Sådan håndterer du medarbejderdata før, under og efter en ansættelse
Det er ikke ligegyldigt, hvordan du behandler personoplysninger på medarbejdere, tidligere medarbejdere og jobansøgere. Persondataloven indeholder en lang række strikse regler, som mange virksomheder ikke kender. Det skriver Advodan
Erhvervsadvokat Karina Lind Bertelsen fra ADVODAN i Glostrup er ekspert i persondataloven, og hun er ikke i tvivl om, at mange virksomheder famler i blinde, når det kommer til lovlig håndtering af persondata på deres medarbejdere. Det er problematisk i forhold til overholdelse af persondataloven i dag, men det bliver endnu værre, når en ny EU-forordning med markant højere bøder ved overtrædelse træder i kraft inden for de næste par år.
Her gennemgår hun de vigtigste forpligtelser, du som arbejdsgiver har før, under og efter et ansættelsesforhold.
Før medarbejderen er ansat
Når din virksomhed modtager ansøgninger og cv’er fra potentielle medarbejdere, er det kun de relevante personer i virksomheden, der må have adgang til dem. Når jobbet er besat, må du kun opbevare ansøgningerne, så længe de er relevante – herefter skal de slettes fra indbakken, sags-system mv. Hvis du ønsker at beholde en ansøgning, skal du indhente samtykke fra ansøgeren.
Indhenter du reference på en ansøger, skal du have samtykke til det. Går du efter mere følsomme oplysninger som fx helbredsoplysninger eller lignende, skal ansøgeren give specifikt samtykke til dette formål.
Bruger din virksomhed et eksternt rekrutteringsbureau, er det dit ansvar, at bureauet overholder persondataloven, idet bureauet handler på vegne af din virksomhed. Du skal blandt andet sørge for at indgå en databehandleraftale med bureauet.
Mens medarbejderen er ansat
Som arbejdsgiver må du gerne – på sikker og fortrolig vis – behandle personoplysninger, som medarbejderen selv har afgivet. Der er dog flere steder, hvor du skal være ekstra opmærksom.
Vil du have et billede af medarbejderen på din hjemmeside, kræver det et samtykke fra personen. Det kan eventuelt skrives ind i ansættelseskontrakten.
Hvis din virksomhed bruger kontrolforanstaltninger i forbindelse med medarbejdernes brug af internet, e-mail, GPS-kørsel eller lignende, har du pligt til at orientere dem om det. Det kan du fx gøre i en personalehåndbog eller i interne retningslinjer. Derudover skal formålet med den enkelte kontrolforanstaltning fremgå, og dette formål skal være sagligt (fx sikkerhed, dokumentation ift. kunder mv.)
Du skal også have styr på sikkerheden, både i virksomheden og hvis dine medarbejdere har hjemmearbejdspladser og mobile enheder, hvorfra der er adgang til personoplysninger. Må der fx kunne printes hjemmefra, eller må en medarbejders familiemedlemmer benytte en computer, hvor der potentielt er adgang til personfølsomme oplysninger? Dette bør virksomheden have taget stilling til.
Bruger du en ekstern it-leverandør til fx håndtering af løn, har du også pligt til at sikre dig, at leverandøren overholder kravene som databehandler.
Efter medarbejderen er stoppet
Når en medarbejder fratræder, er det vigtigt, at du med det samme sletter de personoplysninger, der ikke længere er relevante – og det skal vurderes individuelt. Du må gerne gemme personoplysninger af hensyn til dokumentation til offentlige myndigheder, potentielle tvister i ansættelsesforholdet mv. Men herefter skal de slettes.
Du må kun holde liv i en fratrådt medarbejders e-mailkonto i så kort tid som muligt. Kun en enkelt eller få betroede medarbejdere må have adgang til den fratrådte medarbejders e-mails.
Ikke-følsomme oplysninger:(opbevaring kræver ikke samtykke fra din medarbejder)
• Navn, adresse, tlf.nr, fødselsdato
• Familieforhold
• Løn, arbejdstider, fravær, sygedage
• Kontonummer
• Skat og gæld
Følsomme oplysninger: (opbevaring kræver samtykke fra medarbejderen)
• CPR-nummer
• Offentliggørelse af billede på hjemmeside
• Oplysninger om helbredsforhold
• Fagforening
• Straffeattest
• Personlighedstest
• Racemæssig eller etnisk baggrund
• Politisk, religiøs eller filosofisk overbevisning
• Seksuelle forhold
• Væsentlige sociale problemer
Datatilsynet skal oplyses:
Hvis din virksomhed behandler følsomme oplysninger om dine medarbejdere, er du forpligtet til at anmelde din personaleadministration til Datatilsynet.
Kilde: Advodan