Persondata i HR

Databeskyttelsesforordningen og databeskyttelsesloven fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer. DI kan rådgive om persondata, hvis det er nært knyttet til ansættelsesretten.

Databeskyttelsesforordningen og databeskyttelsesloven fastsætter overordnet reglerne for behandling af personoplysninger i Danmark..

Fælles for de to regelsæt er, at de finder anvendelse, når en virksomhed elektronisk eller manuelt behandler oplysninger om en person. E-mails, it-baseret sagsbehandling, cloudbaserede systemer og SMS’er er blot nogle få eksempler på elektronisk behandling. Der er tale om manuel behandling, når oplysningerne indgår i et register (for eksempel kartotekskasser, fortegnelser og ringbind).

”Personoplysninger” dækker over mange forskellige typer oplysninger, for eksempel:

  • navn
  • alder
  • adresse
  • CPR-nr.
  • sygdomsperioder
  • medlemskab af en fagforening
  • data fra GPS overvågning.

Begrebet ”behandling” omfatter stort set alt, som man kan udsætte personoplysninger for, herunder indsamling, registrering, opbevaring, videregivelse og sletning.

Angivne og saglige formål

Enhver indsamling og behandling af personoplysninger skal opfylde en række generelle krav. Eksempelvis må indsamling af personoplysninger kun ske til udtrykkeligt angivne og saglige formål, og en senere brug af oplysningerne må ikke være uforenelig med disse formål.

Hjemmel

Derudover skal den enkelte behandling have et grundlag (hjemmel) i lovgivningen. Eksempelvis giver reglerne mulighed for, at en virksomhed kan behandle en række almindelige oplysninger om sine egne medarbejdere for at opfylde sine forpligtelser i henhold til ansættelseskontrakten (f.eks. behandle oplysninger om medarbejderen ved udbetaling af løn).

I andre tilfælde kan en virksomhed behandle oplysninger om sine medarbejdere, hvis virksomhedens interesse i at behandle oplysningerne overstiger hensynet til medarbejderne (interesseafvejning).

Personoplysninger kan også behandles på baggrund af et klart samtykke fra den enkelte medarbejder.

Almindelige og særlige oplysninger

Efter databeskyttelsesforordning er der overordnet tale om to kategorier af personoplysninger: Almindelige oplysninger så som navn, adresse, telefonnummer mv. og særlige oplysninger, så som racemæssig baggrund, fagforeningsmæssigt tilhørsforhold, helbredsmæssige oplysninger mv.

Oplysninger om strafbare forhold samt personnumre er reguleret af særregler i databeskyttelsesloven.

Generelt skal der mere til for lovligt at kunne behandle særlige oplysninger end ved behandling af almindelige oplysninger.

Risiko for store bøder

Reglerne om personoplysninger er mange, komplicerede og omfattende. Ved forordningen ikrafttræden blev det mulige bødeniveau overtrædelse af reglerne skærpet betydeligt. I fremtiden vil de værste overtrædelser kunne udløse bøder på op til 20.000.000 euros eller 4 pct. af virksomhedens globale omsætning.

Derfor anbefaler DI, at virksomheder søger rådgivning hos juridiske og tekniske specialister.

DI’s rådgivning

DI’s personalejuridiske enheder rådgiver alene sine medlemsvirksomheder om personoplysninger, hvis henvendelsen er nært forbundet med ansættelsesretlige emner.

Det kan som eksempel være i forbindelse med rekruttering af nye medarbejdere. Det kan også være i forbindelse med brug af kontrolforanstaltninger (for eksempel videoovervågning, GPS, kontrol af it samt alkohol- og narkotikatest), hvor der som udgangspunkt vil ske indsamling og behandling af oplysninger om de enkelte medarbejdere.

DI rådgiver ikke om håndtering af personoplysninger, når det f.eks. drejer sig om virksomhedens generelle privatlivspolitikker, krav om databeskyttelsesrådgivere (DPO’ere) og dokumentationskrav samt generelle samarbejdskontrakter, databehandleraftaler og andre ”business to business”-forhold.

Datatilsynet er den relevante myndighed

Datatilsynet er den myndighed i Danmark, der fører tilsyn med overholdelse af databeskyttelsesforordningen og databeskyttelsesloven.

Du kan læse mere om behandling af personoplysninger på Datatilsynets hjemmeside.

For medlemmer

I dybden med persondata i HR

Vi har samlet svar på en lang række spørgsmål om behandling af persondata. Find ud af, hvor længe I må gemme en ansøgning, om I må bruge billeder af medarbejderne, hvad I skal gøre med en fratrådt medarbejders e-mailkonto og meget mere.

Gå i dybden

Artikel opdateret den 16.04.19

Se også

Har du brug for rådgivning?

I Juravagten sidder DI's eksperter inden for ansættelsesret og personalejura klar, hvis du har brug for hjælp. 

Juravagten

Åbningstider: mandag-fredag kl. 8.00-17.00

Telefon: 3377 3377

Mail: jura@di.dk

Relateret