Når du arbejder med løn og personaleadministration, jonglerer du med masser af medarbejderoplysninger. Derfor er GDPR - databeskyttelsesforordningen - vigtig for dig.

Centrale begreber i GDPR

Hver gang du skal vurdere, om - eller hvordan - du må behandle for eksempel en medarbejderoplysning, har du brug for at tjekke det op mod de grundlæggende principper i GDPR:

• Lovlighed - hvad er din legitime hjemmel til at behandle den givne data?
• Rimelighed - er det overhovedet relevant at indsamle eller gemme dataene?
• Gennemsigtighed - gør du det tydeligt (nok) for ejeren af data (medarbejderen), hvad du foretager dig og hvorfor?
• Formålsbegrænsning - har du klart afgrænset og formuleret, hvad du skal bruge data til?
• Opbevaringsbegrænsning - har du klarlagt, hvor længe du må opbevare data, og beskrevet hvilken procedure du følger for at slette dem igen?

Dyk ned i principperne

Hvorfor GDPR?

Digitalisering har sat turbo på at gøre persondata interessant, og personoplysninger er i visse kredse en rigtig hård valuta. De kan sladre, de er vigtige, og de er først og fremmest personlige. Som sådan er de den enkeltes (kæreste?) eje.

GDPR er opfundet for at beskytte personlige oplysninger og undgå misbrug af dem.

I arbejdet med løn og HR har du dine fingre i en masse (dyre og dyrebare) data, og derfor skal du have styr på at behandle og beskytte dem korrekt. Med respekt. Og selvfølgelig for at undgå bøder, hvis Datatilsynet kommer på besøg.

GDPR før, under og efter ansættelse

Du håndterer mange - både almindelige, fortrolige og måske endda følsomme - personoplysninger, mens en medarbejder er ansat. Ikke bare almindelige lønoplysninger, men måske også oplysninger om medarbejderens helbred, ligesom e-mails måske bliver logget, og bygningen videoovervåges.

Mere om medarbejderoplysninger under ansættelse

En jobansøger giver dig typisk indsigt i en række personlige oplysninger. Også her kræver GDPR, at du ved hvor grænserne går for at indhente information om dem, du overvejer at rekruttere. Og at du ved, hvor længe du må opbevare data. Det gælder forresten også for medarbejdere, der fratræder. Det er underordnet, om du opbevarer data digitalt eller på papir!

GDPR når du hyrer og fyrer

Du har oplysningspligt

Det er arbejdsgivers ansvar at oplyse hver enkelt medarbejder om, hvilke data der indsamles og opbevares - og hvorfor. Du skal faktisk have en eksplicit politik på området, og den skal være skrevet ned, nem at forstå og lige til at gå til for medarbejderen.

Tjek din oplysningspligt

Hvad betyder GDPR's "Behandlingssikkerhed"?

Som dataansvarlig skal du sørge for, at alle persondata behandles sikkert. Altså at data ikke behandles ulovligt, eller af de forkerte mennesker. At data ikke går tabt, "bliver væk" eller videregivet til uvedkommende.

Konkret betyder det, at I skal:

• lave en risikovurdering
• have indført tekniske, organisatoriske og fysiske foranstaltninger
• kunne dokumentere, hvad I gør
• registrere alle brud på persondatasikkerheden i en hændelseslog
• være klar over, hvornår et brud skal anmeldes til Datatilsynet

Mere om behandlingssikkerhed

 

Er du klar til, at Datatilsynet kommer på besøg?

Datatilsynet har lov til at bede dig svare på skriftlige forespørgsler for at tjekke virksomhedens GDPR-tilstand. Men de kan også finde på - og har frit slag til - at komme på fysisk besøg. Måske varsler de, at de kommer. Måske ikke. 

Hvad enten Datatilsynet kommer på anmeldt eller uanmeldt besøg, er det godt at være velforberedt. Du skal have overblik over alle de dele af GDPR, som påvirker jeres virksomhed, og som du uden at blinke skal kunne dokumentere, hvordan I håndterer.

Bliv klar til Datatilsynet

Medarbejderne har indsigtsret

Alle ejer deres egne persondata, og derfor har dine medarbejdere ret til indsigt i de reelle oplysninger, du som arbejdsgiver opbevarer om dem. Hvis en nuværende eller tidligere medarbejder ønsker indsigt, må du ikke stille dig på bagbenene - ej heller forhale processen.

Er data forkerte, kan medarbejderen kræve dem rettet. Og kan du ikke godtgøre, hvorfor du i det hele taget opbevarer de givne persondata, kan ejeren kræve dem slettet. 

Indsigtsretten er endnu en god grund til at have overblik over data - hvor de findes i jeres systemer og hvorfor.

Mere om indsigtsretten og dens konsekvenser

Dine databehandlere er dit ansvar

Lader du en ekstern samarbejdspartner eller leverandør behandle persondata for dig, er det dig, der har ansvaret for, at databehandleren overholder GDPR. Du er den dataansvarlige.

I den sammenhæng skal du derfor sørge for at indgå klare, skriftlige databehandleraftaler. 

Men ved du egentlig, hvad der skal med i en databehandleraftale?

Få greb om dine databehandlere

GDPR kræver konstant vedligehold

Den lidt kedelige nyhed er, at man sådan set aldrig kommer i mål med GDPR - i hvert fald ikke én gang for alle. Der sker hele tiden noget i ens forretning, så nye persondata måske kommer til, eller man får nye behov med de persondata, man allerede har. Den gode nyhed er, at der findes gode praktiske redskaber til at holde GDPR vedlige, så du så at sige løbende kommer i mål. Det sikrer dig, at du fortsat overholder GDPR.

Hold GDPR vedlige

GDPR og DataLøn

GDPR og dokumentationskrav

Revisionserklæring

10 væsentlige GDPR-pointer

Sager om GDPR

Første danske bøde

Første GDPR-sag

PwC og medarbejderdata

Persondatabrud og bøder

Praktiske tips

Download guides

3 praktiske tips til at overholde GDPR

Personaleadministration og GDPR

Hjælp til den lønansvarlige

Lær mere om GDPR

Tag på webinar

Grundlæggende GDPR-principper

GDPR under ansættelse

Rekruttering og fratrædelse

Din oplysningspligt

Hvad er "behandlingssikkerhed"?

Datatilsynet kommer

Dine databehandlere

Sådan holder du GDPR vedlige