejdsgiveren overholde reglerne i GDPR.  Såsom et tilstrækkeligt højt sikkerhedsniveau, et klart formål med hver enkelt behandling af personoplysninger, opfyldelse af de registreredes rettigheder og sletning af personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. 

Arbejdsgiveren skulle betale en bøde for kameraovervågning af medarbejdere på upassende steder

En arbejdsgiver modtog en bøde på 5 000 000 ISK fra den islandske databeskyttelsesmyndighed efter at have haft kameraovervågning på det sted, hvor medarbejderne skiftede. Det vil sige i personalets omklædningsrum. Desuden havde virksomheden ikke opfyldt sine forpligtelser til at informere personalet herom. Medarbejderne havde heller ikke andet sted at tænde, der ikke var kamerabevogtet. Den islandske databeskyttelsesmyndighed beordrede virksomheden til at indstille kameraovervågningen. Desuden blev de beordret til at slette alle indspillede film. 

Arbejdsgivere kan overlade udførelsen af behandlingen, men ikke ansvaret for behandlingen

I henhold til GDPR kan dataansvarlige aldrig overføre det faktiske ansvar for behandlingen. Det er dog muligt at overføre udførelsen af selve behandlingen til en anden. I sådanne tilfælde er den virksomhed, der behandler personoplysninger på vegne af den anden virksomhed, en databehandler. 

For eksempel kan en arbejdsgiver ansætte et revisionsfirma til at tage sig af alt relateret til administration og betaling af lønninger i virksomheden. I dette tilfælde er arbejdsgiveren den dataansvarlige, og regnskabskontoret behandler personoplysninger om arbejdsgiverens ansatte som arbejdsgiverens ansatte persondatabehandler. 

Bemærk, at dataansvarlige og databehandlere skal indgå en skriftlig databehandleraftale med hinanden. Dette er et krav i henhold til artikel 28 i GDPR. 

Mere info om personlige oplysninger i tjenesten

Behandling af personoplysninger i forbindelse med rekruttering og i kompetencedatabaser

Når en virksomhed rekrutterer medarbejdere, behandler de som regel personoplysninger i forbindelse med rekrutteringsprocessen. Derudover er det ikke ualmindeligt at bruge kompetencedatabaser i både ekstern og intern rekruttering, og dermed også til at behandle personoplysninger. Det er vigtigt ikke at behandle flere personoplysninger end nødvendigt med henblik på rekruttering. Virksomheder skal også slette personoplysningerne, når de ikke længere er nødvendige til formålet. Legitim interesse er normalt et passende retsgrundlag for at understøtte behandlingen. Samtykke er derimod normalt ikke hensigtsmæssigt at bruge, da magtforholdet ikke er lige mellem jobsøgende og arbejdsgivere.

Vil du lære mere?

Læs mere
Scroll to Top