INFO om GDPR
Personoplysninger i forbindelse med virksomhedens kommunikation
Behandling af personoplysninger i forbindelse med virksomhedens kommunikation med registrerede er ofte nødvendig og også meget almindelig. Dette gælder både intern kommunikation i virksomheden (f.eks. til medarbejdere) og ekstern kommunikation uden for virksomheden (f.eks. til kunder, leverandører eller andre forretningspartnere).
Behandling af personoplysninger i forbindelse med virksomhedens kommunikation med registrerede skal ske i overensstemmelse med de gældende regler
Reglerne for behandling af personoplysninger i forbindelse med virksomhedens kommunikation med registrerede er forskellige, alt efter hvilken type virksomhed der er tale om, og hvad kommunikationen handler om.
For eksempel er der forskel på, om flere læger kommunikerer med hinanden om problemer omkring deres patienter via e-mail, eller om en opstartsvirksomhed, der bygger hjemmesider, sender meddelelser med markedsføring til potentielle kunder. Jo vigtigere personoplysningerne er, jo større er kravene til en sikker kommunikationsrute.
Virksomhedens kommunikation med registrerede via e-mail
E-mail er en fælles kommunikationskanal for virksomheder at bruge. Både til intern og ekstern kommunikation. For eksempel af medarbejdere, der bruger e-mail til intern kommunikation med andre medarbejdere, eller af virksomheden, der har en e-mail-adresse offentliggjort på sin officielle hjemmeside, som kunderne kan bruge til at e-maile spørgsmål til kundeservice.
Hvilket retsgrundlag skal anvendes til markedsføring af e-mails?
Behandlingen af personoplysninger i forbindelse med virksomhedens kommunikation med registrerede skal være baseret på et retsgrundlag i henhold til artikel 6 i GDPR. Det er almindeligt, at virksomheder bruger enten samtykke eller legitim interesse som retsgrundlag, når de sender e-mails til markedsføringsformål. Bemærk venligst, at virksomheden skal stoppe med at sende e-mails, hvis den registrerede anmoder om det, i overensstemmelse med hans eller hendes rettigheder i henhold til GDPR.
Hvad er årsagerne til direkte markedsføring i GDPR?
Det fremgår udtrykkeligt af 47. betragtning til databeskyttelsesforordningen, at behandling af personoplysninger med henblik på direkte markedsføring kan betragtes som en legitim interesse. Det kan dog være vigtigt at vide, at andre nationale markedsføringslove kan regulere samtykkekrav til direkte markedsføring via e-mail til potentielle nye kunder.
Det fremgår af betragtning 70 i databeskyttelsesforordningen, at den registrerede til enhver tid har ret til gratis at gøre indsigelse mod behandlingen, når vedkommendes personoplysninger anvendes til direkte markedsføring. Desuden bør denne ret udtrykkeligt meddeles den registrerede og præsenteres klart, klart og adskilt fra andre oplysninger.
Er det tilladt at sende lønsedler via e-mail?
Det korte svar på spørgsmålet er: Det kommer an på. Hvis lønsedlen indeholder følsomme personoplysninger, må arbejdsgiveren ikke sende den til medarbejderen pr. ukrypteret e-mail. Sygeorlov er et eksempel på følsomme personoplysninger som omhandlet i databeskyttelsesforordningens artikel 9, da der er tale om helbredsoplysninger. Det er også personoplysninger, som virksomheder normalt skal behandle for at kunne betale den korrekte løn, og derfor vises sådanne oplysninger normalt på lønsedlen. Bemærk, at det kun er muligt at sende en lønseddel via krypteret e-mail, der udgør en sikker e-mail-kommunikation, hvis den anses for at være tilstrækkelig sikker.
Behandling af personoplysninger i forbindelse med menneskelige ressourcer (HR)
Al behandling af personoplysninger kræver støtte i et retsgrundlag
Det er vigtigt at huske på, at al behandling af personoplysninger kræver støtte i et retsgrundlag for at være lovlig i henhold til GDPR. Inden for HR-afdelingen, også kendt som HR-afdelingen, finder mange behandling af personoplysninger sted. Formålet med en HR-afdeling er bl.a. at yde støtte til operationerne i forbindelse med operationelle, administrative og strategiske spørgsmål vedrørende personalet i operationerne.
HR-afdelingen behandler personoplysninger i forbindelse med rekruttering af medarbejdere, efter ansættelsen, i udviklingen af kompetencer og efter at medarbejderen har opsagt sin ansættelse.
Hvor længe skal den jobsøgendes eller medarbejderens personoplysninger opbevares af virksomheden?
Hovedreglen i GDPR er, at personoplysningerne ikke må behandles længere end nødvendigt til det formål, hvortil de blev indsamlet. Hvis en person ikke får et job efter at have indsendt en jobansøgning med sit CV til virksomheden, er det normalt ikke nødvendigt for virksomheden at fortsætte behandlingen af personoplysningerne. Virksomheden bør derfor slette det modtagne CV samt eventuelle relaterede e-mails (hvis det var den valgte kommunikationsrute med den jobsøgende).
Fortsætte med at gemme personoplysninger til f.eks. fremtidige referencer
Der kan være situationer, hvor virksomheden har brug for at gemme personoplysningerne længere. For eksempel, hvis virksomheden fortsætter med at gemme medarbejderens personoplysninger efter ansættelsens ophør for at være en fremtidig reference, eller i det omfang fortsat opbevaring er påkrævet i henhold til gældende lovgivning. Der er mange nationale arbejdsmarkedslove, der regulerer specifikke opbevaringsperioder, og i sådanne tilfælde finder behandlingen sted på grundlag af en retlig forpligtelse.
Personoplysninger af subjektiv karakter kan normalt opfattes som mere subjektive personoplysninger.
Der er forskel på personoplysninger af subjektiv eller objektiv karakter. Personoplysninger af subjektiv karakter er f.eks. en diagnose fra en læge, en karakter fra en lærer eller vurderinger baseret på medarbejdersamtaler i en virksomhed, der er dokumenteret. Det er vigtigt at huske på, at personoplysninger af subjektiv karakter kan opfattes som mere subjektivt privatlivsfølsomme oplysninger af den registrerede. Derfor skal de behandles af virksomheden med større sikkerhed.
Behandlinger, der finder sted
Før ansættelsen
Arbejdsgiveren behandler den jobsøgendes personoplysninger før ansættelsen, når den jobsøgende kontakter virksomheden for at ansøge om et job. For eksempel ved at besvare en jobannonce eller sende en spontan ansøgning om beskæftigelse til virksomheden via e-mail.
Under ansættelsen
Der er mange forskellige personoplysninger om de ansatte, som arbejdsgiveren behandler, mens ansættelsen er i gang. Bemærk venligst, at nogle af dem er følsomme eller subjektivt privatlivsfølsomme personoplysninger. F.eks. oplysninger om medarbejderes sygefravær, rehabiliteringsplaner, vurdering og dokumentation af arbejdsindsats mv.
Udvikling af færdigheder
Det er ikke ualmindeligt, at arbejdsgivere gemmer visse data og dokumenterede medarbejderinterviews med henblik på kompetenceudvikling. Sådanne data kan opfattes som følsomme over for privatlivets fred. Derfor er det vigtigt at behandle dem med større sikkerhed og være ekstra forsigtig med at slette dem, når de ikke længere er nødvendige.
Behandling af personoplysninger i forbindelse med virksomhedens kommunikation med registrerede via sociale medier
Sociale medier er en vigtig del af markedsføringen for mange virksomheder. Derudover er det almindeligt at behandle personoplysninger i forbindelse med virksomhedens kommunikation med registrerede via sociale medier. Derfor er det godt at kende reglerne, når man behandler personoplysninger via sociale medier.
Desværre mener mange virksomheder, der behandler personoplysninger via sociale medier, at de ikke har noget ansvar for behandlingen, da de mener, at kun platformsudbyderne er ansvarlige. Dette er imidlertid ikke sandt. Virksomheden har også et ansvar for sin behandling af personoplysningerne, selvom behandlingen finder sted inden for en social medieplatform, der leveres af en tredjepartsudbyder.
Er virksomheden ansvarlig for sletning af personoplysninger, der vises på virksomhedens sociale mediekonto?
Ja, virksomheden er ansvarlig for al behandling af personoplysninger, som virksomheden foretager via sociale medier. Dette omfatter sletning af personoplysninger, når de ikke længere er nødvendige. Dette omfatter alt fra billeder eller videoer af personer, som virksomheden offentliggør på sine sociale medier, til kommentarer til virksomhedens indlæg og chats i virksomhedens indbakke på sociale medier. Virksomheden skal blandt andet sikre, at gamle chats med registrerede via sociale medier slettes, når de ikke længere er nødvendige for virksomheden at behandle.
Regler, der gælder for virksomheder, der profilerer kunder via sociale medier
Det er vigtigt at huske på, at virksomheder bør vide, hvordan platformsudbydere handler og håndterer personoplysninger, før de begynder at bruge deres sociale medieplatforme. Dette skyldes, at virksomheden og den pågældende platformudbyder i visse tilfælde kan have et såkaldt fælles dataansvar. Dette blev bekræftet i en dom afsagt af Den Europæiske Unions Domstol mod Facebook. Reglerne om fælles dataansvar er yderligere reguleret i bl.a. artikel 26 i GDPR og betragtning 79 i GDPR.
Behandling af personoplysninger i forbindelse med virksomhedens kommunikation med registrerede via virksomhedens hjemmeside
Der er mange virksomheder, der behandler personoplysninger via deres hjemmesider. For eksempel gennem cookies, når de modtager anmodninger via kontaktformularer på hjemmesiden, hvis de har et login-system eller lignende. Udgangspunktet er, at jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene. For eksempel er der forskel på, om en virksomhed bruger cookies til at analysere, hvordan hjemmesiden bruges. Alternativt kan du sælge noget af køberen, der indtaster deres kreditkortnummer, der er gemt i virksomhedens webservere.
En almindelig fejl, som virksomheder ofte begår på deres hjemmeside
Mange virksomheder har en kontaktformular på deres hjemmeside, som besøgende kan bruge til at kontakte virksomheden. For eksempel for at stille spørgsmål, anmode om et tilbud eller lignende. Det er almindeligt, at den besøgende skal udfylde deres navn, e-mail-adresse og eventuelt flere kontaktoplysninger i formularen. Mange gange er størstedelen af felterne i formularen også obligatoriske at udfylde, for at meddelelsen skal sendes.
Registrerede skal informeres
Når meddelelsen sendes til virksomheden via formularen, behandles personoplysningerne af virksomheden. Derfor skal virksomheden informere om behandlingen. En almindelig fejl, som virksomheder begår, er ikke at informere om behandlingen i overensstemmelse med artikel 13 GDPR. Oplysningerne skal gives i forbindelse med indsamlingen, før personoplysningerne sendes til virksomheden, af virksomheden, der præsenterer sin meddelelse om beskyttelse af personlige oplysninger til den besøgende.
Cookies
Mange hjemmesider bruger og gemmer cookies på den besøgendes enhed, som kan udgøre personoplysninger og derfor er underlagt GDPR. For at behandle ikke-væsentlige cookies, f.eks. til markedsføringsformål, kræves der aktivt samtykke. Derudover skal virksomheden opfylde oplysningskravet. Virksomheden skal bl.a. præsentere en cookie-meddelelse på sin hjemmeside med oplysninger om, hvad cookies er, hvordan de bruges af hjemmesiden osv.
Læs mere om behandling online
Behandling af personoplysninger af virksomheder, der leverer onlinetjenester
Virksomheder, der er underlagt GDPR og driver onlinetjenester, behandler næsten altid personoplysninger. Eksempler på sådanne tjenester er sociale medier, søgemaskiner og e-handelsplatforme. I sådanne tilfælde er det vigtigt at tilpasse onlinetjenesten til GDPR. F.eks. ved at indføre indstillinger, så brugerne kan trække deres samtykke tilbage. Derudover er det ikke ualmindeligt, at virksomheder, der driver onlinetjenester, behandler børns personoplysninger. Så er reglerne endnu strengere i henhold til GDPR.