Hold styr på jeres persondata

Der er mange ting, der skal holdes styr på, når I behandler persondata. Vi skaber her et overblik over, hvad I skal have udfærdiget af aftaler og erklæringer.

Følgende skal I have styr på virksomheden:

  • En art. 30 fortegnelse liggende på virksomheden
  • Databehandleraftaler liggende på virksomheden
  • Opfylde jeres oplysningsforpligtelse
  • Samtykkeerklæringer liggende på virksomheden (hvis I behandler følsomme oplysninger)
  • Overholde reglerne om behandling af følsomme oplysninger
  • Procedure for indsigt og sletning af den registreredes oplysninger liggende på virksomheden

Nedenfor vil vi gennemgå, hvad I skal opfylde, de enkelte aftaler, erklæringer mv. og komme med eksempler på, hvordan de kan udarbejdes, og hvordan I lever op til jeres forpligtelser og gældende lovgivning.

En art. 30 fortegnelse

En art. 30 fortegnelse er et dokument, som I skal kunne fremvise Datatilsynet, hvis de ønsker at se det.

Den skal danne et overblik over alle processer eller systemer, hvor I behandler persondata. Derudover skal den vise, at I overholder forordningen og bl.a. principperne i art. 5 om behandling af personopysninger.

Fortegnelsen skal være skriftlig og elektronisk, derudover er der ikke formkrav til den. I kan derfor fx lave den i et Word dokument eller et Excel ark.

Fortegnelsen skal indeholde oplysninger om:

  • Navn og kontaktoplysninger

Den skal indeholde den dataansvarliges navn og kontaktoplysninger. Når det er relevant, skal navn og kontaktoplysninger på følgende personer også fremgå: Den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren.

  • Formålet (fx personaleadministration)
  • Kategorier af registrerede (fx medarbejdere, kunder, ansøgere) og personoplysninger (I skal som minimum oplyse, om personoplysningerne alene er omfattet af art. 6 – eller om de også er omfattet af art. 9 (særlige personoplysninger) eller art 10 (strafbare forhold).
  • Kategorier af modtagere ved videregivelse

I skal kortlægge, om der sker en videregivelse og i givet fald til hvem. Sker der videregivelse, skal det fremgå, hvilke kategorier af personoplysninger, der videregives. I tilknytning til det skal det fremgå , hvilke kategorier af registrerede, oplysningerne vedrører (det kan fx være videregivelse til SKAT eller et pensionsselskab).

  • Overførsler til tredjelande og internationale organisationer
  • Slettefrister

I skal oplyse om de forventede tidsfrister for sletning. Det skal gøres for de enkelte kategorier af oplysninger, I behandler.

  • Tekniske og organisatoriske foranstaltninger

Hvis det er muligt, skal fortegnelsen indeholde en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger (fx at der anvendes individuelle passwords, er installeret antivirusprogram, etableret back-up og genetableringsprocedure for alle servere, etablering af procedurer og politikker for behandling og kommunikation med personoplysninger osv.).

Eksempel på en art. 30 fortegnelse vedr. HR:

Dataansvarlig
Virksomhedens navn, CVR-nr og kontaktoplysninger (adresse, hjemmeside, telefonnummer og e-mail)
People Vision, CVR-nr. 39297892, Vibevej 3, 2400 København NV, www.peoplevision.dk, +45 61786391, mette@peoplevision.dk
Den fælles dataansvarlige samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og e-mail)
Den dataansvarliges repræsentant samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og e-mail)
Virksomhedens databeskyttelsesrådgiver samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og e-mail)Der er ikke udpeget en databeskyttelsesrådgiver, da der ikke er pligt hertil.
Formål (-ene)Behandlingens eller behandlingernes formål (et samlet, logisk sammenhængende formål med en behandling eller en række af behandlinger, som hermed angives som ét formål ud af alle samlede formål hos den dataansvarlige)Personaleadministration
Kategorierne af registrerede og kategorierne af personoplysningerneKategori af registrerede personer (eksempelvis kunder, nuværende eller tidligere ansatte, andre virksomheder, myndigheder mv.)
Der behandles oplysninger om følgende kategorier af registrerede personer:
a) Ansøgere
b) Medarbejdere
c) Tidligere medarbejdere
Oplysninger, som behandles om de registrerede personer – Ansøgere
(afkryds og beskriv de typer af oplysninger, som er omfattet af behandlingsaktiviteterne).		Oplysninger, som indgår i den specifikke behandling: Beskriv:      
 
Identifikationsoplysninger:  
 
Oplysninger vedrørende ansættelsesforholdet til brug for administration, herunder stilling og arbejdssted, lønforhold, oplysninger af relevans for lønindeholdelse, personalepapirer, uddannelse og sygefravær:
 
Race eller etnisk oprindelse:
 
Politisk, religiøs eller filosofisk overbevisning:
 
Fagforeningsmæssigt tilhørsforhold:
 
Helbredsoplysninger herunder genetisk data:
 
Biometrisk data med henblik på identifikation:
 
Seksuelle forhold eller seksuel orientering:
 
Strafbare forhold:

Oplysninger, som behandles om de registrerede personer – Medarbejdere
(afkryds og beskriv de typer af oplysninger, som er omfattet af behandlingsaktiviteterne).
Oplysninger, som indgår i den specifikke behandling: Beskriv:      
 
Identifikationsoplysninger:  
 
Oplysninger vedrørende ansættelsesforholdet til brug for administration, herunder stilling og arbejdssted, lønforhold, oplysninger af relevans for lønindeholdelse, personalepapirer, uddannelse og sygefravær:
 
Race eller etnisk oprindelse:
 
Politisk, religiøs eller filosofisk overbevisning:
 
Fagforeningsmæssigt tilhørsforhold:
 
Helbredsoplysninger herunder genetisk data:
 
Biometrisk data med henblik på identifikation:
 
Seksuelle forhold eller seksuel orientering:
 
Strafbare forhold:
Oplysninger, som behandles om de registrerede personer – Tidligere medarbejdere
(afkryds og beskriv de typer af oplysninger, som er omfattet af behandlingsaktiviteterne).		Samme oplysninger som ovenfor.
Modtagerne af personoplysningerne
Kategorier af modtagere som oplysninger er eller vil blive videregivet til herunder modtagere i tredjelande og internationale organisationer (eksempelvis myndigheder, virksomheder, kunder mv.)
1. Offentlige myndigheder (så vidt muligt myndighedens navn, f.eks. SKAT)
 
Videregivelsen omfatter følgende personoplysninger om ansatte:
·         Identifikationsoplysninger, herunder navn og adresse.
·         Stilling og arbejdssted
·         Lønforhold
·         Skatteforhold
·         Personnummer
 
Videregivelsen omfatter følgende personoplysninger om tidligere ansatte:
·         XXX
·         XXX
·         XXX
 
Der videregives ikke oplysninger om de øvrige kategorier af registrerede til SKAT
 
2. Banker (så vidt muligt bankens navn)
 
Videregivelsen omfatter følgende personoplysninger om ansatte:
·         Identifikationsoplysninger, herunder navn og adresse.
·         Stilling og arbejdssted
·         Lønforhold
·         Skatteforhold


Videregivelsen omfatter følgende personoplysninger om tidligere ansatte:
·         XXX
·         XXX
·         XXX
 
Der videregives ikke oplysninger om de øvrige kategorier af registrerede til (bankens navn)
 
3. Pensionskasser
 
Videregivelsen omfatter følgende personoplysninger om ansatte:
 
·         Identifikationsoplysninger, herunder navn og adresse.
·         Stilling og arbejdssted
·         Pensionsforhold
·         Lønforhold
 
Videregivelsen omfatter følgende personoplysninger om tidligere ansatte:
·         XXX
·         XXX
·         XXX
 
Der videregives ikke oplysninger om de øvrige kategorier af registrerede til pensionskasser.
Tredjelande og internationale organisationerOplysninger om overførelse af personoplysninger til tredjelande eller internationale organisationer (eksempelvis databehandlerens placering i tredjelande, databehandlerens brug af cloudløsninger placeret i tredjelande).Nej
(Angivelse af virksomhed/ samarbejdspartner, hvis denne er placeret i tredjeland.
Angivelse af, hvilke kategorier af personoplysninger om hvilke kategorier af registrerede, der overføres til tredjelande.
Hvis overførsel sker i henhold til forordningens artikel 49, stk. 1, andet afsnit, angivelse af dokumentation for passende garantier).
SletningTidspunkt for sletning af oplysninger (de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger)Oplysninger om tidligere ansatte slettes senest X år efter afslutningen af den journalperiode, hvor personalesagen er afsluttet. Oplysninger om ansøgere slettes senest X måneder efter afslutningen af den journalperiode, hvor sagen er afsluttet.

Tekniske og organisatoriske sikkerhedsforanstaltninger		Generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (hvis muligt skal der gives en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. artikel 32, stk. 1)Behandling af personoplysninger i forbindelse med HR-arbejde sker i overensstemmelse med interne retningslinjer, som bl.a. fastsætter rammerne for autorisation- og adgangsstyring og logning. Personoplysninger opbevares i pseudonymiseret og i krypteret form og transmitteres krypteret.
 
Fysisk materiale opbevares aflåst.
 
Der anvendes følgende sikkerhedsstandarder: ISOXXXXX

Databehandleraftaler

En databehandler er en juridisk eller fysisk person, der behandler data på jeres vegne. Det kan fx være jeres lønservicebureau. I skal indgå databehandleraftaler med dem, der behandler data for jer sikre jer, at de lever op til lovgivningen. Vi opfordrer til at I evt. har en liste eller oversigt liggende, så I sikrer jer, at I har styr på de enkelte aftaler. Som dataansvarlig er det også jeres ansvar at føre tilsyn med, at den indgåede dataaftale overholdes, herunder at databehandleren har gennemført de aftalte og organisatoriske sikkerhedsforanstaltninger.

I kan finde en skabelon til en databehandleraftale på datatilsynets hjemmeside: https://www.datatilsynet.dk/databeskyttelse/vejledninger.

Oplysningsforpligtelsen

Den registrerede skal bl.a. oplyses om følgende (hvis vedkommende ikke allerede er bekendt med det):

  • Formålet med registreringen
  • Hvem der modtager personoplysningerne
  • Hvor lang tid oplysningerne bliver opbevaret
  • Den registrederes rettigheder

Oplysningerne gives skriftligt fx i form af personalepolitikker eller erklæringer.

Eksempel på oplysningsforpligtelsen findes på Datatilsynets hjemmeside:

https://www.datatilsynet.dk/databeskyttelse/vejledninger.

Samtykkeerklæringer

Behandler I følsomme oplysninger, skal I have samtykke. Det gælder fx ved brug af jeres medarbejders billede på jeres hjemmeside. Medarbejderen skal oplyses om, at det er frivilligt at give samtykke, hvad der gives samtykke til, hvordan samtykket kan trækkes tilbage, og at det ikke har konsekvenser for ansættelsen, at samtykke tilbagetrækkes.

Eksempel på en samtykkeerklæring vedr. brug af billeder.

Samtykkeerklæring vedrørende brug af billeder mv.

  1. Samtykket og dets omfang

Jeg       giver hermed mit frivillige samtykke til, at Virksomhedens navn kan benytte følgende typer billeder af mig, der er taget/optaget som led i ansættelsen, på nævnte medier (skriv samtykke/ikke samtykke i alle felter):

ProfilbillederSituationsbilleder
Hjemmeside
LinkedIn

Formålet med behandlingen

Profilbilleder/situationsbilleder på hjemmesiden anvendes til      .
Profilbilleder/situationsbilleder på LinkedIn anvendes til      .
 

  1. Tilbagetrækning af samtykke og konsekvenser heraf

Jeg er af Virksomhedens navn blevet oplyst om muligheden for på ethvert tidspunkt at trække samtykket tilbage helt eller delvist. Tilbagetrækning af samtykke kan ske ved henvendelse til Indsæt navn/stilling.

Virksomhedens navn har oplyst, at eventuel hel eller delvis tilbagetrækning af nærværende samtykke ikke vil få ansættelsesretlige konsekvenser.

  • Underskrift

       den      

______________________________

Medarbejderens underskrift

Reglerne for følsomme oplysninger

Følsomme oplysninger er oplysninger om (art. 9):

  • Fagforening
  • Helbred
  • Seksuel orientering
  • Politisk eller filosofisk overbevisning
  • Race og etnisk oprindelse
  • Generisk data og biometrisk data
  • CPR-nr. er ikke en følsom oplysning jf. persondataforordningen, men bør behandles sådan

Udgangspunktet er, at det er forbudt at behandle personfølsomme oplysninger. Dog kan det være tilladt, hvis behandlingen falder ind under en af undtagelserne. Det kan fx være, at behandlingen er nødvendig for at overholde ens arbejdsforpligtelser som dataansvarlig, eller den registrerede har givet et udtrykkeligt samtykke til det.

Procedure for indsigt og sletning

I skal have en procedure for, hvad I gør, hvis den registrerede beder om indsigt, eller om at få sine oplysninger slettet. Hvis I ikke har det, risikerer I, at den registrerede klager til Datatilsynet, og I kan få en bøde.

Når I skal slette oplysninger, skal det ske på en sådan måde, at I sikrer jer, at de ikke kan genskabes. Oplysningerne skal derfor også slettes fra en back-up, hvis det er teknisk muligt. Har I delt oplysningerne med tredjemænd, skal I underrette disse og bede om at få oplysningerne slettet.

En procedure kan bestå af:

  • Hvem der er ansvarlig for henvendelsen hos jer
  • Identifikation af den registrerede – så I sikrer jer at det er den rigtige registrerede, der får indsigt eller får slettet oplysninger
  • Information til den registrerede – hvem der kontakter den registrerede, så I sikrer jer, at det er det rigtige forhold, I behandler
  • Kopi af oplysninger til den registrerede eller information om sletning
  • At I sikrer jer, at proceduren sker uden unødig forsinkelse

Datatilsynet har lavet en skabelon til, hvordan I håndterer indsigtsretten. Den finder her: https://www.datatilsynet.dk/databeskyttelse/vejledninger.

Kontakt os endelig

Har I spørgsmål til persondata, hjælper vi jer meget gerne med det. Kontakt os på 61 78 63 91 eller mette@peoplevision.dk.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *