GDPR for HR og ledere

GDPR for HR og ledere

GDPR for HR og ledere

Er din HR-afdeling compliant ift. GDPR?

Da den nye persondataforordning (GDPR) trådte i kraft tilbage i maj 2018, skulle man som HR-medarbejder og som leder være opmærksom på ting, som man ikke hidtil havde taget højde for. Når du arbejder med HR, er det vigtigt, at du har faste procedurer for, hvordan du behandler persondata i forbindelse med GDPR-lovgivningen. Når du modtager ansøgninger, udarbejder ansættelseskontrakter og når medarbejdere fratræder, er der nogle ting du skal have styr på, for at sikre compliance ift. GDPR. Som du nok ved, handler compliance om at overholde og følge regler og retningslinjer – i det her tilfælde inden for GDPR. Du skal sikre den rette behandling og opbevaring af de personoplysninger, du har med at gøre, hvis en medarbejder fx er sygemeldt. Du skal også kende til reglerne for, hvordan du skal informere de andre medarbejdere, hvis en ansættelse ophører. Du skal sørge for at have procedurer for, hvornår du sletter oplysningerne, når du ikke længere har et sagligt formål til at opbevare og behandle dem. Vi ved, at det kan være svært at få overblik over de regler i GDPR, som er særligt vigtige for HR og ledere.

Derfor tilbyder vi en supplerende Master Class om GDPR for HR og ledere som gennemgår, hvad du skal være opmærksom på

Før ansættelsen, herunder:

  • Opfordrede og uopfordrede ansøgninger
  • Referencer, straffeattest og børneattest
  • Research via sociale medier
  • Personlighedstests
  • Kontrakter

Under ansættelsen, herunder:

  • Sygdom
  • Oplysninger på hjemmeside
  • Medarbejderfotos
  • Personalesager

Efter ansættelsen, herunder:

  • Deling af fratrædelse
  • Adgang til e-mailkonto
  • Sletning af oplysninger

Behandling af HR-data

Som nævnt, er det vigtigt, at du behandler personoplysninger om jobansøgere, medarbejdere og fratrådte medarbejdere korrekt ift. GDPR.

Hvis du bruger en ekstern leverandør til fx løn, skal du også sikre dig, at denne lever op til databeskyttelsesforordningen. Det kan du få overblik over ved at bede din leverandør om en databehandleraftale. På den måde, ved du hvordan data som du giver videre til leverandøren, bliver behandlet og opbevaret.

Samtykkeerklæring og persondataloven

Ifølge persondataloven (Databeskyttelsesforordningen) skal du have en samtykkeerklæring fra medarbejderen, hvis du vil bruge billede- og videomateriale i markedsføringssammenhænge, hvor medarbejderen indgår. Det kan fx være billeder og videoer på hjemmesiden, i PDF-filer eller i trykte materialer. Medarbejderen kan trække sit samtykke tilbage og så har du pligt til at slette materialet.

Samtykkeerklæring og persondataloven

Du skal have samtykke fra medarbejderen, hvis du eksempelvis skal bruge billede- og videomateriale i noget markedsføringsmateriale, hvor personen indgår.

Du skal have samtykke fra dine medarbejdere, hvis du skal bruge et billede af dem i noget markedsføringsmateriale på fx hjemmesiden eller i salgsmaterialer. Medarbejderen kan trække sit samtykke tilbage, hvis han eller hun ikke længere ønsker at fremgå af materialet. Hvis et billede af medarbejderen fremgår af noget trykt materiale, som allerede er distribueret, kan medarbejderen ikke forlange, at det tilbagekaldes.

Datatilsynet har udtalt alvorlig kritik af en virksomhed, hvor en medarbejder ønskede at blive slettet fra noget videomateriale på virksomhedens hjemmeside, da han stoppede med at arbejde der.

Som Dansk Erhverv skriver, lagde Datatilsynet lagde vægt på, at den tidligere medarbejder stadig fremgik af virksomhedens film på YouTube og på virksomhedens hjemmeside tre måneder efter, at virksomheden havde oplyst ham om, at han nu var klippet ud af medarbejderfilmen.

På den baggrund fandt Datatilsynet anledning til at udtale alvorlig kritik af, at virksomhedens behandling af klagers anmodning om sletning ikke var sket i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet bemærkede i øvrigt afslutningsvist, at de i afgørelsen alene havde behandlet spørgsmålet om sletningen af oplysninger, og at de derfor ikke havde taget nærmere stilling til samtykkets gyldighed.

 

Behandling af personlige oplysninger fra MUS-samtaler

Når du holder MUS-samtaler med dine medarbejdereog du fx gemmer dit referat i en mappe på et drev, skal du tænke over, hvem der har adgang til drevet. Hvis du skriver noter på et papir og gemmer det i en fysisk mappe, skal du også sørge for at låse mappen inde i et skab, så uvedkommende ikke kan få adgang til oplysningerne. Fysisk opbevaring af personoplysninger er et emne, der bliver gennemgået i vores e-learning om GDPR.

GDPR og opbevaring samt indsamling af følsomme personoplysninger

Det kan være svært at navigere i, hvad der er almindelige personoplysninger og følsomme personoplysninger, og der er forskel på, om opbevaring kræver samtykke fra medarbejderen.

Fx er oplysninger om hvilken fagforening medarbejderen er medlem af, og medarbejderens politiske overbevisning kategoriseret som følsomme personoplysninger. Derimod er oplysninger som adresse og kontonummer kategoriseret som almindelige personoplysninger.

GDPR-dokumenter som HR-afdelingen bør være opmærksom på

De dokumenter som indeholder følsomme personlige oplysninger bør altid opbevares sikkert, så uvedkommende ikke kan få adgang til dem. Det gælder både, når det kommer til fysisk og online opbevaring.

Vores supplerende Master Class for HR og ledere indeholder også viden om, hvordan du skal forholde dig til fx e-mail-kontoen tilhørende en medarbejder, som fratræder.

Vi tilbyder altså en løsningsom tager højde for alle de vigtige ting, som HR og ledere skal have fokus på.

Du kan læse mere om, hvordan vores intelligente compliance platform kan hjælpe med at dokumentere uddannelsesindsatsen i forbindelse med GDPR her.

Vi tilbyder en supplerende Master Class specifikt for HR og ledere som går i dybden med at forklare GDPR-lovgivningen, så du ved, hvad du skal have fokus på i dit arbejde med persondata.

Tag en snak med en af vores specialister om, hvordan du og dine medarbejdere kan blive compliant på GDPR-området.

FAQ

Du kan blive klogere på hvad GDPR betyder i vores artikel Værd at vide om GDPR.

Persondata er data som kan henføres til en fysisk person.

Som Datatilsynet beskriver, er personoplysninger defineret som “enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.”

Det kan læse mere om forskellen på almindelige og følsomme personoplysninger i vores artikel Værd at vide om GDPR.

Som hovedregel skal du slette eller anonymisere persondata, når det ikke længere er nødvendigt for dig at opbevare dem. Der er forskel på, hvor længe man skal opbevare fx fakturaer og permissions til nyhedsbrev. Vedrørende fakturaer, har bogføringsloven eksempelvis en slettefrist på fem år og markedsføringsloven har en slettefrist på to år for det samtykke, som en kunde har afgivet i forhold til modtagelse af et nyhedsbrev.

Du må opbevare persondata, hvis du har en “lovhjemmel” (har fået lov til det fx med samtykke, eller fordi det står i loven), og så længe du har et “legitimt formål” med opbevaringen.

Comments are closed.