Her skitseres de vigtigste forpligtelser i forhold til GDPR, du som arbejdsgiver har før, under og efter et ansættelsesforhold.
Før ansættelsesforholdet
Ansøgninger
Før et ansættelsesforhold behandler din virksomhed typisk en masse personoplysninger i form af ansøgninger og cv’er fra potentielle medarbejdere. Adgangen til disse oplysninger skal begrænses til de relevante personer i virksomheden, ligesom du bør have en procedure, der sikrer, at oplysningerne ikke opbevares i længere tid, end det er relevant.
Det vil typisk sige, at oplysningerne fra frasorterede ansøgere skal slettes inden for seks måneder. Hvis du ønsker at arkivere en ansøgning med henblik på en eventuelt senere ansættelse, skal du indhente samtykke fra ansøgeren.
Rekrutteringsbureau
Hvis din virksomhed bruger et eksternt rekrutteringsbureau, skal du også sikre dig, at bureauet overholder GDPR-reglerne.
Referencer
Hvis du ønsker at indhente referencer fra ansøgerens tidligere arbejdsgivere, skal du have samtykke fra ansøgeren. Et samtykke giver ikke samtykke til at indhente følsomme oplysninger, med mindre det udtrykkeligt er angivet.
Du skal sikre dig, at omfanget af samtykket er i overensstemmelse med de informationer, der udveksles. Søger du følsomme oplysninger som fx helbredsoplysninger, skal ansøgeren have samtykket specifikt til dette.
Under ansættelsesforholdet
Brug af data som medarbejderen selv har afgivet
Udgangspunktet er, at du som arbejdsgiver må behandle personoplysninger, som medarbejderen selv har afgivet til brug for ansættelsesforholdet. For at opfylde forpligtelsen som arbejdsgiver skal du fx kunne udbetale løn til et anvist kontonummer.
På virksomhedens hjemmeside må du også gerne offentliggøre arbejdsrelaterede oplysninger som navn, stilling mv. uden specifikt samtykke fra medarbejderen. Det kræver dog udtrykkeligt samtykke at bruge medarbejderens billede på hjemmesiden.
Brug af data til kontrol
I løbet af et ansættelsesforhold kan du som arbejdsgiver have en interesse i at have kontrolforanstaltninger, fx vedrørende de ansattes brug af internet, e-mail, GPS-kørsel osv. Inden sådanne procedurer indføres, er det vigtigt, at du har taget visse forholdsregler.
Du har fx pligt til at orientere dine ansatte om disse kontroltiltag. Det kan du fx gøre i en personalehåndbog eller på anden måde lade fremgå af retningslinjer i virksomheden. Derudover skal formålet med den enkelte kontrolforanstaltning fremgå, og dette formål skal være sagligt (fx sikkerhed, dokumentation ift. kunder mv.). En anden vigtig ting at huske er, at du som arbejdsgiver aldrig må læse en medarbejders e-mail, hvis den er markeret med ”privat”. Private e-mails er nemlig omfattet af reglerne om brevhemmelighed i straffeloven.
Begrænsning af adgang til data
Under ansættelsesforholdet har du også pligt til at begrænse adgangen til følsomme personoplysninger på dine medarbejdere. Derfor bør det kun være relevante medarbejdere i fx en HR-afdeling, som har adgang til medarbejdernes personoplysninger.
Derudover skal du også sikre dig, at der er styr på sikkerheden, både i virksomheden og hvis medarbejderne har hjemmearbejdspladser og mobile enheder, hvorfra der er adgang til personoplysninger. Må der fx kunne printes hjemmefra, eller må en medarbejders familiemedlemmer benytte en computer, hvor der potentielt er adgang til personfølsomme oplysninger?
Bruger du en ekstern it-leverandør til fx håndtering af løn, skal du også sikre dig, at leverandøren overholder kravene som databehandler.
Efter ansættelsesforholdet
Sletning af oplysninger
Det er rigtig vigtigt, at din virksomhed har procedurer for opbevaring og ikke mindst sletning af medarbejderoplysninger efter, at en medarbejder er fratrådt.
Det betyder i princippet, at du, hver gang en medarbejder fratræder, bør vurdere, hvilke dele af en medarbejders personalefil, der ikke længere er behov for, og hvilke oplysninger der skal gemmes af hensyn til dokumentation til offentlige myndigheder, potentielle tvister i ansættelsesforholdet mv.
Medarbejderens e-mail-konto må kun holdes aktiv i en periode, der er så kort som mulig, og snarest muligt efter at medarbejderen er fratrådt, skal der sættes autosvar på med oplysning om fratrædelse og evt. anden relevant information.
Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders e-mail-konto. I dette tilfælde bør det sikres, at medarbejderen er bekendt med proceduren som led i den almindelige personalepolitik.
Har du brug for professionel rådgivning om GDPR og dine ansatte, så kontakt en advokat fra Advodan med speciale i persondata i dag.