Databeskyttelse i HR-afdelingen

Databeskyttelse i HR-afdelingen

Fra Focus Advokaters GDPR-team, maj 2020

Meget få virksomheder kan se sig fri for at behandle oplysninger om deres medarbejdere, og databeskyttelse i HR-afdelingen er derfor relevant for de fleste. I den erkendelse har Focus Advokater udarbejdet en vejledning udelukkende rettet mod HR-afdelingen. De væsentligste pointer gennemgås i denne artikel.

For al behandling af personoplysninger gælder nogle grundlæggende principper, som der også skal tages højde for ved behandlingen af medarbejderoplysninger. Det indebærer bl.a., at der skal være åbenhed om behandlingen, at der ikke må behandles flere oplysninger, end der er et klart formål med, og at oplysningerne ikke må behandles i et længere tidsrum end nødvendigt, hvilket forudsætter at der sker en løbende sletning og ajourføring. Principperne kommer til udtryk forskellige steder i GDPR, og det er ikke nok at overholde disse krav – man skal også være i stand til at dokumentere overholdelsen.

 

Rekrutteringen

Som regel indsamles de allerførste oplysninger om medarbejderen i rekrutteringsprocessen, som dermed også er den kommende medarbejders første indtryk af virksomheden. Jobansøgning og CV indeholder naturligt en række personoplysninger om kandidaten, som arbejdsgiveren kan behandle ud fra en interesseafvejning med henblik på at vurdere den pågældende. Der vil typisk være tale om navn, kontaktoplysninger, uddannelses- og erhvervserfaring, civilstatus m.m. Hertil kan suppleres med oplysninger, som arbejdsgiver selv søger frem fra offentlige kilder, f.eks. LinkedIn.

Der kan også være behov for at indhente oplysninger fra tidligere arbejdsgivere (referencer). Er der f.eks. i CV’et angivet referencepersoner, kan disse som udgangspunkt kontaktes uden nærmere aftale med kandidaten. Vær dog opmærksom på, at der ikke kan udveksles flere oplysninger, end hvad kandidaten med rimelighed må forvente, dvs. almindelige oplysninger og ikke oplysninger om helbred eller lignende.

Når der er fundet en egnet kandidat til stillingen, er formålet med at have oplysninger om jobansøgerne opfyldt, og der er ikke længere grundlag for at opbevare dem ud fra en interesseafvejning. Ønsker man på baggrund af en konkret vurdering at beholde oplysninger om udvalgte kandidater, skal man indhente samtykke til fortsat opbevaring i f.eks. 6 måneder fra den pågældende. Det er ikke muligt automatisk at opbevare alle modtagne jobansøgninger i 6 måneder. Det samme gør sig gældende for uopfordrede ansøgninger.

 

Under og efter ansættelsen

Når en medarbejder har fået ansættelse i virksomheden, overgår vedkommendes oplysninger typisk til en personalemappe i HR-afdelingen. Arbejdsgivers lovlige grundlag for at behandle oplysninger om medarbejderen vil herefter være at opfylde ansættelseskontrakten eller for at efterleve retlige forpligtelser, som arbejdsgivere har, f.eks. foretage indberetninger til SKAT.

Mange virksomheder har portrætter af deres medarbejdere på deres officielle hjemmeside. Vær opmærksom på, at det i visse tilfælde vil kræve et samtykke fra medarbejderen, og at et sådan samtykke skal leve op til strenge krav i forordningen.

Det vil uundgåeligt også på et tidspunkt blive nødvendigt at behandle oplysninger om medarbejderes fravær pga. bl.a. sygdom. Hvis det alene registreres, at vedkommende er fraværende pga. sygdom – uden konkretisering af en diagnose – er der tale om behandling af almindelige ikke-følsomme oplysninger. Så længe konkretiseringen ikke er nødvendig, bør det så vidt muligt undgås.

Efter fratræden vil der i en periode være behov for at opbevare en tidligere medarbejders oplysninger for at arbejdsgiveren f.eks. kan overholde en retlig forpligtelse (indberetning til SKAT eller udbetaling af feriepenge) eller forsvare sig mod en konkret risiko for en ansættelsesretlig sag. Der skal under alle omstændigheder foretages en (løbende) oprydning i personalemappen, så der ikke opbevares flere oplysninger, end der er et reelt behov for.

 

Husk oplysningspligten!

Vi fremhæver det ofte, og det er fordi det er vigtigt – husk nu at få oplyst medarbejderne (og alle andre, I behandler oplysninger om), hvordan I behandler oplysningerne, herunder hvorfor og hvor længe. Dette kan i relation til medarbejdere gøres i en personalehåndbog eller i et tillæg til ansættelseskontrakten. Oplysningspligten gælder også overfor ansøgere, hvorfor de lovpligtige oplysninger bør stilles til rådighed for ansøgerne, inden vedkommende indsender sin ansøgning og CV. Det kan f.eks. gøres direkte i jobopslaget eller med link til en særskilt privatlivspolitik rettet mod jobansøgere.

 

Få tilsendt Focus Advokaters vejledning til HR-afdelingen

Har du spørgsmål, eller ønsker du at få vores vejledning om databeskyttelse i HR-afdelingen tilsendt, er du velkommen til at kontakte os. I vores vejledning finder du en FAQ, der bl.a. besvarer spørgsmålene:

  • Hvad er kravene til et samtykke?
  • Må vi udveksler oplysninger blandt andre selskaber i koncernen?
  • Må vi modtage jobansøgninger på mail?
  • Hvad spørge Datatilsynet om under et tilsyn?
  • Har en tidligere medarbejder ret til indsigt i sin personalemappe?

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores GDPR-team altid klar til at yde kvalificeret rådgivning.

 

Jesper Løffler Nielsen

Jesper Løffler Nielsen

Associeret partner, advokat (L), Ph.D., leder af Focus Advokaters Tech Team Læs mere
  2. Focus Advokater
  3. Forretningsområder
  4. Specialjura
  5. Persondata (GDPR)
  6. Databeskyttelse i HR-afdelingen
Kontakt os

Se alle medarbejdere eller søg herunder

Tilmeld nyhedsbrev

Hold dig opdateret med nyheder fra Focus Advokater

Tilmeld

Nyheder
Se flere nyheder
Arrangementer
Se flere arrangementer