Artiklen indeholder reklamelinks
For mange virksomheder kan det være noget af en udfordring at finde ud af, hvordan man må håndtere personoplysninger om både kommende og eksisterende medarbejdere i virksomheden for at leve op til kravene i GDPR-lovgivningen.
Det kan nemlig hurtigt komme til at koste virksomheden dyrt, hvis ikke du efterlever kravene i GDPR om behandling af data. Databehandling af medarbejderdata kan både omfatte indsamling, opbevaring, systematisering, registrering videregivelse og sletning af en eksisterende eller tidligere medarbejders eller ansøgers personoplysninger. Disse personoplysninger vil typisk være navn, adresse, fødselsdato, stilling i virksomheden, lønforhold, skatteoplysninger samt kontooplysninger, men kan også være personnummer.
Herunder kan du få et overblik over, hvordan du håndterer og behandler medarbejderdata både før, under og efter ansættelsen.
Når din virksomhed skal have ansat en ny medarbejder, vil virksomheden ofte skulle behandle en stor del af personoplysninger fra en række ansøgeres og CV’er. Disse oplysninger vil typisk være almindelige personoplysninger som uddannelse, tidligere beskæftigelse samt identifikationsoplysninger som navn, fødselsdato, alder, adresse, telefonnummer og e-mail.
Disse oplysninger må du selvfølgelig gerne behandle, men hvis din virksomhed ønsker at få oplyst og behandle personfølsomme oplysninger som kreditværdighed eller helbredsoplysninger, skal du have specifikt samtykke til dette af ansøgeren.
Når du behandler personoplysninger på ansøgere, er det vigtigt, at du indskrænker adgangen til disse oplysninger, så det kun er relevante personer i virksomheden, der har adgang til oplysningerne. Derudover skal du huske på, at fravalgte ansøgeres ansøgninger, CV’er, referencer samt andre dokumenter med personoplysninger skal slettes inden seks måneder ifølge lovgivningen.
I forbindelse med et eksisterende ansættelsesforhold gælder det, at du må behandle alle personoplysninger, som medarbejderen selv har givet i forbindelse med ansættelsesforholdet, og som er relevante for stillingen, eller som skal bruges for at overholde retlige forpligtelser. Det kan for eksempel være kontonummer og skatteoplysninger til udbetaling af løn.
Ligesom før ansættelsen er det virksomhedens pligt at sørge for, at adgangen til medarbejdernes personoplysninger begrænses. Det betyder, at det kun er relevante medarbejdere i virksomheden, der må have adgang til oplysningerne. Det er desuden dit ansvar, at medarbejdernes personoplysninger bliver opbevaret forsvarligt, og at sikkerheden er i orden.
Nogle former for databehandling kræver særligt samtykke fra medarbejderen. Det gælder for eksempel ved brug af en medarbejders billede på virksomhedens hjemmeside. Dog må du gerne oplyse medarbejderens stillingsbetegnelse samt navn på hjemmesiden uden samtykke.
Hvis du som arbejdsgiver benytter medarbejdernes persondata til at udføre kontroltjek, herunder tjek af e-mails og opkald, er det vigtigt, at du orienterer dine medarbejdere herom. Der skal desuden være et sagligt formål med kontrollen, og du må derfor ikke buge medarbejdernes data til at tjekke om de sender private mails eller foretager private opkald i arbejdstiden. Du må desuden heller aldrig læse medarbejdernes e-mails, hvis de er markeret som ”privat”.
Hvis en medarbejder siger op eller bliver opsagt, er medarbejderens personoplysninger ikke længere relevante, og det er derfor virksomhedens pligt at slette personoplysningerne om medarbejderen. Dog kan der være nogle oplysninger om medarbejderen, som er relevante at arkivere i forhold til at kunne bruge disse som dokumentation.
Oplysninger, som skal bruges til eventuel dokumentation bør derfor gemmes i en periode på 5 år. Andre personoplysninger bør slettes, når de ikke længere er nødvendige for virksomheden. Dette gælder også medarbejderes e-mailkonto, som kun må være aktiv i en kort periode efter fratrædelsen. Virksomheden skal så hurtigt som muligt efterfølgende opsætte autosvar på e-mailen med information om fratrædelsen.