Meddelelse
Behandling af personoplysninger i HR-arbejde
Virksomheder udfører normalt behandling af personoplysninger i forbindelse med HR-arbejde. Alt fra ansættelse, under ansættelsen til efter ansættelsens ophør.
Eksempler på behandling af personoplysninger i HR-arbejde
De fleste virksomheder skal behandle personoplysninger i deres HR-arbejde. For eksempel navne, kontaktoplysninger, bankkontooplysninger og lignende af medarbejderne. Derudover kan der være andre regler end GDPR, der kræver, at arbejdsgiveren gemmer visse personoplysninger om medarbejderne. F.eks. ved opgørelse af arbejdsgiverbidrag.
Retsgrundlag, der kan være hensigtsmæssige at anvende i forbindelse med HR-arbejde
Kontrakter med registrerede
Mange personoplysninger, som arbejdsgiveren behandler om sine medarbejdere, understøttes af den juridiske basiskontrakt med registrerede.
Legitim interesse
I nogle tilfælde kan arbejdsgiveren have en legitim interesse i at behandle nogle af de ansattes personoplysninger i HR-arbejdet. Husk, at arbejdsgiveren i sådanne tilfælde skal foretage en interesseafvejning for at se, om arbejdsgiverens interesser opvejer medarbejderens.
Retlig forpligtelse
Juridisk forpligtelse betyder, at det er reguleret i en anden lov eller forordning, at arbejdsgiveren skal behandle visse personoplysninger om medarbejderne. F.eks. data om sygefravær, til indberetning af arbejdsgiverbidrag eller lignende.
Vær opmærksom på, at samtykke ofte er et uhensigtsmæssigt retsgrundlag for arbejdsgivere at bruge, da der er et ulige magtforhold mellem arbejdsgiver og medarbejder. Dette gælder også for rekruttering, hvor magtforholdet er ulige mellem arbejdsgiver og jobsøgende.
Kan arbejdsgivere behandle følsomme personoplysninger i deres HR-arbejde?
Den generelle regel forbyder behandling af følsomme personoplysninger i henhold til GDPR, men der er undtagelser. Arbejdsgivere behandler normalt følsomme personoplysninger, der tilhører medarbejderne, og dette kan være tilladt i nogle tilfælde. Det er dog vigtigt at huske på, at reglerne er strengere. Arbejdsgiveren skal f.eks. træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysningerne, og kravene er højere ved behandling af følsomme personoplysninger.
Arbejdsgivere behandler normalt sundhedsdata
En arbejdsgiver skal normalt behandle data om sundhed, såsom sygefravær, mulige allergier eller andre data om sundhed, der kan være nødvendige for at behandle. Husk f.eks., at en arbejdsgiver ikke bør sende lønsedler med oplysninger om sygefravær eller andre følsomme personoplysninger via ukrypteret e-mail, da det ikke anses for at være sikkert nok.
Kan arbejdsgiveren tillade, at en databehandler håndterer behandlingen?
Ja, der er ingen regler, der forbyder en arbejdsgiver at ansætte en anden virksomhed til at udføre en del af eller hele HR-arbejdet. For eksempel, hvis en virksomhed ansætter et revisionsfirma til at styre lønningslisten for sine medarbejdere. I sådanne tilfælde er regnskabskontoret databehandler for behandlingen. Bemærk dog, at det ikke er muligt at overføre det faktiske persondataansvar for behandlingen, men kun den praktiske udførelse af behandlingen.
Arbejdsgivere, der behandler subjektivt privatlivsfølsomme data, f.eks. i deres arbejde med udvikling af færdigheder
Det er vigtigt at huske på, at noter, der omhandler medarbejdernes kompetence, kan være subjektivt privatlivsfølsomme data. Disse personoplysninger skal derfor behandles med begrænsninger og tilstrækkelig sikkerhed, da det kan have store konsekvenser for medarbejderne, hvis de lækker via et brud på persondatasikkerheden. Bemærk, at det bør være klart, hvornår disse personoplysninger slettes.
Færdighedsudvikling, der omfatter profilering og automatiserede beslutninger
GDPR regulerer, hvordan virksomheder kan arbejde med profilering og automatiserede beslutninger. Det er ikke altid let at overholde GDPR, når man bruger systemer, der leverer kompetenceudviklingstjenester og omfatter profilering og automatiserede beslutninger. Værktøjerne skal f.eks. gøre det muligt for den dataansvarlige at overholde kravene vedrørende registreredes rettigheder, såsom retten til information, berigtigelse osv.
Hvordan virksomheder skal gøre trin for trin i deres HR-arbejde i overensstemmelse med GDPR
Formål
Virksomheder skal altid have et formål med hver enkelt behandling. Med andre ord et formål med behandlingen. For eksempel at behandle visse personoplysninger for at kunne betale løn.
Retsgrundlag
Når virksomheden kender formålet med behandlingen, kan virksomheden vælge et passende retsgrundlag. Vær opmærksom på, at samtykke normalt er et uhensigtsmæssigt retsgrundlag i HR-arbejde, da magtforholdet mellem arbejdsgiver og medarbejder ikke er det samme.
Overførsel til tredjemand
Hvis virksomheden overfører personoplysningerne til en tredjepart, skal de registrerede underrettes herom. Et eksempel på en overførsel til en tredjepart er, hvis virksomheden ansætter et revisionsfirma til at håndtere lønningslisten.
Udtynding
Virksomheder skal slette personoplysningerne, når de ikke længere er nødvendige for formålet med behandlingen. Dette gælder også for personoplysninger, der behandles som led i HR-arbejde.
Udarbejde skriftlige instrukser til medarbejderne
Det er medarbejderne i virksomheden, der i praksis arbejder med problemstillinger relateret til GDPR. For eksempel, når en leder modtager en jobansøgning fra en person. I sådanne tilfælde er det en behandling af personoplysninger, og derefter skal lederen vide, hvordan man går korrekt. Derfor er det godt at udarbejde skriftlige instrukser for, hvordan medarbejderne skal forholde sig, når de behandler personoplysninger i deres daglige arbejde.
Lagrede personoplysninger om en medarbejder længe efter ansættelsens ophør
En virksomhed i Finland/Sverige (Viking Line) skulle betale en bøde, bl.a. efter at de havde fortsat med at opbevare personoplysninger i lang tid efter ansættelsens ophør. Desuden omfattede det behandling af følsomme personoplysninger.
Behandling af personoplysninger i forbindelse med rekruttering
Virksomheder har normalt brug for at behandle personoplysninger, når de rekrutterer personale, såsom kontaktoplysninger. Dette gælder også for personer, der ikke nødvendigvis får et job. Dette udgør en behandling af personoplysninger, og derfor skal GDPR tages i betragtning i processen.
Forskellige ting at overveje, når man behandler personoplysninger, når man rekrutterer personale
Her er nogle ting, der er vigtige at huske på, når virksomheder behandler personoplysninger, når de rekrutterer personale:
Ret til indsigt
Registrerede har ret til at få adgang til oplysninger i overensstemmelse med GDPR. Med andre ord retten til at vide, hvilke personoplysninger om den registrerede, som virksomheden behandler, hvor længe behandlingen finder sted, hvilke rettigheder den registrerede har osv. Retten til indsigt gælder også for rekruttering. Hvis en virksomhed har oprettet en side på hjemmesiden, hvor ansøgere kan indtaste deres kontaktoplysninger og vedhæfte deres CV, skal de informere om behandlingen i forbindelse med indsamlingen af oplysningerne. Dette gøres normalt i en meddelelse om beskyttelse af personoplysninger, som ansøgeren kan læse, inden vedkommende indsender oplysningerne.
Automatiserede ansættelsesbeslutninger
Det kan være ulovligt for en virksomhed at bruge automatiserede beslutninger, når de rekrutterer. Hvis testning i forbindelse med rekruttering f.eks. indebærer profilering, er der flere spørgsmål, der skal overvejes, f.eks. at samtykke ikke er et passende retsgrundlag.
Straffeattestudskrift
Oplysninger om lovovertrædelser udgør en særlig kategori af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 10, hvilket bl.a. betyder, at de skal behandles med større sikkerhed end »almindelige personoplysninger«. I nogle erhverv er det et krav, at arbejdsgiveren anmoder om oplysninger herom, og i sådanne tilfælde er retsgrundlaget for behandlingen en retlig forpligtelse. Det gælder f.eks. politibetjente og skolepersonale. På den anden side er der virksomheder, der anmoder om en straffeattest, selv om der ikke er noget lovkrav, og i sådanne tilfælde er reglerne strenge.
Ikke tilladt med "sortlister"
Det er ikke tilladt at oprette et register over personer, der ikke er eftersøgte, de såkaldte "sorte lister". I nogle tilfælde kan ledere oprette sådanne lister for at forsøge at strømline deres arbejde i rekruttering, men dette er forbudt.
Indgå en persondatabehandleraftale, hvis en anden virksomhed håndterer rekrutteringen
Det er ikke ualmindeligt, at virksomheder ansætter andre virksomheder til at administrere rekrutteringen af personale. Det er vigtigt at huske på, at rekrutteringsvirksomheden i sådanne tilfælde er databehandler, og at der skal indgås en skriftlig databehandleraftale mellem parterne i overensstemmelse med databeskyttelsesforordningens artikel 28.
Der er som regel mange forskellige former for behandling af medarbejdernes personoplysninger inden for ansættelsesperioden.
Behandling af personoplysninger under ansættelsen
Der er som regel mange forskellige former for behandling af medarbejdernes personoplysninger inden for ansættelsesperioden.
Oplysning om behandling af personoplysninger i ansættelseskontrakter
I ansættelseskontrakter er det godt at henvise til en særskilt databeskyttelsesmeddelelse, der er specielt udviklet til medarbejdere, og som beskriver, hvilken behandling af personoplysninger om medarbejderen der finder sted.
Retsgrundlag, der kan være passende for behandling under ansættelsen
Her er tre retsgrundlag, der kan være passende for virksomheder at støtte behandlingen af personoplysninger, når det drejer sig om medarbejdere inden for ansættelsesperioden.
Kontrakter med registrerede
Ansættelseskontrakten kan udgøre et retsgrundlag for de behandlingsaktiviteter, der er nødvendige for udførelsen af personens opgaver. For eksempel behandling af fornavn og efternavn for at oprette en arbejdsrelateret e-mailadresse til medarbejderen. Bemærk dog, at det kan være vanskeligt at anvende en ansættelseskontrakt som retsgrundlag, hvis formålet med behandlingen er uklart.
Legitim interesse
En arbejdsgiver kan have en legitim interesse i at behandle visse personoplysninger om medarbejdere. Virksomheden skal dog først foretage en konsekvensanalyse for at bevise dette. Et eksempel på, hvornår det kan være hensigtsmæssigt, er, hvis et mæglerfirma offentliggør et billede af en salgsvare og et profilbillede af mægleren på virksomhedens sociale medier.
Retlig forpligtelse
Der er flere love, der regulerer behandlingen af personoplysninger af medarbejdere. Virksomheder skal f.eks. behandle personoplysninger om medarbejderes sygefravær, indberette arbejdsskader og lignende. Når en behandling foretages for at overholde bestemmelserne i en anden lov, er retsgrundlaget en retlig forpligtelse.
Vær opmærksom på, at samtykke normalt er et upassende retsgrundlag at bruge, da der er et ulige magtforhold mellem arbejdsgiveren og medarbejderen.
Fortsætte med at behandle personoplysninger efter ansættelsen
Det kan være muligt for en virksomhed at behandle personoplysninger selv efter ansættelsen. For eksempel for at arbejdsgiveren skal være en fremtidig henvisning til personen.
Fremtidig henvisning - samtykke kan være hensigtsmæssigt
Som tidligere nævnt er samtykke ikke hensigtsmæssigt, når magtforholdet mellem parterne er ulige. Hvis en person holder op med at arbejde for en virksomhed, er de ikke længere ansat. Det kan være i den registreredes interesse, at visse oplysninger stadig behandles af den tidligere arbejdsgiver. F.eks. oplysninger om ydeevne, præstationsvurderinger eller lignende, der kan danne grundlag for en fremtidig reference. På den anden side er det ikke nødvendigt, at virksomheden fortsætter med at behandle disse oplysninger, hvis den tidligere ansatte ikke ønsker at gøre det. Derfor kan det være nyttigt at indhente samtykke, når personen ophører, at virksomheden kan fortsætte med at behandle disse og informere personen om, at de kan anmode om at få dem slettet i fremtiden.
Der kan være andre love, der kræver yderligere behandling.
Der kan være andre love end GDPR, der kræver, at virksomheder behandler personoplysninger i en vis periode, selv efter ansættelsens ophør, såsom at skulle gemme lønsedler i overensstemmelse med skatte- eller regnskabslovgivningen. Hvis fortsat behandling er påkrævet ved lov, er retsgrundlaget for fortsat behandling en retlig forpligtelse. Bemærk venligst, at personoplysningerne i sådanne tilfælde skal opbevares på et sted, der er adskilt fra andre personoplysninger, der anvendes i det daglige arbejde. For eksempel i arkiverede og adgangskodebeskyttede digitale mapper, der er gemt på et separat lagerområde.
Mere om GDPR
Regler for behandling af personoplysninger på sociale medier
Der er mange virksomheder, der behandler personoplysninger på sociale medier og mener, at de ikke har noget ansvar for behandling der, da det ikke er deres platform. Dette er imidlertid ikke altid tilfældet. I nogle tilfælde kan en virksomhed have fælles dataansvar med den virksomhed, der driver den sociale medieplatform. Dette gælder f.eks., hvis en kunde kontakter virksomheden via sociale medier for at få opfyldt sine rettigheder. Selv om virksomheden kan have informeret om, at sådanne oplysninger skal indsendes via e-mail i sin meddelelse om beskyttelse af personlige oplysninger, er det stadig en behandling, når de modtager en besked via sociale medier. Husk for eksempel at screene ind- og udbakken i virksomhedens sociale medier, ligesom e-mail og andre kommunikationsruter.