Persondata i HR-afdelingen – hvad er status?
Det er snart 8 måneder siden, at persondataforordningen samt databeskyttelsesloven trådte i kraft.
Persondata, GDPR, databeskyttelse – kært barn mange navne – har været meget omtalt.
Der er læst artikler, sket deltagelse på kurser, morgenmøder, seminarer og afholdt flere interne samt eksterne møder om dette emne i de fleste HR-afdelinger.
Hvad er status egentlig p.t. i virksomhedernes HR-afdelinger? Er vi kommet godt på plads, er vi på vej, eller overvejer vi blot at tage fat på compliancearbejdet?
Ud fra mit arbejde med forskellige HR-afdelingers compliancearbejde, ser jeg faktisk, at flere virksomheder er kommet rigtig langt. Der er i de fleste tilfælde lavet en datastrømsanalyse, fortegnelse over behandlingsaktivitet samt en privatlivspolitik både for medarbejderne og for jobansøgere.
Datatilsynets længe ventede vejledning om databeskyttelse i forbindelse med ansættelsesforhold udkom i november 2018. Denne vejledning giver et godt indblik i de forskellige problemstillinger, der gør sig gældende vedrørende behandling af medarbejderoplysninger, herunder oplysninger om på hvilket grundlag en virksomhed kan indhente, opbevare og videregive medarbejderoplysninger.
Vejledningen giver dog ikke et endeligt svar på alle relevante problemstillinger. Det bliver derfor spændende, når de første afgørelser på området kommer.
Hvis I ikke er kommet helt i mål eller blot er i tvivl om, hvorvidt I faktisk er i mål, kan du under nedenstående punkter finde info om:
- personoplysninger i HR
- nødvendige GDPR-dokumenter
- hvornår vi skal anvende sikker mail.
Personoplysningerne i HR-afdelingen – en oversigt+
I HR-afdelingen er det hovedsageligt medarbejdernes personoplysninger, vi behandler.
Dette sker både før ansættelsen, under ansættelsesforholdet og efter ansættelsesforholdets ophør.
Vi behandler både almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold samt cpr-nr. på medarbejderne.
Derudover kan flere af disse personoplysninger være fortrolige.
Der er forskellige muligheder for at behandle disse personoplysninger, alt efter hvilken kategori oplysningen tilhører.
Her er en oversigt med eksempler på personoplysninger i HR-afdelingen med tilhørende kategori. Oversigten er fra Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, dog med tilføjelser og tilretninger fra min side.
Du kan også downloade oversigten nedenfor i en version, hvor du lettere kan læse de enkelte punkter.
Nødvendige GDPR-dokumenter i HR-afdelingen+
Det kan være svært at vurdere, hvilke dokumenter der er nødvendige at få på plads i arbejdet med at få implementeret GDPR i HR-afdelingen.
Jeg har her opstillet en liste over de dokumenter, som oftest vil være en nødvendighed:
- Datastrømsanalyse over jeres personoplysninger
- Fortegnelse over jeres behandlingsaktivitet
- Her er et eksempel fra Datatilsynet: https://www.datatilsynet.dk/media/6567/fortegnelse.pdf.
- Procesbeskrivelse til medarbejdere i HR-afdeling, om hvorledes I behandler personoplysninger, herunder hvorledes I håndterer anmodninger fra de registrerede samt eventuelle databrud.
- Privatlivspolitik til medarbejderne (opfyldelse af underretningspligten).
- Privatlivspolitik for jobansøgere (opfyldelse af underretningspligten).
- Politik for brug af smartphones samt eventuelt hjemmearbejdsplads.
- It-politik, herunder vedr. kontrol af mails og internetbesøg samt evt. brug af sociale medier.
- Samtykkeerklæring til portrætbilleder på hjemmeside og eventuelt til markedsføring.
- Samtykkeerklæring til behandling herunder opbevaring af helbredsoplysninger i personalemappen, fx oplysninger modtaget under sygefraværssamtaler, MUS eller lign.
- Databehandleraftaler med eventuelle databehandlere.
Nogle af disse dokumenter kan sammenskrives, herunder eventuelt være en del af virksomhedens overordnede arbejde med GDPR.
Hvornår skal vi bruge sikker mail?+
I juli måned 2018 kom Datatilsynet med en udtalelse om en skærpet praksis vedrørende anvendelse af krypteret mail eller sikker mail.
Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender sikker mail, når der sendes følsomme og fortrolige oplysninger. Offentlige myndigheder har siden 2000 haft pligt til at anvende sikker mail, når der sendes følsomme og fortrolige oplysninger.
Datatilsynet har skærpet denne praksis, således at Datatilsynet nu mener, at både private virksomheder og offentlige myndigheder skal anvende sikker mail/krypteret transmission, når der sendes følsomme og fortrolige personoplysninger.
Datatilsynet har besluttet, at de håndhæver denne nye praksis fra og med 1. januar 2019.
Det store spørgsmål er således: Hvornår skal vi anvende sikker mail?
Vi skal sende med sikker mail, når vi sender fortrolige og/eller følsomme oplysninger, uanset om modtager er offentlig myndighed, privat virksomhed eller privatperson.
Følsomme eller fortrolige oplysninger?
Følsomme oplysninger er udtømmende opremset i Databeskyttelsesforordningens art. 9, hvorfor disse ikke giver de store problemer. Se liste over følsomme oplysninger i figuren nedenfor, eller download en mere læsevenlig version nederst.
Det er straks sværere at finde ud af, hvilke oplysninger der er fortrolige, idet der ikke i hverken forordningen eller databeskyttelsesloven er en lovbestemmelse om, hvilke oplysninger der skal betegnes som fortrolige.
Det afhænger således af en konkret vurdering. Vil oplysningen fx efter den almindelige opfattelse i samfundet kunne forlanges unddraget offentlighedens kendskab? Oplysninger om enkeltpersoner, som ikke kan nægtes udleveret efter offentlighedsloven, er som udgangspunkt ikke fortrolige oplysninger.
Med udgangspunkt i Datatilsynets figur i deres vejledning om databeskyttelse i forbindelse med ansættelsesforhold, herunder i udkastet til denne vejledning, har jeg tilrettet og udarbejdet denne figur, som giver en oversigt over, hvornår der skal anvendes henholdsvis almindelig eller sikker mail:
Datatilsynets tilsyn – anvendte spørgeskemaer+
Datatilsynet har i oktober 2018 offentliggjort de spørgeskemaer, som Datatilsynet har anvendt i den seneste tid.
Med spørgeskemaerne kan man således få indblik i, hvilke forhold Datatilsynet lægger vægt på. Det er dog væsentligt at pointere, at der kan være tale om forskellige spørgsmål fra tilsyn til tilsyn, hvorfor en gennemgang af disse spørgeskemaer ikke kan udgøre en afgrænset tjekliste for, hvad tilsynet vil omhandle. Derudover har Datatilsynet oplyst, at de fra år til år vil udskifte spørgeskemaerne samt løbende revidere disse.
Ind til nu, har Datatilsynet offentliggjort følgende spørgeskemaer:
- Private virksomheder – DPO-tilsyn
- Offentlige myndigheder – DPO-tilsyn
- Behandlingshjemmel og sikkerhed
- Retshåndhævelse
- Sletning
Status i starten af 2019+
Så alt i alt er arbejdet med Persondataforordningen i starten af 2019 i HR-afdelingerne rigtig langt. I takt med, at Datatilsynet udgiver vejledninger og fører tilsyn, kommer der mere og mere konkret at forholde sig til og agere ud fra i HR-afdelingerne. Nu er det bare med at fortsætte det gode arbejde, så både nuværende, tidligere og potentielle nye medarbejderes personoplysninger bliver behandlet korrekt.
Denne artikel kan ikke erstatte juridisk rådgivning. Advokatfirmaet Vingaardshus A/S eller den ovennævnte advokat påtager sig intet ansvar for tab som direkte eller indirekte følge af brug af artiklen, herunder for tab som følge af utilstrækkelige eller ikke korrekte informationer.