Persondata i HR

Databeskyttelsesforordningen og databeskyttelsesloven fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer. DI Personalejura kan alene rådgive om persondata, hvis det er nært knyttet til ansættelsesretten.

Databeskyttelsesforordningen og databeskyttelsesloven fastsætter overordnet reglerne for behandling af personoplysninger i Danmark.

Fælles for de to regelsæt er, at de finder anvendelse, når en virksomhed elektronisk eller manuelt behandler oplysninger om en person. E-mails, it-baseret sagsbehandling, cloudbaserede systemer og SMS’er er blot nogle få eksempler på elektronisk behandling. Der er tale om manuel behandling, når oplysningerne indgår i et register (for eksempel kartotekskasser, fortegnelser og ringbind).

Personoplysninger” dækker over mange forskellige typer oplysninger, for eksempel:

  • navn
  • alder
  • adresse
  • CPR-nr.
  • sygdomsperioder
  • medlemskab af en fagforening
  • data fra GPS overvågning.

Begrebet ”behandling” omfatter stort set alt, som man kan udsætte personoplysninger for, herunder indsamling, registrering, opbevaring, videregivelse og sletning.

Angivne og saglige formål

Enhver indsamling og behandling af personoplysninger skal opfylde en række generelle krav. Eksempelvis må indsamling af personoplysninger kun ske til udtrykkeligt angivne og saglige formål, og en senere brug af oplysningerne må ikke være uforenelig med disse formål. Som et andet eksempel skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

Hjemmel

Derudover skal den enkelte behandling have et grundlag (hjemmel) i lovgivningen. Eksempelvis giver reglerne mulighed for, at en virksomhed kan behandle en række almindelige oplysninger om sine egne medarbejdere for at opfylde sine forpligtelser i henhold til ansættelseskontrakten (f.eks. behandle oplysninger om medarbejderen ved udbetaling af løn).

I andre tilfælde kan en virksomhed behandle oplysninger om sine medarbejdere, hvis virksomhedens interesse i at behandle oplysningerne overstiger hensynet til medarbejderne (interesseafvejning).

Personoplysninger kan også behandles på baggrund af et klart samtykke fra den enkelte medarbejder. I skal som arbejdsgiver sikre jer, at I vælger det mest passende behandlingsgrundlag.

Almindelige og særlige oplysninger

Efter databeskyttelsesforordning er der overordnet tale om to kategorier af personoplysninger: Almindelige oplysninger såsom navn, adresse, fødselsdato, telefonnummer mv. og særlige oplysninger, såsom racemæssig baggrund, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger, genetiske data, seksuelle forhold mv.

Oplysninger om strafbare forhold samt personnumre er reguleret af særregler i den danske databeskyttelseslov.

Generelt skal der mere til for lovligt at kunne behandle særlige oplysninger end ved behandling af almindelige oplysninger.

Risiko for store bøder

Reglerne om personoplysninger er mange, komplicerede og omfattende. Ved forordningens ikrafttræden blev det mulige bødeniveau overtrædelse af reglerne skærpet betydeligt. Tilsidesættelse af databeskyttelsesforordningen kan i værste fald udløse bøder på op til 20.000.000 euros eller 4 pct. af virksomhedens globale omsætning.

Derfor anbefaler DI, at virksomheder søger rådgivning hos juridiske og tekniske specialister.

DI’s rådgivning

DI’s personalejuridiske enheder rådgiver alene sine medlemsvirksomheder om personoplysninger, hvis henvendelsen er nært forbundet med ansættelsesretlige emner.

Det kan som eksempel være i forbindelse med rekruttering af nye medarbejdere. Det kan også være i forbindelse med brug af kontrolforanstaltninger (for eksempel videoovervågning, GPS, kontrol af it samt alkohol- og narkotikatest), hvor der som udgangspunkt vil ske indsamling og behandling af oplysninger om de enkelte medarbejdere.

Uden for dette område vejleder DI Erhvervsjura, men rådgiver ikke, om håndtering af personoplysninger, når det f.eks. drejer sig om virksomhedens generelle privatlivspolitikker, krav om databeskyttelsesrådgivere (DPO’ere), dokumentationskrav, generelle samarbejdskontrakter, databehandleraftaler, tredjelandsoverførsler og andre ”business to business”- og ''business to consumer''-forhold. I kan læse og få hjælp til disse emner på Databeskyttelse (GDPR) - DI (danskindustri.dk).

Datatilsynet er den relevante myndighed

Datatilsynet er den myndighed i Danmark, der fører tilsyn med overholdelse af databeskyttelsesforordningen og databeskyttelsesloven.

På det ansættelsesretlige område har Datatilsynet udarbejdet en vejledning om Databeskyttelse i forbindelse med ansættelsesforhold.

Du kan læse mere om behandling af personoplysninger på Datatilsynet.

Skabeloner

Skabeloner til samtykkeerklæring

Hent

Skabeloner

Skabelon til personalepolitik om persondata

Hent
For medlemmer

I dybden med persondata i HR

Vi har samlet svar på en lang række spørgsmål om behandling af persondata. Find ud af, hvor længe I må gemme en ansøgning, om I må bruge billeder af medarbejderne, hvad I skal gøre med en fratrådt medarbejders e-mailkonto og meget mere.

Gå i dybden

Artikel opdateret den 24.05.23

Se også

Relateret indhold

Fandt du ikke svar?
Få hjælp
Skriv til vores eksperter

Her kan du stille dine personalejuridiske spørgsmål. Når du har udfyldt og sendt formularen, bliver din sag oprettet hos den rette ekspert, som kontakter dig telefonisk eller på e-mail hurtigst muligt.