Hvor behandler Bluegarden kundernes data?

I Bluegarden behandler vi kun data i EU/EØS. Mere præcist bliver danske kunders data behandlet i Danmark. Hvis man som kunde benytter E-arkiv behandles data også i Holland.

 

Kan Bluegarden hjælpe sine kunder med Databehandleraftalen?

Ja. Hvis man bruger Bluegarden som underdatabehandler, udarbejder vi de nødvendige databehandleraftaler.

 

Kan en medarbejder forlange, at arbejdsgiver skal lave lønnen og ikke må videresende oplysningerne til en ekstern partner som fx en revisor?

Nej. Arbejdsgiveren er dataansvarlig og bestemmer dermed, hvem der behandler oplysningerne. En arbejdsgiver må ikke videregive oplysninger til en uvedkommende tredjepart, men det bliver ikke betragtet som videregivelse af oplysninger, når man bruger en databehandler til at behandle personoplysninger. Databehandleren behandler data på vegne af den dataansvarlige.

 

Skal det dokumenteres, hvilken medarbejder der behandler lønnen?

Nej ikke på personniveau, men i virksomhedens egen dokumentation for håndtering af persondata, skal det beskrives hvilke stillingsbetegnelser, der har adgang til medarbejderdata.

 

Skriftligt samtykke fra medarbejderne: Hvornår?
Samtykke er fx nødvendigt, hvis man vil publicere billeder af sine medarbejdere på internettet, eller hvis man ønsker at behandle følsomme oplysninger som fx helbredsoplysninger, altså oplysninger om, hvad medarbejderen fejler. Fraværsoplysninger, altså hvor længe en medarbejder er syg, kræver ikke samtykke til behandling.

  

Vi har en liste med navn og telefonnummer på de ansattes pårørende hængende på opslagstavlen i frokoststuen, så de pårørende kan kontaktes hurtigt, hvis der sker et uheld på værkstedet. Bliver det ulovligt?

Nej. Pårørendelister kan netop begrundes med, at man kan få behov for at kontakte pårørende hurtigt. Man kunne evt. lægge listen i en skuffe, så den hurtigt kan findes frem, men ikke hænger fremme i frokoststuen hele tiden.


Hvor længe kan /må man gemme lønsedler og div. dokumentation?

Så længe der er en saglig grund til at opbevare dem. Fagretlige sager har fx en forældelse på 5 år. Så ansættelsesbreve, afskedigelsesbreve, sager om bortvisninger o.lign. kan man forsvare at gemme op til 5 år. Andre dokumenter bør slettes, når de ikke længere bruges til noget.  Vedr. løndokumentation kan man fx vælge at lægge sig op ad regnskabslovgivningen, hvor man skal have dokumentation i 5 år plus løbende kalenderår.

 

Kan en tidligere medarbejder kræve at få indsigt i og kopi af alle virksomhedens oplysninger om vedkommende?

Ja. Medarbejderen kan kræve at få indsigt i, hvilke oplysninger der behandles; med hvilket formål oplysningerne behandles; hvor længe oplysningerne behandles – samt forlange kopi af alle oplysninger.

 

Kan en tidligere medarbejder kræve, at vi sletter alle oplysninger om hende i lønsystemet

Nej. Man kan ikke kræve at blive glemt eller slettet i systemet, så længe der er en saglig grund til at virksomheden beholder oplysningerne. Normalt vil man på grund af reglerne i bogføringsloven gemme denne slags oplysninger i fem år plus indeværende kalenderår.

 

Bliver arbejdsgiver forpligtet til at slette gamle medarbejderlister/telefonlister, når en medarbejder stopper?

Persondataloven og Persondataforordningen stiller krav om, at der skal være et sagligt eller legitimt formål med at opbevare eller behandle data. Derfor er udgangspunktet, at man skal slette oplysninger, der ikke skal bruges til noget, når en medarbejder er fratrådt. Hvis man som arbejdsgiver har en god grund til gemme gamle medarbejderlister/telefonlister, vil man kunne opbevare dem i en periode efter en ansættelses ophør.

 

Hvordan ved man, om man skal udnævne en DPO (Data Protection Officer/ databeskyttelsesrådgiver)?

Betingelserne fremgår af Persondataforordningens artikel 37.

  • Alle offentlige virksomheder skal have en DPO.
  • Private virksomheder skal have en DPO, hvis:
  • Virksomhedens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang og
  • Virksomheden behandler store mængder af særligt følsomme oplysninger, fx helbredsoplysninger, oplysninger om religiøs og politisk overbevisning, straffedomme og lign. skal have en DPO.
  • Derudover kan hvert enkelt land fastsætte særlige regler om typer af virksomheder, der skal have en DPO. I Danmark er der endnu ikke fastsat særlige nationale regler

 

Fagforeningsforhold: Kræver det ekstra tiltag fra maj 2018?

I dag er fagforeningsforhold følsomme oplysninger, der kun må behandles under de omstændigheder, der fremgår af persondatalovens § 7. Persondataforordningen ændrer ikke på dette. Der skal stadig være legitim grund til at behandle oplysningen.

 

13. juni 2017