GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

GDPR - foranstaltninger

Interne fortrolighedsaftaler for medarbejdere i en virksomhed

Det er almindeligt at have interne fortrolighedsaftaler for medarbejdere i en virksomhed. Alternativt en fortrolighedsklausul i ansættelseskontrakten. Desuden er det vigtigt at medtage en fortrolighedsklausul i databehandleraftaler. 

Fortrolighedsaftale eller klausul i ansættelseskontrakten

Det er almindeligt, at ansættelseskontrakter indeholder en fortrolighedsklausul. Alternativt tilføjes en særskilt hemmeligholdelsesaftale som bilag til ansættelseskontrakten. I disse tilfælde er fortrolighedsbestemmelserne ofte formuleret i generelle vendinger og har til formål at beskytte arbejdsgiverens fortrolige oplysninger. Tavshedspligten påhviler derfor først og fremmest den ansatte. Dette er en form for ensidig fortrolighedsrelation. Det modsatte af dette er de såkaldte gensidige fortrolighedsrelationer. Disse er dog mindre almindelige i ansættelseskontrakter.   

What breaches of the GDPR can lead to an administrative fine?

Skriftlige aftaler er de mest hensigtsmæssige

I mange tilfælde er mundtlige og skriftlige aftaler lige gyldige, men det er lettere at bevise skriftlige aftaler i tilfælde af en tvist. Det anbefales derfor at dokumentere aftalen skriftligt. Der er ikke noget formelt krav om, at en hemmeligholdelsesaftale skal være skriftlig, hvilket betyder, at den i teorien kan være mundtlig. Hvis det imidlertid ikke er muligt at bevise, at aftalen er indgået, kan der opstå problemer, og aftalen bør derfor være skriftlig.

Inkluder privatlivsklausul i databehandlingsaftaler

I henhold til databeskyttelsesforordningens artikel 28, stk. 3, litra b), skal en databehandleraftale indeholde en fortrolighedsklausul. Mere specifikt skal det være klart, at databehandleren sikrer, at de personer, der er bemyndiget til at behandle personoplysningerne, har forpligtet sig til fortrolighed. Alternativt skal databehandleren sikre, at disse personer i stedet er underlagt en passende lovbestemt tavshedspligt.

Mulige konsekvenser uden klare fortrolighedskrav

Datalækager

Uautoriseret videregivelse af personoplysninger

Bøder fra tilsynsmyndigheder

Skader på registrerede

Databehandleren skal indgå en særskilt fortrolighedsaftale med sine medarbejdere

Virksomheden bør som databehandler indgå en særskilt fortrolighedsaftale med sine medarbejdere. Fortrolighedsaftalen bør specifikt regulere behandlingen af personoplysninger hos personale, der er omfattet af databehandleraftalen. På denne måde kan databehandleren fremlægge denne særskilte fortrolighedsaftale for den dataansvarlige efter anmodning eller tilsynsmyndigheden efter gennemgang. Det betyder, at databehandleren ikke skal fremlægge de ansattes ansættelseskontrakter, da fortroligheden reguleres særskilt og ikke indgår som en fortrolighedsklausul i ansættelseskontrakten.

Eksempler på personoplysninger, som medarbejdere ofte har adgang til

Personoplysninger vedrørende kunder

Oplysninger om andre medarbejdere

Følsomme personoplysninger

Ikke alle medarbejdere skal altid have adgang til personoplysninger

Det er ikke altid nødvendigt for alle i en virksomhed at have adgang til alle de personoplysninger, som virksomheden behandler. Især hvis det drejer sig om personoplysninger, der er følsomme over for privatlivets fred. Det er derfor vigtigt at have en hensigtsmæssig forvaltning af tilladelser. For eksempel har en revisor, der styrer alle virksomhedens finanser, normalt brug for at behandle personoplysninger om alle medarbejdere. Dette omfatter oplysninger om sygefravær, som er følsomme personoplysninger om helbred, i henhold til artikel 9 i GDPR. Det er dog ikke nødvendigt for alle i virksomheden at have adgang til sådanne personoplysninger. 

Hvad kan en hemmeligholdelsesaftale indeholde?

Definer, hvad der er fortroligt

Det er vigtigt at definere præcist, hvad der er fortroligt. For eksempel oplysninger om virksomhedens kunder, systemer, personoplysninger, der behandles i virksomheden.

What is the definition of anonymised data?

Præcisering af forbuddet

Gør det klart, at det ikke er tilladt at formidle oplysningerne til uautoriserede tredjeparter.

Subjektivt integritetskänsliga personuppgifter

Krav til beskyttelse af fortrolige oplysninger, der omfatter personoplysninger

Krav om beskyttelse af sådanne oplysninger. F.eks. ikke at læse klassificerede oplysninger på offentlige steder og opbevare dem på et sikkert sted.

Sensitive personal data according to GDPR

Frist for kontrakten

Det er ikke ualmindeligt, at fortroligheden fortsætter selv efter ansættelsen i et vist antal år. I nogle tilfælde kan fortrolighed også gælde efter ansættelsesforholdets ophør uden tidsbegrænsning.

Measures that companies need to take to comply with GDPR

Konsekvenser af kontraktbrud

Sørg for at inkludere, hvad der sker, hvis privatlivets fred krænkes. Det kan f.eks. have arbejdsretlige konsekvenser, f.eks. afskedigelse.

Subjektivt integritetskänsliga personuppgifter

Der henvises til andre interne politikker, som virksomheden har

Det er ikke ualmindeligt at henvise privatlivsaftalen til andre interne politikker, såsom forskellige GDPR-praksisser.

Implementering af privatlivets fred i praksis

What is the definition of anonymised data?

Bliv en del af onboardingprocessen

Sørg for, at alle nye medarbejdere er informeret om fortroligheden og forstår den, og underskriv, før de har adgang til dataene. Alternativt kan fortrolighedsaftalen omformuleres til en privatlivspolitik i stedet, hvilket klart fremgår af ansættelsesaftalen. Men selv i disse tilfælde er det godt, at virksomheden får bevis for, at medarbejderne rent faktisk har set det gennem deres underskrift.

Measures that companies need to take to comply with GDPR

Sørg for at træne dine medarbejdere regelmæssigt

Det kan være nyttigt at minde og uddanne personalet regelmæssigt. Husk, at medarbejderne skal forstå, hvad privatlivets fred rent faktisk betyder i praksis.

Påmindelse ved offboarding

Det handler om at minde medarbejdere, der holder op med at arbejde, om den fortrolighed, der er forbundet med offboarding-processen.

Subjektivt integritetskänsliga personuppgifter

Nogle roller og erhverv kan kræve øget privatliv

Nogle stillinger (såsom økonomi, HR og kundeservice) kan kræve øget fortrolighed, da disse personer kan have adgang til ret følsomme oplysninger. Det samme gælder for visse professionelle roller som psykologer og lærere.

Når det virkelig kan være hensigtsmæssigt at have en hemmeligholdelsesaftale

  • Når medarbejdere bruger CRM-systemer til at administrere oplysninger om arbejdsgiverens kunder. 
  • Personer, der administrerer personales personoplysninger. 
  • Personer, der arbejder med it-support og i deres arbejde, får adgang til oplysninger om arbejdsgiverens kunder, brugere mv. 
  • Når virksomheden behandler personoplysninger i rollen som databehandler på vegne af en anden aktør, der er den dataansvarlige.

Flere oplysninger

Clean-desk-rutine

En anden organisatorisk sikkerhedsforanstaltning, der kan være god for virksomheder at anvende, er clean-desk-rutinen og have en clean-desk-politik. Med andre ord, at medarbejdere ikke efterlader dokumenter eller andre oplysninger, der indeholder personoplysninger eller andre vigtige oplysninger, uden tilsyn eller / og hvor uautoriserede personer kan se det. En clean-desk rutine er en simpel organisatorisk foranstaltning, der kan reducere risikoen for uautoriseret adgang til information.

Vil du lære mere?

Læs mere
Scroll to Top