GDPR: Hvordan håndterer du oplysninger om dine medarbejdere?

25. februar 2019
3 minutters læsetid

Et af de ofte stillede spørgsmål inden for persondataretten er håndteringen af ansættelsesretlige oplysninger – om ansøgere, nuværende og tidligere medarbejdere. Her gennemgår vi et udsnit af praktisk vigtige fokusemner inden for området.

Denne artikel fokuserer på de regler som gælder for private virksomheder.

Før ansættelsen

Reglerne for behandling af personoplysninger gælder uanset hvordan virksomhedens rekruttering er sammensat. Reglerne gælder dermed uanset om ansøgningen er uopfordret, den potentielle medarbejder headhuntes, eller der anvendes en helt tredje proces.

Det afgørende er, at virksomheden behandler en fysik persons oplysninger med det formål, at vurdere og eventuelt etablere et ansættelsesforhold med den pågældende person.

Når en person sender sin ansøgning til virksomheden, har vedkommende dermed som udgangspunkt afgivet samtykke til behandling af personoplysningerne i ansøgningen. Det gælder også for eventuelle følsomme personoplysninger, som ansøgeren selv har anført i sin ansøgning. Dog er det en forudsætning, at personoplysninger ikke bruges til andet end vurderingen af ansættelsen.

Hvis virksomheden indhenter referencer fra tidligere arbejdsgivere, kan det ikke udelukkes, at dette må ske uden samtykke fra ansøgeren. Det afhænger af hvilken type oplysninger der indhentes, og omstændighederne omkring ansættelsen. I praksis anbefaler vi altid at få ansøgerens samtykke – herved undgår virksomheden en potentiel bøderisiko, og sparer tid da det er hurtigere at indhente samtykke end at vurdere om hver enkelt referenceindhentelse kan ske uden samtykke.

Et samtykke til indhentelse af referencer bør altid beskrive hvilke typer af oplysninger, der indhentes fra den eller de tidligere arbejdsgivere.

Virksomheden bør også være særligt opmærksom på persondatareglerne i forbindelse med indhentelse af straffeattester og børneattester, samt brug af oplysninger hentet fra sociale medier.

Endelig bør virksomheden vedtage en konkret frist for at slette personoplysninger indhentet i forbin-delse med rekrutteringer. Der findes ikke nogen fast frist i loven. Virksomheden må fastsætte den frist, som er saglig og proportionel ud fra de hensyn, som varetages ved fortsat at opbevare oplysningerne.

Under ansættelsen

Den overvejende hovedregel er, at virksomheden kan registrere personoplysninger om medarbejdere under ansættelsesforholdet enten under henvisning til selve ansættelsesforholdet, for at overholde lovgivning, eller med henblik på at fastlægge eller forsvare retsstillingen for virksomheden selv eller medarbejderen.

Eksempelvis er virksomheden berettiget til at registrere følsomme helbredsoplysninger om medarbejderens arbejdsskade. Dette kan være for at forsvare sig ved en eventuel arbejdsskadesag, men begrundelse kan også være at hjælpe medarbejdere med at søge erstatning fra et forsikringsselskab.

Hvis virksomheden registrerer personoplysninger, som ikke registreres på baggrund af et af ovennævnte hensyn, bør virksomheden overveje om et samtykke er nødvendigt.

Virksomheden bør også være forsigtig med at videregive personoplysninger om medarbejderne, da de regler som gør indsamlingen lovlig ikke ubetinget gør videregivelse lovlig.

Virksomheden bør nøje overveje reglerne for kontrol af medarbejderne. Brug at IT-udstyr logges ofte for at opnå en bedre datasikkerhed og forhindre misbrug. Hvis betingelserne for kontrol af medarbejderne ikke overholdes, kan dette imidlertid i sig selv være ulovligt. Eksempelvis skal logning og andre kontrolforanstaltninger som udgangspunkt varsles over for medarbejderne senest 6 uger før foranstaltningerne iværksættes. Andre former for kontrol kan være TV-overvågning, GPS-sporing, gennemgang af e-mails, brug af internettet mv.

Læs også: Må du læse medarbejdernes e-mails?

Efter endt ansættelse

Der gælder ingen fast grænse for hvor længe personoplysninger må gemmes efter medarbejderens fratrædelse. Virksomheden bør fastlægge sin egen slettefrist på skrift. Ved fastlæggelse af fristen bør der lægges vægt på blandt andet lovpligtige opbevaringsperioder, det administrative behov, forældelsesfrister for oplysninger med relevans for retskrav med videre.

Derudover bør der være klare, skriftlige retningslinjer for håndtering af fratrådte medarbejderes eventuelle arbejdsmailkonti. Der kan eksempelvis stilles krav om sletning af alle private mails før fratrædelse. Det bør også fremgå, hvor længe en mailadresse holdes åben efter fratrædelse, hvordan mailkontoen administreres mellem fratrædelse og lukning, samt hvordan det sikres, at eventuelle private mails modtaget på mailkontoen efter medarbejderens fratrædelse videregives til den fratrådte medarbejder.

Kontakt os på telefon 72 30 12 05 hvis du vil have en konkret vurdering af om din virksomhed opfylder kravene til ansættelsesretslige oplysninger.

Vil du vide mere om emnet, kontakt mig.

Du er altid velkommen til at henvende dig til os og få  en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.

    Ring 8.00 - 16.00
    +45 72 30 12 05
    Eller skriv til os 24/7
    mail@stormadvokatfirma.dk
    cross