I min rådgivning og undervisning af virksomheder i persondataret (databeskyttelsesforordningen og databeskyttelseslov) er jeg ofte stødt på følgende misforståelser og spørgsmål:
1. Databeskyttelsesforordningen beskytter kun personfølsomme oplysninger
Nej, det er ikke korrekt.
Databeskyttelsesforordningen beskytter både almindelige og følsomme personoplysninger. I forordningen er der således ikke et begreb som ”personfølsom oplysning”
Almindelige personoplysninger kan fx være navn, stilling, uddannelse, adresse, ansættelsesdato, telefonnummer, fødselsdato, familieforhold mm.
Følsomme personoplysninger er race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, genetiske og biometriske data, helbredsmæssige og seksuelle forhold. Definitionen af følsomme personoplysninger er således udtømmende.
Herudover beskytter databeskyttelsesloven fx cpr.nr. og straffeattester.
2. Hvornår behandler vi egentlig personoplysninger?
Personoplysninger er oplysninger vedrørende en identificeret fysisk person, eller oplysninger, som gør det muligt at identificere en fysisk person.
Alle virksomhedens oplysninger om medarbejdere fx navn, stilling, uddannelse og adresse mm. er således personoplysninger, men det kan også være oplysninger fra en firmabils GPS, der fortæller, hvor medarbejderne opholder sig.
Databeskyttelsesforordningen gælder alle former for elektronisk behandling af personoplysninger typisk i en computer eller manuel behandling i et register fx personalemapper.
Behandling af personoplysninger omfatter alt virksomheden gør, når den indsamler, opbevarer, videregiver, systematiserer eller sletter oplysninger om dets medarbejdere.
Definitionerne af ”personoplysning” og ”behandling” er således meget brede.
3. Er det ok at modtage jobansøgninger på mail?
Ja, til dels.
Datatilsynet har den 30. maj 2018 oplyst på deres hjemmeside, at det som udgangspunkt ikke vil være i strid med databeskyttelsesforordningen, at en virksomhed modtager ansøgninger på mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger.
Hvis ansøgningerne indeholder følsomme eller fortrolige oplysninger, kan e-mail formentlig kun bruges, hvis der anvendes kryptering. Se nærmere punktet forneden om kryptering.
Følsomme oplysninger er race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, genetiske og biometriske data, helbredsmæssige og seksuelle forhold.
Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke er defineret i databeskyttelsesforordningen eller -loven, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil herudover ofte følge af særlove.
Ifølge Datatilsynet er en oplysning fortrolig, når oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab.
Efter Datatilsynets praksis dækker det over de mest private almindelige oplysninger som indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold og dækker også oplysninger om interne familieforhold, f.eks. selvmordsforsøg og ulykkestilfælde.
CPR-nummer og oplysninger om strafbare forhold er også fortrolige personoplysninger.
Du kan læse mere om Datatilsynets opfattelse af, hvad der er fortrolige personoplysninger mm. her https://www.datatilsynet.dk/generelt-om-databeskyttelse/hvad-er-personoplysninger/
4. Skal vi som privat virksomhed kryptere vores e-mail?
Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Det har derimod været et krav for offentlige myndigheder siden år 2000.
Den 23. juli 2018 oplyste Datatilsynet, at de fra den 1. januar 2019 kræver, at private virksomheder også krypterer e-mails, der indeholder fortrolige og følsomme personoplysninger.
De private virksomheder har således frem til den 1. januar 2019 til at sikre overholdelse af Datatilsynets nye krav.
Den 20. september 2018 uddybede Datatilsynet det nye krav om kryptering af e-mail for private virksomheder rent teknisk i forhold til konkrete teknologier. Dette er sket på baggrund af en række henvendelser, som tilsynet har modtaget, efter at tilsynet i juli 2018 offentliggjorde sit nye krav om kryptering af e-mail for private virksomheder.
Du kan læse Datatilsynets uddybning her
5. Hvor længe må vi gemme en ansøgning?
Det er en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for virksomhedernes opbevaring af personoplysninger. Det gør den ikke.
Opbevaring af personoplysninger om jobansøgere udgør en behandling af personoplysninger.
Det betyder bl.a., at virksomheden skal overholde reglerne om god databehandlingsskik dvs. det skal være lovligt, rimeligt og gennemsigtigt. Med andre ord skal opbevaringen have et sagligt, relevant og nødvendigt formål, og virksomheden skal oplyse ansøgeren om sin behandling af dennes personoplysninger.
Herudover skal der også være et lovligt behandlingsgrundlag altså et behandlingshjemmel som fx kontraktopfyldelse og interesseafvejning.
Hvis ansøgeren bliver ansat, kan virksomheden som udgangspunkt opbevare materialet fra rekrutteringsprocessen, mens ansættelsesforholdet løber.
Hvis ansøgeren ikke bliver ansat, så må virksomheden opbevare ansøgning, CV, mv. fx i en jobbank, hvis ansøgeren har givet samtykke til det. Der gælder således et krav om ansøgerens samtykke, udover reglerne om god databehandlings skik.
Det vil dog typisk være lovligt at opbevare oplysningerne fra ansøgere uden deres samtykke i ca. seks måneder i en rekrutteringsproces. Oplysningerne kan også opbevares længere, hvis der er særlige grunde til det i den konkrete rekrutteringsprocessen.
Hvis en ansøgning ikke har virksomhedens interesse, bør den slettes med det samme.
Hvis virksomheden modtager uopfordrede ansøgninger, bør virksomheden fx på sin hjemmeside oplyse, hvordan disse behandles, og hvor længe de opbevares.
6. Vi kan altid indhente en straffeattest, inden vi ansætter en ny medarbejder
Nej, det er ikke lovligt.
Det vil være i strid med reglerne om god databehandlingsskik, herunder kravet om saglighed, relevans og nødvendighed. Se nærmere herom under punkt 5.
Det skal derimod altid vurderes konkret, om det er sagligt mm. at indhente en straffeattest i forhold til den enkelte stilling.
Indhentelse af straffeattest er typisk kun lovligt, hvis et evt. strafbart forhold sammenholdt med den konkrete stilling skaber en nærliggende risiko for, at en forbrydelse af samme karakter kan blive begået under ansættelsen. Fx vil det være lovligt at bede en bogholder fremvise en straffeattest for at sikre, at denne ikke har begået berigelseskriminalitet.
Virksomheden skal herudover indhente et skriftligt samtykke fra ansøgeren, som giver virksomheden lov til at indhente, behandle og opbevare oplysningerne i straffeattesten.
Der findes forskellige former for straffeattester fx privat straffeattest og børneattest.
7. Medarbejderen skal samtykke til behandling af sine personoplysninger i HR
Nej, det skal medarbejderen som udgangspunkt ikke.
Der er andre og bedre behandlingshjemler i databeskyttelsesforordningen fx reglerne om kontraktopfyldelse, interesseafvejning og opfyldelse af retslig forpligtelse, som bør anvendes.
Kun i få tilfælde ved brug af fx følsomme personoplysninger, cpr. nr., straffeattester og billeder på internettet kan samtykke være et krav, hvis der ikke kan findes andre behandlingshjemler.
Kravene til et gyldigt samtykke er strenge navnlig i et ansættelsesforhold, hvor retsforholdet er ulige. Samtykke kan altid trækkes tilbage, og dette skal altid oplyses i samtykkeerklæringen. Derfor er det også en god ide altid at forsøge at finde en anden behandlingshjemmel end samtykke.
8. Hvis medarbejderen har samtykket til behandling af sine personoplysninger, så er det altid i orden at behandle dem
Nej, det er ikke korrekt.
De grundlæggende principper om god databehandlingsskik i databeskyttelsesforordningen skal nemlig altid overholdes, uanset om virksomheden har modtaget medarbejderens samtykke til en specifik behandling.
Det betyder bl.a., at virksomheden altid skal have et sagligt, relevant og nødvendigt formål med sin behandling af de konkrete personoplysninger. Se nærmere herom punkt 5.
9. Hvor længe må vi gemme oplysninger om eksisterende og fratrådte medarbejdere?
Det er en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for opbevaring af personoplysninger. Det gør den ikke.
Efter databeskyttelsesforordningen skal der være et sagligt, relevant og nødvendigt formål med enhver behandling af personoplysninger. Se nærmere herom under punkt 5.
Det gælder både, når I behandler oplysninger om eksisterende og om fratrådte medarbejdere. Personoplysninger kan i denne sammenhæng være fx lønsedler, timesedler, stamkort, korrespondance, påtaler, advarsler, lægeerklæringer, referater fra samtaler mv.
Det følger af forordningen, at personoplysninger ikke må opbevares i et længere tidsrum end nødvendigt, relevant og sagligt i forhold til det formål, som oplysningerne er indhentet til.
Det er en god idé at fastsætte en intern politik for, hvornår personoplysninger slettes, da det ellers løbende skal vurderes, om der stadig er grundlag for at behandle oplysningerne.
Eksisterende medarbejderes personoplysninger kan som udgangspunkt opbevares, så længe ansættelsen består. Fx kan virksomheden opbevare almindelige oplysninger i det omfang, de skal bruges fx som dokumentation for, at der er udbetalt korrekt løn.
Da virksomheden kan have behov for at kunne dokumentere historikken i en personalesag, vil det typisk også være lovligt fx at opbevare en skriftlig advarsel, selvom advarslen i sig selv ikke længere kan danne grundlag for en opsigelse.
Fratrådte medarbejderes personoplysninger kan også opbevares, så længe dette er sagligt, relevant og nødvendigt. Datatilsynet har tidligere accepteret opbevaring af oplysninger om fratrådte medarbejdere i op til fem år efter medarbejderens fratrædelse.
Hvis der verserer en ansættelsesretlig sag om fx en opsigelse eller bortvisning, kan de relevante oplysninger dog opbevares, indtil sagen er afsluttet, ligesom øvrige relevante oplysninger kan opbevares i længere tid, hvis det fx følger af lovgivningen.
Hvis du synes, at denne artikel er interessant og gerne vil modtage flere nyheder fra mig, kan du tilmelde dig mit nyhedsbrev “HR-juridiske tips” her
Du kan læse mere på Datatilsynets hjemmeside bl.a. følgende vejledninger mm.:
Ofte stillede spørgsmål
https://www.datatilsynet.dk/generelt-om-databeskyttelse/ofte-stillede-spoergsmaal/
Generel informationspjece
https://www.datatilsynet.dk/media/6559/generel-informationspjece-om-databeskyttelsesforordningen.pdf
12 spørgsmål du kan stille dig selv om databeskyttelsesforordningen
https://www.datatilsynet.dk/media/6866/12-spoergsmaal-om-forordningen.pdf
Skærpet praksis i forhold til kryptering af e-mail
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/
Vejledning og skabelon vedr. fortegnelse
https://www.datatilsynet.dk/media/6567/fortegnelse.pdf
Vejledning og skabelon vedr. de registreredes rettigheder
https://www.datatilsynet.dk/media/6893/registreredes-rettigheder.pdf
naydin.dk 