EU Persondataforordningen og dokumentationskrav:
Det skal I gøre - og det skal I ikke gøre 

EU Persondataforordningen stiller bl.a. nye og mere strikse krav til, hvordan I som virksomhed håndterer og opbevarer persondata. Nogle af kravene skal I selv imødegå nu og her. Andre kan I med fordel bede jeres leverandør om at dokumentere.

Kan du genkende det her?

Du ved, at EU Persondataforordningen er vigtig. Du er også opmærksom på, at den får betydning for hvordan, I håndterer persondata på i jeres virksomhed. Men du har endnu ikke overblik over, hvordan du kommer i gang med forberedelserne, hvad du skal gøre lige nu og her, og hvad du ikke skal gøre?

Hvis det er tilfældet, så læs med her.

Saglig anvendelse af persondata

Man skal, som arbejdsgiver, kunne dokumentere, at man overholder Persondataforordningens krav om lovlig behandling af Persondata.

Det første skridt på vejen, er at afdække præcis hvilke medarbejderoplysninger, I ligger inde med. Det betyder, at I frem mod foråret 2018 bør gennemgå de it-systemer og fysiske opbevaringssteder, hvor I behandler og udveksler persondata og notere dette ned.

Vi anbefaler desuden, at I tager en snak med de medarbejdere i jeres organisation, der håndterer persondata. I skal undersøge, hvordan de modtager persondata, og hvordan de opbevarer dem. Det kan give jer et billede af, hvordan dataene flyder frem og tilbage mellem mailsystemer, arkiver og services i skyen. I bør også overveje:

  • Hvad er formålet med behandlingen af oplysningerne?
  • Behandler I kun de oplysninger, der er nødvendige, for at varetage administrationen af ansættelsesforholdet?
  • Er adgangen til personoplysningerne begrænset til de medarbejdere, der har et arbejdsbetinget behov for at kunne tilgå oplysningerne?

Når I har dannet jer et overblik over hvilke personoplysninger, I behandler i virksomheden, kan I gå i gang med at sikre jer, at der kun foretages lovlig behandling af disse.

Endelig skal I kigge kritisk på, hvorfor I opbevarer persondataene. Mange virksomheder har for vane at gemme alle oplysninger om tidligere medarbejdere flere år tilbage. Men det er ikke tilladt. Ifølge forordningen skal der være en saglig grund til at gemme data. Er der ikke det, skal dataene slettes - digitalt fra it-systemet eller fysisk fra papirarkivet.

Der er ikke formelle krav til, hvordan I dokumenterer jeres personaleadministrative data. I kan gøre det på den måde, I ønsker.

Bed jeres leverandør om en databehandleraftale

Som virksomhed er I ansvarlige for alle de persondata, virksomheden genererer - inklusive personaleadministrative data såsom HR- og lønoplysninger.

Hvis I køber jer til personaleadministrative ydelser – hos eksempelvis Bluegarden eller en tilsvarende leverandør – skal I have en databehandleraftale, der dokumenterer, at leverandøren lever op til dokumentationskravene i EU Persondataforordningen. Databehandleraftalen skal blandt andet angive, hvor jeres data opbevares henne.

Bluegardens kunder har i dag en databehandleraftale, som lever op til reglerne i den gældende persondatalov. Vi er pt. i fuld gang med at udarbejde nye databehandleraftaler, der lever op til kravene i den nye Persondataforordning. Vores kunder får tilsendt en ny databehandleraftaler i god tid før den nye Persondataforordning træder i kraft, og skal derfor ikke selv bruge tid på dette.

Du kan spørge dine eventulle andre leverandører, om de også sørger for at udarbejde en databehandleraftale, der lever op til kravene.

 

Maj 2017