GDPR i ansættelsesforhold

Introduktion

Har du ansatte i din virksomhed, så ved du måske allerede, at du har en GDPR-opgave foran dig her. Men hvad skal du særligt være opmærksom på, når det kommer til netop ansættelsesforhold? Det vil jeg forsøge at beskrive nærmere for dig i denne artikel.

Hvilke oplysninger må og kan du behandle om dit personale?

Der gælder en række principper for behandling af personoplysninger. De principper er derfor også vigtige at kende til, når du behandler oplysninger om dit personale. Du kan læse lidt mere om det i denne artikel: Principperne i GDPR. Eksempelvis må du kun behandle de oplysninger, som er nødvendige, for at du kan administrere dit personale. Og personaleadministration omhandler jo mange emner, for eksempel udbetaling af løn og pension, registrering af syge- og feriefravær, indberetninger til SKAT osv.

Her kan du se en oversigt over de typer af oplysninger, som oftest behandles, når man har personale:

Almindelige oplysninger
  • Navn
  • Adresse
  • Telefonnummer
  • Emailadresse
  • Civilstand og andre familiemæssige forhold
  • Faglige kvalifikationer
  • Arbejdstid
  • Oplysninger om økonomiske forhold, eksempelvis løn og skatteoplysninger
  • Oplysninger om kontonummer
  • Fotos (husk nu at bede om samtykke, når du vil have portrætter af dit personale på din hjemmeside)
  • Og meget andet!
Særlige (følsomme) oplysninger
  • Helbredsoplysninger (husk dog på, at du kun må registrere helbredsoplysninger, hvis du har et sagligt formål med det. Undlad som hovedregel at registrere sygdommens art, når din medarbejder ringer og melder sig syg – det vil ikke være nødvendigt, når det er “almindelig” sygdomsfravær).
  • Seksuelle forhold eller seksuel orientering (eksempelvis ifm. en personalesag fra julefrokosten)
  • Fagforeningsmæssige forhold
  • Og måske registrerer du også oplysninger om religion eller andre af de følsomme oplysninger.

Se også artiklen her, som forklarer mere om de forskellige typer af personoplysninger.

 

Fortrolige oplysninger
  • CPR-nummer.
  • Strafbare forhold – for eksempel hvis du registrerer oplysninger om, at du har en begrundet mistanke eller pågriber en medarbejder i at begå noget strafbart i din virksomhed.
    • En “ren” straffeattest er dog en helt almindelig oplysninger. Dog indeholder en straffeattest også CPR-nummeret på personen, så pas godt på den. Lad være med at opbevare en straffeattest, men destruer den, når du har godkendt den.
    • En “ren” børneattest er også en helt almindelig oplysning, som dog også indeholder et CPR-nummer. Men modsat en straffeattest, så kan der være krav om, at man skal opbevare børneattesten, som skal fremvises til relevante myndigheder ved tilsynsbesøg. Så opbevar den sikkert og fortroligt.

Hvad er grundlaget for, at du må behandle oplysninger om dit personale?

Også her skal du have “hjemmel” – dvs. lovgrundlag – for at behandle oplysninger om dit personale. Der findes en række forskellige behandlingsgrundlag, som kan gøre det lovligt at behandle personoplysninger. Dem kan du læse mere om her: Behandlingsgrundlag.

I forbindelse med ansættelsesforhold, er disse behandlingsgrundlag de mest anvendte:

Samtykke

I nogle tilfælde skal du indhente et gyldigt samtykke fra dine medarbejdere:

  • Når du behandler oplysninger om en medarbejders helbred.
    • Her er der selvfølgeligt visse undtagelser, hvor du ikke skal indhente samtykke. Læs mere i boksene herunder.
  • Når du vil offentliggøre fotos/video af dine medarbejdere, eksempelvis på virksomhedens hjemmeside eller på sociale medier.
  • Hvis du vil indhente straffeattest fra Politiet. Her kan du i stedet bede medarbejderen om at indhente den og videregive den til dig – det anses også som et samtykke.
    • Du skal dog huske på, at du kun skal bede om en straffeattest, hvis det er proportionalt og relevant ifm. ansættelsen og stillingens indhold!

Du kan læse mere om samtykke lige her: Samtykke

Kontrakt

Ansættelseskontrakten mellem dig og din medarbejder giver dig adgang til at kunne behandle oplysninger, som er nødvendige for at du kan opfylde kontrakten.

Det betyder derfor, at du kan behandle langt de fleste almindelige oplysninger om dit personale, for eksempel:

  • Navn
  • Adresse
  • Telefonnummer
  • Emailadresse
  • Faglige kvalifikationer
  • Arbejdstid
  • Oplysninger om økonomiske forhold, eksempelvis løn og skatteoplysninger
  • Oplysninger om kontonummer
  • Oplysninger om sygefravær og sygeperioder (uden angivelse af sygdommens art)
  • M.m.
Du skal overholde en retlig forpligtelse - eller din medarbejderes rettigheder

I nogle tilfælde kan du behandle oplysninger om dine medarbejdere, for eksempel fordi du skal overholde en anden lovgivning.

  • Oplysninger om helbred – eksempelvis sygdommens art – kan være nødvendig at registrere, hvis I laver en aftale i overensstemmelse med sygedagpengelovens §56, som giver adgang til refusion ved langvarigt fravær begrundet i sygdom.
  • Oplysninger om fagforeningsforhold kan være nødvendig at registrere af hensyn til dine forpligtelser og dine medarbejderes rettigheder.
Du forfølger et retskrav

I nogle tilfælde vil du kunne få brug for at behandle oplysninger om en medarbejder, fordi du har ret til at gøre krav på noget. Det kan for eksempel dreje sig om:

  • Erstatning som følge af en medarbejders arbejdsskade
  • En tvist som følge af en medarbejders svindel eller tyveri e.l.
Du har en legitim interesse

I nogle tilfælde kan du behandle oplysninger om dine medarbejdere, fordi du har en legitim interesse i det. Her taler vi altså om, at du gerne vil behandle oplysninger, men hvor du ikke kan gøre brug af de allerede nævnte behandlingsgrundlag (samtykke, kontrakt, retlig forpligtelse eller retskrav). Det kan for eksempel være, at du som en privat virksomhed vil registrere oplysninger fra MUS-samtaler, som du ikke er forpligtet til at afholde.

Du skal dog være meget opmærksom på, at du skal foretage en grundig interesseafvejning, før du kan gøre brug af “legitim interesse” som behandlingsgrundlag. Det kan du læse mere om her: Behandlingsgrundlag (se boksen “Legitim interesse”).

Hvor længe må du opbevare oplysninger om dit personale?

Oplysninger om personer må opbevares, så længe det er nødvendigt. Det siger sig selv, at under ansættelsen har du brug for oplysningerne for at kunne foretage personaleadministrationen. Spørgsmålet er, hvor længe du lovligt kan opbevare oplysninger om fratrådte medarbejdere.

Nøgleordet er: “nødvendigt“. Det kan du læse mere om her: Principperne i GDPR (se under det tredje princip om dataminimering).

Det kan for eksempel være nødvendigt for dig at opbevare oplysningerne af hensyn til afregning af restferie i en vis periode efter fratrædelsen. Det kan også være nødvendigt for dig at opbevare oplysninger, hvis du har afskediget en medarbejder på grund af svindel og nu står overfor en retssag. Eller hvis din medarbejder er kommet ud for en arbejdsulykke og ikke længere er ansat hos dig, imens sagen er under behandling. Og for offentlige arbejdsgivere kan der være krav om journalisering og arkivering, som også har betydning for, hvor længe oplysningerne lovligt kan opbevares.

Det er vigtigt, at du har taget stilling til, hvor længe du lovligt kan opbevare oplysningerne om dit personale. Der er ikke nogen facitliste, så derfor skal du selv vurdere og argumentere for det. Det kan du læse mere om her: Slettefrister.

Opmærksomhedspunkter

Som arbejdsgiver har du i mange tilfælde behov for at videregive oplysninger om dit personale til andre modtagere – for eksempel SKAT, pensionskasser, fagforeninger m.m. Det kan du gøre lovligt, når formålet er sagligt og du har hjemmel til det (se afsnittet ovenfor).

Mange arbejdsgivere vil desuden gerne vise portrætfotos af deres medarbejdere på deres hjemmeside. Her skal du huske, at du skal indhente et gyldigt samtykke fra dine medarbejdere, før du gør det. Det samme gælder i det hele taget, hvis du offentliggør billeder af dit personale – for eksempel i andet markedsføringsmateriale.

Hvis dine medarbejdere er omfattet af en overenskomst og der er en tillidsrepræsentant på arbejdspladsen, så gælder der nogle helt særlige forhold. Det kan du læse mere om i Datatilsynets vejledning om “GDPR i ansættelsesforhold” – se linket herunder.

Endelig er der forskellige overvejelser, du skal have med dig, når du rekrutterer personale. Det beskriver jeg nærmere i artiklen: “GDPR når du rekrutterer personale“.

​Hvor kan du læse mere

Du kan læse mere om GDPR i ansættelsesforhold på Datatilsynets hjemmeside.