Ni typiske faldgruber i persondataret og HR

Det er - for eksempel - en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for opbevaring af personoplysninger. Det gør den ikke. Nilgün Aydin, der specialist i HR-jura og persondataret, beskriver i denne uges Complidia-klumme nogle af de misforståelser, hun oftest støder på i sin rådgivning. 

I min rådgivning og undervisning af virksomheder i persondataret (databeskyttelsesforordningen og databeskyttelseslov) er jeg ofte stødt på misforståelser og spørgsmål. Nogle af de oftest forekommende følger her:

1. Databeskyttelsesforordningen beskytter kun personfølsomme oplysninger
Nej, det er ikke korrekt.

Databeskyttelsesforordningen beskytter både almindelige og følsomme personoplysninger. I forordningen er der således ikke et begreb som ’personfølsom oplysning’.

Almindelige personoplysninger kan for eksempel være navn, stilling, uddannelse, adresse, ansættelsesdato, telefonnummer, fødselsdato, familieforhold mm.

Følsomme personoplysninger er race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, genetiske og biometriske data, helbredsmæssige og seksuelle forhold. Definitionen af følsomme personoplysninger er således udtømmende.

Herudover beskytter databeskyttelsesloven for eksempel CPR-nummer og straffeattester.

2. Hvornår behandler vi egentlig personoplysninger?
Personoplysninger er oplysninger vedrørende en identificeret fysisk person, eller oplysninger som gør det muligt at identificere en fysisk person.

Alle virksomhedens oplysninger om medarbejdere, for eksempel navn, stilling, uddannelse og adresse mm. er således personoplysninger, men det kan også være oplysninger fra en firmabils GPS, der fortæller, hvor medarbejderne opholder sig.

Databeskyttelsesforordningen gælder alle former for elektronisk behandling af personoplysninger – typisk i en computer eller manuel behandling i et register som for eksempel personalemapper.

Behandling af personoplysninger omfatter alt, virksomheden gør, når den indsamler, opbevarer, videregiver, systematiserer eller sletter oplysninger om dets medarbejdere.

Definitionerne af ’personoplysning’ og ’behandling’ er således meget brede.

3. Er det ok at modtage jobansøgninger på mail?
Ja, til dels.

Datatilsynet har den 30. maj 2018 oplyst på deres hjemmeside, at det som udgangspunkt ikke vil være i strid med databeskyttelsesforordningen, at en virksomhed modtager ansøgninger på e-mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger.

Hvis ansøgningerne indeholder følsomme eller fortrolige oplysninger, kan e-mail formentlig kun bruges, hvis der anvendes kryptering. Se punktet nedenfor om kryptering.

Følsomme oplysninger er race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige forhold, genetiske og biometriske data, helbredsmæssige og seksuelle forhold.

Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke er defineret i databeskyttelsesforordningen eller -loven, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil herudover ofte følge af særlove.

Fortrolige oplysninger er typisk CPR-numre, lønoplysninger og oplysninger om familieforhold. Du kan læse mere om Datatilsynets opfattelse af, hvad der er fortrolige personoplysninger mm. her.

4. Skal vi som privat virksomhed kryptere vores e-mail?
Siden 2008 har Datatilsynet anbefalet, at private virksomheder anvender kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Det har derimod været et krav for offentlige myndigheder siden år 2000.

Den 23. juli 2018 oplyste Datatilsynet, at de fra den 1. januar 2019 kræver, at private virksomheder også krypterer e-mails, der indeholder fortrolige og følsomme personoplysninger.

De private virksomheder har således frem til den 1. januar 2019 til at sikre overholdelse af Datatilsynets nye krav.

5. Hvor længe må vi gemme en ansøgning?
Det er en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for virksomhedernes opbevaring af personoplysninger. Det gør den ikke.

Opbevaring af personoplysninger om jobansøgere udgør en behandling af personoplysninger.

Det betyder blandt andet, at virksomheden skal overholde reglerne om god databehandlingsskik – det vil sige, det skal være lovligt, rimeligt og gennemsigtigt. Med andre ord skal opbevaringen have et sagligt, relevant og nødvendigt formål, og virksomheden skal oplyse ansøgeren om sin behandling af dennes personoplysninger.

Herudover skal der også være et lovligt behandlingsgrundlag, altså behandlingshjemmel som eksempelvis kontraktopfyldelse og interesseafvejning.

Hvis ansøgeren bliver ansat, kan virksomheden som udgangspunkt opbevare materialet fra rekrutteringsprocessen, mens ansættelsesforholdet løber.

Hvis ansøgeren ikke bliver ansat, så må virksomheden opbevare ansøgning, CV, mv. i for eksempel en jobbank, hvis ansøgeren har givet samtykke til det. Der gælder således et krav om ansøgerens samtykke udover reglerne om god databehandlingsskik.

Det vil dog typisk være lovligt at opbevare oplysningerne fra ansøgere uden deres samtykke i ca. seks måneder i en rekrutteringsproces. Oplysningerne kan også opbevares længere, hvis der er særlige grunde til det i den konkrete rekrutteringsproces.

Hvis en ansøgning ikke har virksomhedens interesse, bør den slettes med det samme.

Hvis virksomheden modtager uopfordrede ansøgninger, bør virksomheden – for eksempel på sin hjemmeside – oplyse, hvordan disse behandles, og hvor længe de opbevares.

6. Vi kan altid indhente en straffeattest, inden vi ansætter en ny medarbejder
Nej, det er ikke lovligt.

Det vil være i strid med reglerne om god databehandlingsskik, herunder kravet om saglighed, relevans og nødvendighed. Se nærmere herom under punkt 5.

Det skal derimod altid vurderes konkret, om det er sagligt mm. at indhente en straffeattest i forhold til den enkelte stilling.

Indhentelse af straffeattest er typisk kun lovligt, hvis et eventuelt strafbart forhold sammenholdt med den konkrete stilling skaber en nærliggende risiko for, at en forbrydelse af samme karakter kan blive begået under ansættelsen. For eksempel vil det være lovligt at bede en bogholder fremvise en straffeattest for at sikre, at denne ikke har begået berigelseskriminalitet.

Virksomheden skal herudover indhente et skriftligt samtykke fra ansøgeren, som giver virksomheden lov til at indhente, behandle og opbevare oplysningerne i straffeattesten.

Der findes forskellige former for straffeattester, for eksempel privat straffeattest og børneattest.

7. Medarbejderen skal samtykke til behandling af sine personoplysninger i HR
Nej, det skal medarbejderen som udgangspunkt ikke.

Der er andre og bedre behandlingshjemler i databeskyttelsesforordningen, for eksempel reglerne om kontraktopfyldelse, interesseafvejning og opfyldelse af retslig forpligtelse, som bør anvendes.

Kun i få tilfælde, som for eksempel ved brug af følsomme personoplysninger som CPR-nummer, straffeattester og billeder på internettet, kan samtykke være et krav, hvis der ikke kan findes andre behandlingshjemler.

Kravene til et gyldigt samtykke er strenge, navnlig i et ansættelsesforhold, hvor retsforholdet er ulige. Samtykket kan altid trækkes tilbage, og dette skal altid oplyses i samtykkeerklæringen. Derfor er det også en god ide altid at forsøge at finde en anden behandlingshjemmel end samtykke.

8. Hvis medarbejderen har samtykket til behandling af sine personoplysninger, så er det altid i orden at behandle dem
Nej, det er ikke korrekt.

De grundlæggende principper om god databehandlingsskik i databeskyttelsesforordningen skal nemlig altid overholdes, uanset om virksomheden har modtaget medarbejderens samtykke til en specifik behandling.

Det betyder blandt andet, at virksomheden altid skal have et sagligt, relevant og nødvendigt formål med sin behandling af de konkrete personoplysninger. Se nærmere herom i punkt 5.

9. Hvor længe må vi gemme oplysninger om eksisterende og fratrådte medarbejdere?
Det er en udbredt misforståelse, at databeskyttelsesforordningen indeholder en fast tidsgrænse for opbevaring af personoplysninger. Det gør den ikke.

Ifølge databeskyttelsesforordningen skal der være et sagligt, relevant og nødvendigt formål med enhver behandling af personoplysninger. Se nærmere herom under punkt 5. Det gælder både, når I behandler oplysninger om eksisterende og om fratrådte medarbejdere. Personoplysninger kan i denne sammenhæng for eksempel være lønsedler, timesedler, stamkort, korrespondance, påtaler, advarsler, lægeerklæringer og referater fra samtaler.

Det følger af forordningen, at personoplysninger ikke må opbevares i et længere tidsrum end nødvendigt, relevant og sagligt i forhold til det formål, som oplysningerne er indhentet til.

Det er en god idé at fastsætte en intern politik for, hvornår personoplysninger slettes, da det ellers løbende skal vurderes, om der stadig er grundlag for at behandle oplysningerne.

Eksisterende medarbejderes personoplysninger kan som udgangspunkt opbevares, så længe ansættelsen består. For eksempel kan virksomheden opbevare almindelige oplysninger i det omfang, de skal bruges som dokumentation for, at der er udbetalt korrekt løn.

Da virksomheden kan have behov for at kunne dokumentere historikken i en personalesag, vil det typisk også være lovligt for eksempel at opbevare en skriftlig advarsel, selvom advarslen i sig selv ikke længere kan danne grundlag for en opsigelse.

Fratrådte medarbejderes personoplysninger kan også opbevares, så længe dette er sagligt, relevant og nødvendigt. Datatilsynet har tidligere accepteret opbevaring af oplysninger om fratrådte medarbejdere i op til fem år efter medarbejderens fratrædelse.

Hvis der verserer en ansættelsesretlig sag om for eksempel en opsigelse eller bortvisning, kan de relevante oplysninger dog opbevares, indtil sagen er afsluttet, ligesom øvrige relevante oplysninger kan opbevares i længere tid, hvis det for eksempel følger af lovgivningen.

Du kan læse mere på Datatilsynets hjemmeside bl.a. følgende vejledninger mm.:

Skrevet af

Nilgün Aydin

Nilgün Aydin, Advokat og specialist i HR-jura

Nilgün Aydin er advokat og specialist i HR-jura (ansættelsesret/personalejura) og persondataret.Hun rådgiver, underviser og er sparringspartner for private og offentlige virksomheder inden for HR-jura og persondataret. Hun har beskæftiget sig med HR-jura i mere end ti år og dermed også med persondataret. Læs mere om Nilgün Aydin.

Klummer

Se alle