DI Business Nyheder

DI: Fem typiske fejl i håndtering af persondata

Med EU’s persondataforordning bliver der ekstra behov for at gå sine kotymer og vaner efter i sømmene. Her er fem eksempler på forkert opfattelse og brug af følsomme personaleoplysninger udvalgt af DI's afdeling for personalejura.

1: "Medarbejderen giver os ­deres straffe­attest, som vi frit kan behandle"

Forkert: Det er i strid med reglerne at indføre en generel politik om at bede alle medarbejdere om en straffeattest. Oplysninger om strafbare forhold er kun relevante, hvis forholdet sammenholdt med stillingens indhold skaber en nærliggende risiko for, at en forbrydelse af samme karakter vil blive begået under ansættelsen.

Det kan for eksempel være relevant at undersøge, om en ansøger til en stilling som bogholder tidligere er dømt for berigelses­kriminalitet.

2: "Vi gemmer alle personale­oplysninger til evig tid, fordi de er rare at have"

Forkert: I må ikke gemme oplysninger, fordi I teoretisk set kan få brug for dem. Der skal være et sagligt formål, og I skal have en politik for, hvornår I sletter oplysninger om fratrådte medarbejdere.

En tommelfingerregel er, at I må opbevare oplysninger om medarbejdere op til fem år, efter at de stopper i virksomheden.

Der er dog andre regler, som gør det relevant at opbevare oplysninger i længere tid, for eksempel 40 år for medarbejdere, der har arbejdet med skadelige stoffer som asbest.

3: "Vi indfører en samlet samtykkeerklæring, som alle medarbejdere underskriver"

Forkert: I kan ikke indføre et generelt samtykke til alt muligt, som alle medarbejdere skal underskrive for at give jer fri adgang til at bruge deres billeder eller videregive personoplysninger om dem.

Medarbejderens samtykke er kun gyldigt, hvis det opfylder en række forskellige krav. For at et samtykke er gyldigt, skal det være:

  • Frivilligt: Personen skal have haft et reelt frit valg.
  • Specifikt: Samtykket skal være konkret og præcisere formålene med samtykket.
  • Informeret: Det skal være klart, hvad personen giver samtykke til og hvem, der er databehandler.
  • Utvetydigt: Det må ikke være underforstået eller baseret på forud afkrydsede felter.
  • Klart adskilt: Hvis samtykket indgår i en erklæring, som også vedrører andre forhold, skal samtykket være klart adskilt herfra.
  • Tilbagekaldeligt: Personen skal frit kunne tilbagekalde samtykke, og et samtykke er kun gyldigt, hvis personen er blevet oplyst om dette.
  • Skriftligt: Der stilles ikke noget krav om skriftlighed, men DI anbefaler skriftligt samtykke.

 

4: "Vi siger, at vi ingen oplysninger har om medarbejderen"

Forkert: Som arbejdsgiver har virksomheden altid oplysninger om medarbejderne, og de ansatte har ret til at få udleveret de oplysninger, hvis de ønsker det.

I har som udgangspunkt én måned til at udlevere oplysningerne.

5: "Medarbejderne ved hvilke data, vi behandler. De har ofte selv givet os oplysningerne."

Forkert: Som arbejdsgiver har I pligt til at oplyse medarbejderne om, hvilke oplysninger I har om dem. I skal oplyse, hvilke kategorier af oplysninger I har, hvorfor I behandler oplysningerne, og hvem oplysningerne behandles af, herunder eventuelle databehandlere.

Desuden skal I oplyse medarbejderne om, hvilken regel i lovgivningen, der giver jer ret til at behandle den type oplysninger.

Læs mere om persondataforordningen - implementering i danske virksomheder

Kontakt DI

Mere fra DI om persondata:

Kontakt DI's juravagt for rådgivning, 33773377 eller jura@di.dk

Kim Haggren

Underdirektør

  • Direkte +45 3377 3449
  • Mobil +45 2124 4608
  • E-mail kih@di.dk
Relateret