Tænk dig en ekstra gang om, før du sender en mail med personoplysninger

Skrevet den af Nilgün Aydin | HR-jura

I en ny afgørelse fra Datatilsynet, har tilsynet udtalt alvorlig kritik af en arbejdsgiver, der sender en mail med fortrolige oplysninger om en medarbejder til en hel afdeling.

I den konkrete sag havde en medarbejder klaget over sin arbejdsgiver til Datatilsynet, fordi arbejdsgiveren havde sendt en mail til hele medarbejderens afdeling dvs. ca. 50 medarbejdere om, at der var visse opgaver, medarbejderen ikke kunne varetage, og at dette skyldtes, at medarbejderen var i fertilitetsbehandling.

Medarbejderen havde selv telefonisk orienteret arbejdsgiveren herom, men det betød ikke, at hun havde givet samtykke – efter de strenge krav i Databeskyttelsesforordningen – til at disse oplysninger blev videregivet til kollegaerne.

Du kan læse afgørelsen her

Husk at klæde jeres ledere og medarbejdere på, så de er opmærksomme på altid at dataminimere og kun at behandle personoplysninger, hvis det er Need to Know og ikke Nice to Know. Det gælder navnlig, når der sendes eller videresendes mails med fortrolige eller følsomme personoplysninger. Det går for stærkt nogle gange med at trykke på send-knappen.

Ønsker du at blive opdateret hurtigt og kort inden for HR-jura og GDPR, så tilmeld dig mit nyhedsbrev her https://lnkd.in/eBR-tCj

Du er altid velkommen til at kontakte mig uforpligtende på 23 91 27 27 eller na@naydin.dk

Må en arbejdsgiver afvise en indsigtsbegæring fra en tidligere medarbejder?

Skrevet den af Nilgün Aydin | HR-jura

Ja, det må den tidligere arbejdsgiver godt, hvis indsigtsbegæringen er omfattende, og den tidligere medarbejder ikke vil specificere sin begæring.

Det er et spørgsmål, som Datatilsynet har taget stilling til for nyligt.

I en helt ny afgørelse fandt Datatilsynet nemlig ikke grundlag for at tilsidesætte en tidligere arbejdsgivers afvisning af en tidligere medarbejders begæring om indsigt under henvisning til, at begæringen var overdreven.

Den tidligere medarbejder havde klaget til Datatilsynet, da dennes tidligere arbejdsgiver ikke havde efterkommet begæringen om indsigt i al kommunikation, hvori den tidligere medarbejder var nævnt.

Arbejdsgiveren havde forsøgt at få den tidligere medarbejder til at specificere sin begæring, da det ønskede materiale efter flere års ansættelse var omfattende. Dette blev dog afvist af den tidligere medarbejder.

Datatilsynet fastslog i afgørelsen, at en dataansvarlig kan afslå at give en registreret indsigt i oplysninger om breve, notater og e-mails mv., som er underskrevet af eller sendt til den registrerede i forbindelse med vedkommendes opgavevaretagelse, med henvisning til, at henvendelsen er overdreven.

Du kan både se en video og læse mere om Datatilsynets afgørelse her

Ønsker du at blive opdateret hurtigt og kort inden for HR-jura og GDPR, så tilmeld dig mit nyhedsbrev her https://lnkd.in/eBR-tCj

Du er altid velkommen til at kontakte mig uforpligtende på 23 91 27 27 eller na@naydin.dk

Må en arbejdsgiver bruge billeder af en tidligere medarbejder i en markedsføringsvideo?

Skrevet den af Nilgün Aydin | HR-jura

Det blev jeg sidst spurgt om, da jeg underviste ledere i HR-jura i sidste uge.

Mit svar var og fortsat er, at det som udgangspunkt kræver samtykke fra den tidligere medarbejder.

Knap en uges tid efter, den 24. januar 2022 offentliggjorde Datatilsynet en ny afgørelse, som understøtter mit svar foroven.

I afgørelsen udtaler Datatilsynet kritik af en arbejdsgivers brug af billeder af en tidligere medarbejder i en markedsføringsvideo, som blev offentliggjort på Facebook. Du kan læse afgørelsen på Datatilsynets hjemmeside her

Du kan læse meget mere om brug af både nuværende og tidligere medarbejderes billeder i Datatilsynets vejledning om persondatabeskyttelse i forbindelse med ansættelsesforhold her

Skal en arbejdsgiver udlevere en privatlivspolitik til jobansøgere og medarbejdere?

Skrevet den af Nilgün Aydin | HR-jura

Arbejdsgiveren skal opfylde sin oplysningspligt efter databeskyttelsesforordningen, således at jobansøgere og medarbejdere er oplyst om, at arbejdsgiveren behandler personoplysninger om dem i forbindelse med rekruttering og ansættelse.

Der er ret omfattende krav til, hvordan arbejdsgiveren indholdsmæssigt skal opfylde sin oplysningspligt efter databeskyttelsesforordningen.

Datatilsynet har udarbejdet en skabelon, som arbejdsgiveren kan bruge for at opfylde sin oplysningspligt. Du kan finde skabelonen, som bilag A og B i Datatilsynets vejledning om de registreredes rettigheder, se link til vejledningen forneden.

Der er dog ikke formkrav til, hvordan arbejdsgiveren opfylder sin oplysningspligt. En måde at opfylde oplysningspligten på er ved at udarbejde en ”privatlivspolitik”. Det afgørende er, at indholdet af den skrevne tekst til opfyldelse af oplysningspligten efter forordningen, lever op til forordningens krav om oplysningspligt samt kravet om gennemsigtighed dvs. at det skal være nemt at finde og forstå teksten for jobansøgere og medarbejdere.

Du kan læse Datatilsynets vejledning om de registreredes rettigheder, herunder oplysningspligten her

Du kan læse Datatilsynets vejledning om databeskyttelse ved ansættelsesforhold her

HR-jura Community – Din livline

Blive medlem af et uformelt og fortroligt netværk, hvor du løbende kan få både juridisk og praktisk hjælp inden for HR-jura – Så du kan komme i gang med, videre med eller afslutte din opgave?

Se min video og læs mere her

Hvor længe bør man opbevare oplysninger om jobsøgende, som ikke blev ansat?

Skrevet den af Nilgün Aydin | HR-jura

Datatilsynet har for nyligt i slutningen af maj 2021 på deres hjemmeside offentliggjort en side med spørgsmål og svar om, hvornår man skal slette oplysninger om de ansøgere, som ikke bliver tilbudt en stilling.

På siden kan du blandt andet læse:

  • Hvor lang tid kan en dataansvarlig opbevare disse oplysninger?
  • Skal en dataansvarlig så opbevare oplysningerne i 3 år?
  • Men har offentlige myndigheder ikke en journaliseringspligt?
  • Hvad nu, hvis en dataansvarlig vil gemme en ansøgning for senere at kunne tilbyde ansøgeren en anden stilling?

Du kan læse mere på Datatilsynet om

Klæd lederen på og fyr advokaten – Tip 3

Skrevet den af Nilgün Aydin | HR-jura

– HR-juridisk tip 3 til lederen

”Han går bag om min ryg til andre ledere og kollegaer, agerer besserwisser og påpeger mine “fejl” ifølge ham, men han er også dygtig til sit arbejde, så jeg lader ham være.”

Lederen accepterer alt for længe negativ adfærd fra medarbejdere, som er gode til deres arbejde og skaber gode resultater for virksomheden. Når lederen oplever, at en medarbejder taler negativt om lederen, andre ledere, kollegaer, samarbejdspartner og/eller kunder, bør lederen altid gribe ind og tale med medarbejderen herom og meddele, at det ikke er i orden. Alt afhængig af grovheden af de negative udtalelser og de fora, de bliver ytret i, kan lederen give medarbejderen en advarsel, opsigelse eller en bortvisning. Lederen må aldrig vende det blinde øje til, i modsat fald eskalerer konflikten, og der skal brandslukkes igen.

Forebyg i stedet – klæd lederen på, skab en bedre ledelseskultur og spar penge.

HR-JURIDISK TIP 3 TIL LEDEREN: FORVENT LOYALITET FRA DINE MEDARBEJDERE – BÅDE I TALE OG ADFÆRD.

  • Forstå at loyalitetsforpligtelsen er en grundlæggende pligt i et ansættelsesforhold, som gælder både leder og medarbejdere.
  • Vær loyal over for dine medarbejdere og forvent loyalitet fra dem.
  • Vær opmærksom på, at medarbejdere har pligt til at være loyale fx ved udtalelser på de sociale medier, i deres interne og eksterne omgang med kollegaer, borgere og samarbejdspartner mm.

TILMELD DIG MIN ONLINE FOREDRAGSRÆKKE “KLÆD LEDEREN PÅ OG FYR ADVOKATEN”

6 trin til at blive en tydelig leder, som kender din ret og pligt og kommunikerer tillids- og tryghedsskabende.

Se min video, læs mere og tilmeld dig min online foredragsrække her https://naydin.dk/2020/11/16/klaed-lederen-pa-og-fyr-advokaten-online-foredragsraekke-januar-2021/

Del dette:

Klæd lederen på og fyr advokaten – Tip 2

Skrevet den af Nilgün Aydin | HR-jura

”Passive chefer er velmenende idioter. De er fuldstændig destruktive for alle omkring dem, og det er så svært for dem selv at se det. De kan godt se, at deres organisation står i flammer, men de gør simpelthen ikke noget for at løse det. De håber på, at det går væk af sig selv.”

(Citatet er fra en artikel i Djøf, november 2018, som omtaler en ny bog ”Destruktivt ledarskaptre”, som er skrevet af tre svenske forskere Maria Fors Brandebo, Sofia Nilsson og Gerry Larsson.)

Lederens undladelsessynder bliver der skrevet meget om i det ledelsesfaglige miljø. Lederen kritiseres for manglende handlekraft og mod. Passivitet blandt ledere er dog ikke kun et ledelsesmæssigt problem, det er i høj grad også et juridisk problem, som koster virksomheden dyrt.

Som advokat oplever jeg ofte, at sagerne eskalerer på alle tænkelige måder – de bliver mere kompliceret og ressourcekrævende, fordi lederen ikke har handlet i rette tid og italesat problemet. Jeg oplever således også, at ”organisationen står i flammer”, og jeg må brandslukke igen sammen med HR-medarbejdere og ledere. Brandslukningen bliver menneskeligt og økonomisk dyr, og resultatet oftest en lappeløsning, som langt fra er den bedste løsning for de involvererede parter.

Forebyg i stedet – klæd lederen på, skab en bedre ledelseskultur og spar penge.

HR-JURIDISK TIP 2 TIL LEDEREN: WALK THE TALK – PASSIVITET ER RODEN TIL ALT ONDT

  • Lad ikke stå til – problemer med medarbejdere går ikke over af sig selv, de kræver handling. Vis mod og træd i karakter som leder.
  • Passivitet eskalerer kun problemerne og kommer dig til skade som leder – husk passivitetsgrundsætningen.
  • Lyt, udryd misforståelser, afstem forventninger og følg hurtigt op.
  • Giv advarslen om nødvendigt.
6 trin til at blive en tydelig leder, som kender din ret og pligt og kommunikerer tillids- og tryghedsskabende.

Læs mere om og tilmeld dig min online foredragsrække her https://naydin.dk/2020/11/16/klaed-lederen-pa-og-fyr-advokaten-online-foredragsraekke-januar-2021/

Klæd lederen på og fyr advokaten – online foredragsrække, januar 2021

Skrevet den af Nilgün Aydin | HR-jura

Er du som leder træt af, at usikkerheden lammer dig, bange for at gøre noget forkert og derfor undlader du at gøre noget?

– 6 trin til at blive en tydelig leder, som kender din ret og pligt og kommunikerer tillids- og tryghedsskabende.

Se min video om min foredragsrække, hvor jeg giver et overblik over de væsentligste HR-juridiske spilleregler – alle guldkornene fra min 15 års erfaring med HR-jura – så de dyre faldgruber kan undgås – på en anderledes og mere pædagogisk måde end med tørre paragrafer.

Vil du med på rejsen, hvor vi kommer konflikterne til livs og skaber en bedre ledelseskultur samt psykisk arbejdsmiljø – så tilmeld dig forneden – vi starter til januar 2021 (selvom videoen siger december).

“Jeg har haft fornøjelsen af at deltage i online foredragsrækken ”Klæd lederen på og fyr advokaten”, hvilket gav mig en super god update på mange af de regler, jeg skal have styr på i en HR funktion. Omfanget på 6 gange af ca.1 times varighed var helt perfekt, idet det var let at få indpasset i dagens andre opgaver. Nilgüns formidlingsevne var formidabel set i relation til at ansættelses- og persondataretten til tider, kan være lidt ”tung” stof. Der er ingen tvivl om, at Nilgün er meget vidende på området. Som et ekstra plus er jeg glad for, at jeg har fået både præsentationen og optagelsen tilsendt – det giver mulighed for at gense foredraget, og dermed også have tid til at gå i dybden med de særlige områder, jeg skal have fokus på i fremtiden. LENE LUNDQUIST, HR-KONSULENT, DANMARKS JÆGERFORBUND

Som advokat oplever jeg ofte, at jeg skal brandslukke, fordi lederen ikke er klædt ordentligt på i forhold til de væsentligste HR-juridiske spilleregler på arbejdspladsen. Lederen forholder sig passivt på grund af manglende viden – med menneskelige og økonomiske konsekvenser til følge og et resultat, der oftest bliver en dyr lappeløsning og langt fra den bedste for nogen af parterne. Forebyg dyre konflikter ved at blive klædt på som leder – så du kan stille skarpt på, hvad du må og ikke må.

Derfor tilbyder jeg en online-foredragsrække for ledere, som giver et hurtigt overblik over de væsentligste HR-juridiske spilleregler.

Min foredragsrække om de væsentligste faldgruber består af 6 foredrag á ca. 40-70 min. over 3 uger. Foredragene tager udgangspunkt i min 15 års erfaring i rådgivning og undervisning af ledere og HR-medarbejdere i HR-jura og Persondataret. Du får med andre ord alle mine guldkorn.

Mellem foredragene er der mulighed for refleksion. Der kan stilles spørgsmål både under og mellem foredragene.

Både ledere og HR-medarbejdere kan tilmelde sig foredragsrækken.
 

Indhold og datoer

1. foredrag, ”Lederen, den tikkende bombe – det er kun et spørgsmål om tid” – Tirsdag, den 12. januar kl. 10.00 – 10.45.

  • HR-juridiske principper, der skal sidde på rygraden.
  • Vær på forkant, sørg for at dokumentationen er i orden.
  • Er du i tvivl – er du ikke i tvivl – så skal du handle.

2. foredrag, ”Lederen, der ikke leder – men laver strudsen” –  Torsdag, den 14. januar kl. 10.00 – 10.45.

  • Hvad er du egentlig sat i verden for?
  • Undgå brandslukning, søg rådgivning i god tid ved advarsler, vilkårsændring, opsigelse og bortvisning
  • Brug din instruktionsbeføjelse/ledelsesret til at sikre, at virksomheden opnår bedre resultater.
  • Forvent loyalitet fra dine medarbejdere – både i tale og adfærd.

3. foredrag – ”Lederen, der diskriminerer uden at vide det” – Tirsdag, den 19. januar kl. 10.00 – 10.45.

  • Du må ikke tillægge de ulovlige kriterier vægt i dine ledelsesbeslutninger, men hvilke er de?
  • Hvorfor er timing afgørende?
  • Hvad betyder en advarsel – også i diskriminationssagerne?

4. foredrag – ”Lederen, der vender det blinde øje til sygefravær og (sex)chikane” – Torsdag, den 21. januar kl. 10.00 – 10.45.

  • Må du overhovedet kontakte en syg medarbejder?
  • Du har også pligter og skal ”lede” under en medarbejders sygefravær
  • Må du opsige en syg medarbejder?
  • Der er højt til loftet her – men hvor højt, kan du tillade, at der er?

5. foredrag – ”Lederen, der overlader ferie- og arbejdstidsplanlægning til medarbejderen” – Tirsdag, den 26. januar kl. 10.00 – 10.45.

  • Ferie skal du tage alvorligt – ellers kan det koste både menneskeligt og økonomisk.
  • Hvad siger den nye ferielov?
  • Der er ingen øvre arbejdstid – jo, det er der faktisk – og hvordan holder du styr på den, for det er dit ansvar?

6. foredrag – ”Lederen, der glemmer at passe på sine medarbejderes personoplysninger” – Torsdag, den 28. januar kl. 10.00 -10.45.

  • Personoplysninger, det er ikke kun de følsomme, som er beskyttet.
  • Må man gemme personoplysninger? Hvis ja, hvor og hvor længe?
  • Stop dig selv, før du udtaler dig som reference eller kontakter en reference

Alle foredrag er afholdt. Du kan købe adgang til optagelserne af foredragene, send mig en mail på na@naydin.dk eller du kan købe adgang på min HR-jura skoles side.

Pris

Du kan vælge et eller flere foredrag med de emner, der interesserer dig mest. Prisen for et foredrag er 950 kr. ekskl. moms. Prisen for hele foredragsrækken er 5.130 kr. ekskl. moms.
 

Tilmelding

Du tilmelder dig ved at sende en mail på na@naydin.dk, hvorefter du vil modtage en bekræftelse med et link til foredraget via Teams.

Tilmeldingsfristen er mandag, den 11. januar 2021, kl. 16.00. Tilmelding er bindende, og der er et begrænset antal pladser.

En klassisk faldgrube – Nyhedsbrev, september 2020

Skrevet den af Nilgün Aydin | HR-jura

Hvorfor ikke sætte effektivt ind der, hvor fejlene sker – så der forebygges i stedet for brandslukkes?

En klassisk faldgrube er, at lederen ikke er klædt på til lederrollen og ikke kender de væsentligste HR-juridiske regler, herunder sin ledelsesret og -pligt.

Lederens fejl forplanter sig i hele organisationen med juridiske, menneskelige og økonomiske konsekvenser. Hvorefter der skal brandslukkes hos HR med stort ressourceforbrug.

Derfor har jeg skrevet de 13 HR-juridiske tips til lederen. Artiklen er både på dansk og engelsk, så både dansk og engelsk talende ledere kan få et hurtigt overblik over de væsentligste faldgruber i dansk HR-jura.

HR kan også bruge mine artikler til at klæde ledelsen på i deres organisation.

Læs min danske artikel “Famler du også i blinde som leder -13 HR-juridiske tips” 

Læs min engelske artikel “13 tips on HR-law for you as a manager in denmark”

Læs mere om mit onlinekursus – “13 HR-juridiske tips til lederen”

Kontakt mig på na@naydin.dk, hvis du ønsker 1-1 sparring eller seminar for ledere i HR-jura og Persondataret – også online.

Du kan læse hele nyhedsbrevet her

Du kan tilmelde dig mit nyhedsbrev her

Persondataret og HR – 9 typiske faldgruber

Skrevet den af Nilgün Aydin | HR-jura

overrasket dreng

I min rådgivning og undervisning af virksomheder i persondataret (databeskyttelsesforordningen og databeskyttelseslov) er jeg ofte stødt på følgende misforståelser og spørgsmål:

1. Databeskyttelsesforordningen beskytter kun personfølsomme oplysninger

Nej, det er ikke korrekt.

Databeskyttelsesforordningen beskytter både almindelige og følsomme personoplysninger. I forordningen er der således ikke et begreb som ”personfølsom oplysning”

Almindelige personoplysninger kan fx være navn, stilling, uddannelse, adresse, ansættelsesdato, telefonnummer, fødselsdato, familieforhold mm.

Følsomme personoplysninger er race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, genetiske og biometriske data, helbredsmæssige og seksuelle forhold. Definitionen af følsomme personoplysninger er således udtømmende.

Herudover beskytter databeskyttelsesloven fx cpr.nr. og straffeattester.

2. Hvornår behandler vi egentlig personoplysninger?

Personoplysninger er oplysninger vedrørende en identificeret fysisk person, eller oplysninger, som gør det muligt at identificere en fysisk person.

Alle virksomhedens oplysninger om medarbejdere fx navn, stilling, uddannelse og adresse mm. er således personoplysninger, men det kan også være oplysninger fra en firmabils GPS, der fortæller, hvor medarbejderne opholder sig.

Databeskyttelsesforordningen gælder alle former for elektronisk behandling af personoplysninger typisk i en computer eller manuel behandling i et register fx personalemapper.

Behandling af personoplysninger omfatter alt virksomheden gør, når den indsamler, opbevarer, videregiver, systematiserer eller sletter oplysninger om dets medarbejdere.

Definitionerne af ”personoplysning” og ”behandling” er således meget brede.

3. Er det ok at modtage jobansøgninger på mail?

Ja, til dels.

Datatilsynet har den 30. maj 2018 oplyst på deres hjemmeside, at det som udgangspunkt ikke vil være i strid med databeskyttelsesforordningen, at en virksomhed modtager ansøgninger på mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger.

Hvis ansøgningerne indeholder følsomme eller fortrolige oplysninger, kan e-mail formentlig kun bruges, hvis der anvendes kryptering. Se nærmere punktet forneden om kryptering.

Følsomme oplysninger er race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, genetiske og biometriske data, helbredsmæssige og seksuelle forhold.

Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke er defineret i databeskyttelsesforordningen eller -loven, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil herudover ofte følge af særlove.

Ifølge Datatilsynet er en oplysning fortrolig, når oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab.

Efter Datatilsynets praksis dækker det over de mest private almindelige oplysninger som indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold og dækker også oplysninger om interne familieforhold, f.eks. selvmordsforsøg og ulykkestilfælde.

CPR-nummer og oplysninger om strafbare forhold er også fortrolige personoplysninger.

Du kan læse mere om Datatilsynets opfattelse af, hvad der er fortrolige personoplysninger mm. her https://www.datatilsynet.dk/generelt-om-databeskyttelse/hvad-er-personoplysninger/

4. Skal vi som privat virksomhed kryptere vores e-mail?

Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Det har derimod været et krav for offentlige myndigheder siden år 2000.

Den 23. juli 2018 oplyste Datatilsynet, at de fra den 1. januar 2019 kræver, at private virksomheder også krypterer e-mails, der indeholder fortrolige og følsomme personoplysninger.

De private virksomheder har således frem til den 1. januar 2019 til at sikre overholdelse af Datatilsynets nye krav.

Den 20. september 2018 uddybede Datatilsynet det nye krav om kryptering af e-mail for private virksomheder rent teknisk i forhold til konkrete teknologier. Dette er sket på baggrund af en række henvendelser, som tilsynet har modtaget, efter at tilsynet i juli 2018 offentliggjorde sit nye krav om kryptering af e-mail for private virksomheder.

Du kan læse Datatilsynets uddybning her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/sep/teknisk-konkretisering-ift-kryptering-af-e-mail/

5. Hvor længe må vi gemme en ansøgning?

Det er en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for virksomhedernes opbevaring af personoplysninger. Det gør den ikke.

Opbevaring af personoplysninger om jobansøgere udgør en behandling af personoplysninger.

Det betyder bl.a., at virksomheden skal overholde reglerne om god databehandlingsskik dvs. det skal være lovligt, rimeligt og gennemsigtigt. Med andre ord skal opbevaringen have et sagligt, relevant og nødvendigt formål, og virksomheden skal oplyse ansøgeren om sin behandling af dennes personoplysninger.

Herudover skal der også være et lovligt behandlingsgrundlag altså et behandlingshjemmel som fx kontraktopfyldelse og interesseafvejning.

Hvis ansøgeren bliver ansat, kan virksomheden som udgangspunkt opbevare materialet fra rekrutteringsprocessen, mens ansættelsesforholdet løber.

Hvis ansøgeren ikke bliver ansat, så må virksomheden opbevare ansøgning, CV, mv. fx i en jobbank, hvis ansøgeren har givet samtykke til det. Der gælder således et krav om ansøgerens samtykke, udover reglerne om god databehandlings skik.

Det vil dog typisk være lovligt at opbevare oplysningerne fra ansøgere uden deres samtykke i ca. seks måneder i en rekrutteringsproces. Oplysningerne kan også opbevares længere, hvis der er særlige grunde til det i den konkrete rekrutteringsprocessen.

Hvis en ansøgning ikke har virksomhedens interesse, bør den slettes med det samme.

Hvis virksomheden modtager uopfordrede ansøgninger, bør virksomheden fx på sin hjemmeside oplyse, hvordan disse behandles, og hvor længe de opbevares.

6. Vi kan altid indhente en straffeattest, inden vi ansætter en ny medarbejder

Nej, det er ikke lovligt.

Det vil være i strid med reglerne om god databehandlingsskik, herunder kravet om saglighed, relevans og nødvendighed. Se nærmere herom under punkt 5.

Det skal derimod altid vurderes konkret, om det er sagligt mm. at indhente en straffeattest i forhold til den enkelte stilling.

Indhentelse af straffeattest er typisk kun lovligt, hvis et evt. strafbart forhold sammenholdt med den konkrete stilling skaber en nærliggende risiko for, at en forbrydelse af samme karakter kan blive begået under ansættelsen. Fx vil det være lovligt at bede en bogholder fremvise en straffeattest for at sikre, at denne ikke har begået berigelseskriminalitet.

Virksomheden skal herudover indhente et skriftligt samtykke fra ansøgeren, som giver virksomheden lov til at indhente, behandle og opbevare oplysningerne i straffeattesten.

Der findes forskellige former for straffeattester fx privat straffeattest og børneattest.

7. Medarbejderen skal samtykke til behandling af sine personoplysninger i HR

Nej, det skal medarbejderen som udgangspunkt ikke.

Der er andre og bedre behandlingshjemler i databeskyttelsesforordningen fx reglerne om kontraktopfyldelse, interesseafvejning og opfyldelse af retslig forpligtelse, som bør anvendes.

Kun i få tilfælde ved brug af fx følsomme personoplysninger, cpr. nr., straffeattester og billeder på internettet kan samtykke være et krav, hvis der ikke kan findes andre behandlingshjemler.

Kravene til et gyldigt samtykke er strenge navnlig i et ansættelsesforhold, hvor retsforholdet er ulige. Samtykke kan altid trækkes tilbage, og dette skal altid oplyses i samtykkeerklæringen. Derfor er det også en god ide altid at forsøge at finde en anden behandlingshjemmel end samtykke.

8. Hvis medarbejderen har samtykket til behandling af sine personoplysninger, så er det altid i orden at behandle dem

Nej, det er ikke korrekt.

De grundlæggende principper om god databehandlingsskik i databeskyttelsesforordningen skal nemlig altid overholdes, uanset om virksomheden har modtaget medarbejderens samtykke til en specifik behandling.

Det betyder bl.a., at virksomheden altid skal have et sagligt, relevant og nødvendigt formål med sin behandling af de konkrete personoplysninger. Se nærmere herom punkt 5.

9. Hvor længe må vi gemme oplysninger om eksisterende og fratrådte medarbejdere?

Det er en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for opbevaring af personoplysninger. Det gør den ikke.

Efter databeskyttelsesforordningen skal der være et sagligt, relevant og nødvendigt formål med enhver behandling af personoplysninger. Se nærmere herom under punkt 5.

Det gælder både, når I behandler oplysninger om eksisterende og om fratrådte medarbejdere. Personoplysninger kan i denne sammenhæng være fx lønsedler, timesedler, stamkort, korrespondance, påtaler, advarsler, lægeerklæringer, referater fra samtaler mv.

Det følger af forordningen, at personoplysninger ikke må opbevares i et længere tidsrum end nødvendigt, relevant og sagligt i forhold til det formål, som oplysningerne er indhentet til.

Det er en god idé at fastsætte en intern politik for, hvornår personoplysninger slettes, da det ellers løbende skal vurderes, om der stadig er grundlag for at behandle oplysningerne.

Eksisterende medarbejderes personoplysninger kan som udgangspunkt opbevares, så længe ansættelsen består. Fx kan virksomheden opbevare almindelige oplysninger i det omfang, de skal bruges fx som dokumentation for, at der er udbetalt korrekt løn.

Da virksomheden kan have behov for at kunne dokumentere historikken i en personalesag, vil det typisk også være lovligt fx at opbevare en skriftlig advarsel, selvom advarslen i sig selv ikke længere kan danne grundlag for en opsigelse.

Fratrådte medarbejderes personoplysninger kan også opbevares, så længe dette er sagligt, relevant og nødvendigt. Datatilsynet har tidligere accepteret opbevaring af oplysninger om fratrådte medarbejdere i op til fem år efter medarbejderens fratrædelse.

Hvis der verserer en ansættelsesretlig sag om fx en opsigelse eller bortvisning, kan de relevante oplysninger dog opbevares, indtil sagen er afsluttet, ligesom øvrige relevante oplysninger kan opbevares i længere tid, hvis det fx følger af lovgivningen.

Hvis du synes, at denne artikel er interessant og gerne vil modtage flere nyheder fra mig, kan du tilmelde dig mit nyhedsbrev “HR-juridiske tips” her

Du kan læse mere på Datatilsynets hjemmeside bl.a. følgende vejledninger mm.:

Ofte stillede spørgsmål
https://www.datatilsynet.dk/generelt-om-databeskyttelse/ofte-stillede-spoergsmaal/

Generel informationspjece
https://www.datatilsynet.dk/media/6559/generel-informationspjece-om-databeskyttelsesforordningen.pdf

12 spørgsmål du kan stille dig selv om databeskyttelsesforordningen
https://www.datatilsynet.dk/media/6866/12-spoergsmaal-om-forordningen.pdf

Skærpet praksis i forhold til kryptering af e-mail
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/

Vejledning og skabelon vedr. fortegnelse
https://www.datatilsynet.dk/media/6567/fortegnelse.pdf

Vejledning og skabelon vedr. de registreredes rettigheder
https://www.datatilsynet.dk/media/6893/registreredes-rettigheder.pdf