Ifølge den nye persondataforordning skal virksomheder som ønsker at indsamle og anvende personoplysninger om fx en kunde eller en ansat, have samtykke fra den pågældende person.
Persondata på ansatte eller jobansøgere
De fleste virksomheder modtager fra tid til anden måde uopfordrede og opfordrede job ansøgninger. Disse ansøgninger indeholder typisk en række personlige data – både af almen og fortroligt art. Kun relevante personer i virksomheden bør have adgang til disse data. Ligeledes bør virksomheden have en procedure for at slette disse data, at disse ikke længere er relevante. Normalt vil persondata af denne karakter ikke være relevant for virksomheden efter en periode på maksimalt seks måneder.
Har virksomheden et ønske om at gemme ansøgninger i en periode ud over seks måneder, fordi nogle ansøgere kunne komme i betragtning ved senere stillingsopslag, skal virksomheden indhente et samtykke fra hver ansøger.
Hvis der indhentes referencer på en jobansøger, skal man sikre sig, at man har fået samtykke fra ansøgeren. Dette gælder især, hvis der udveksles informationer om ansøgerens helbred.
Da virksomheden fremstår som den dataansvarlige, skal virksomheden også sikre sig af persondatalovgivningen overholdes i situationer, hvor virksomheden ikke selv håndtere processen omkring ansættelse af nye medarbejdere, men har overladt det til et eksternt bureau.
En virksomhed, som ligger inde med data om en ansat, kan ikke bare anvende disse data efter forgodtbefindende. Det kan være så konkret, som at virksomheden ønsker at anvende et billede af medarbejderen på virksomhedens hjemmeside. Det må virksomheden ikke, hvis virksomheden ikke har fået et udtrykkeligt samtykke fra medarbejderen. Det påhviler virksomheden, at kunne bevise, at et sådant samtykke er afgivet.
Det er jo således som arbejdsgiver gerne må behandle persondata som medarbejderen selv har angivet for at ansættelsesforholdet kan fungere. Der kan fx være tale om et kontonummer til lønudbetaling.
Internt i virksomheden skal man sikre sig, at det kun er relevante medarbejdere, som kan opnå adgang til medarbejdernes personlige oplysninger.
Virksomheden skal sikre sig at der er styr på sikkerheden omkring persondata. Det gælder både internt i virksomheden såvel som medarbejdernes eksterne adgang via hjemmearbejdspladser og mobile enheder.
Virksomhedens eksterne samarbejdspartnere, som har adgang til persondata, skal ligeledes overholde lovgivningen. Det påhviler virksomheden som dataansvarlig at sikre, eksterne leverandører, som fungerer som databehandlere overholder lovgivningens krav.
I situationer hvor virksomheden indsamler data i forbindelse med diverse kontroller – email, tlf. forbrug – skal virksomheden orientere medarbejderne om sådanne tiltag inden de iværksættes. Det kan fx gøres ved at beskrive det i personalehåndbogen. Formålet med kontrollen skal fremgå og kun i tilfælde må være en relevant og saglig grund til at foretage kontrol, er dette lovligt.
Man skal være opmærksom på at man kan komme i konflikt med straffeloven hvis man læser medarbejdernes private mails.
Når en medarbejder fratræder sin stilling, skal informationer som ikke længere er relevant slettes. Visse informationer kan dog gemmes, hvis de på et senere tidspunkt kunne blive relevante i forhold til evt. konflikter i forbindelse med fratrædelsen. I forbindelse med oplysningspligt i forhold til offentlige myndigheder, at det også komme på tale at glemme medarbejders data. Dog kun så længe dette er relevant.
I forbindelse med fratrådte medarbejderes e-mailkonti bør man hurtigst muligt etablere autosvar med relevante oplysninger om fratrædelsen. Man bør sikre, at kun få betroede medarbejdere har adgang til en fratrådt medarbejderes postkasse.
Datatilsynets minimumskrav til virksomheders personaleadministration
Skriftlig dokumentation
For det første skal der foreligge en skriftlig dokumentation, som beskriver hvordan virksomheden beskytter persondata. Dette kan gøres, sagde dele af en samlet beskrivelse af virksomhedens IT-politik.
Håndteringen af personale oplysninger
De personer i virksomheden, som har tilladelse til at håndtere personale oplysninger, skal både have kendskab til hvorledes oplysningerne må håndteres og hvordan disse beskyttes.
Adgang til personale oplysninger
Adgangen til personale oplysninger skal begrænses til så lille kreds af personer som overhovedet muligt og kun til personer for hvem det er relevant at have en sådan adgang.
Adgangskoder til personale oplysninger
Computere og IT – systemer, som indeholder personale oplysninger, skal beskyttes med adgangskoder. Kun personer med tilladelse til at tilgå personale oplysninger må være i besiddelse af disse koder. Der bør være en politik for ofte adgangs koder skal skiftes.
Sikkerhed på computere
Computere, som indeholder personalet oplysninger også som samtidig har adgang til internettet, skal beskyttes med sikkerhedssoftware, som løbende opdateres.
Lagring på bærbare datamedier
Lagres personale oplysninger på flytbare datamedier, som fx en USB-nøgle eller en ekstern harddisk, skal oplysningerne beskyttes med password og kryptering.
Ved service og reparation
I fald IT-udstyr, som indeholder personale oplysninger, skal serviceres eller repareres, skal man sikre sig, ingen personale oplysninger kommer uvedkommende i hænde.
Brug af eksterne databehandlere
Når man anvender eksterne databehandlere til håndtering af personoplysninger skal man som dataansvarlig sikre at person data lovgivningen overholdes – kan tænkes især på skriftlige databehandler aftaler.
Persondata ved salg eller fusion af virksomheder
Hvis der er brug for videregivelse af følsomme oplysninger om medarbejdere fx fagforeningsforhold, er det nødvendigt at opnå samtykke fra den eller de registrerede.
Enhver form for databehandling skal fortsat opfylde dataforordnings krav til data behandling.
Det er et krav, at virksomheden kan dokumentere, at den overtagende part har en legitim og berettiget interesse i oplysningerne. Hvis dette ikke tilfældet må videregivelse af personale oplysninger kun finde sted, hvis der er opnået et udtrykkeligt samtykke hertil.
Videregivelse af oplysninger med persondata kan dog i visse situationer godt foretages uden et samtykke fra de registrerede. Dette gælder dog kun i situationer, hvor behandlingen af data er en nødvendighed, for at den dataansvarlige og en evt. tredjepart kan få følger berettigede interesser. Det kræves dog, at disse interesser ikke overstiger den registrerede interesser.
Persondata på kunder
I forhold til virksomhedens kunder at det også vigtigt at man har den fornødne hjemmel til at anvende kundens data. Det kunne fx være en situation, hvor virksomheden ønsker at lave en målrettet tilbud til kunde, som er baseret på data som virksomheden allerede har om kunden. Det kan kun gøres, hvis kunden har givet samtykke hertil.
En samtykkeerklæring skal indeholde en klar beskrivelse af hvordan kundens data behandles, hvad de anvendes til samt om disse videregives til tredjepart.
En samtykkeerklæring skal normalt kun opnås én gang fra en kunde, men i fald man ønsker at anvende kundens persondata til et formål, som ikke fremgår af den oprindelige samtykkeerklæring, skal man indhente en ny erklæring, som beskriver det nye formål.
Det er derfor ikke muligt på lovlig vis at lave en erklæring, som giver generel adgang til at anvende persondata.
En erklæring om samtykke skal derfor indeholde en række informationer:
- Navnet på virksomheden samt informationer om hvordan man kontakter virksomhedens dataansvarlige
- En specifikation at formålet med indsamlingen af data.
- En beskrivelse af den registreredes rettigheder til at få rettet og slettet data. Ligeledes skal det fremgå af den registrerede har ret til at trække et samtykke tilbage.
- En beskrivelse af muligheden for at klage til datatilsynet.
- Navnene på modtagerne af de informationer som indsamles.
- Informationer om hvorvidt det er obligatorisk eller frivilligt at afgive informationer, samt hvilke konsekvenser det kan have ikke at afgive informationer.
Man må ikke gøre en erklæring om samtykke til en integreret del af fx virksomhedens generelle forretningsbetingelser. Det er helt afgørende, at en erklæring om samtykke afgives i et separat dokument eller via et særskilt afkrydsningsfelt på en hjemmeside, hvor samtidig er et link hvor det klart fremgår hvad det er man giver samtykke til samt de informationer som fremgår af ovenstående krav til en erklæring om samtykke.