HR og it-rekrutteringJobannoncering

Er jeres data lovlige?

Flere og flere virksomheder indsamler og behandler personoplysninger, hvilket er til debat med den nye Persondataforordning. Den får betydning for, hvad I kan indsamle om jeres medarbejdere og kunder. Derfor er det vigtigt, at I allerede nu orienterer jer i forordningens ordlyd.

I slutningen af sidste år blev ordlyden af den nye EU-forordning (Persondataforordningen) fastsat. Den har til hensigt at hæve beskyttelsen af og skærpe reglerne for indsamling og behandling af personoplysninger. Den ventes at træde i kraft i 2018.

Indtil da er det Persondataloven, der er gældende, men derfor skal I alligevel begynde at forberede jer på de forandringer, den nye forordning bringer med sig. Både i forhold til medarbejderne og kunderne.

Det lovlige samtykke

I korte træk betyder den nye forordning, at indsamling og behandling af ikke-følsomme og følsomme personoplysninger henholdsvis kræver et utvetydigt og udtrykkeligt samtykke.

Derudover forbedres rettighederne for den, hvis data behandles (den registrerede), fordi han/hun får ret til at få adgang til sine personoplysninger, og hvordan de behandles. Samtidig får den registrerede også mulighed for at modsætte sig profilering på baggrund af f.eks. interesse, indtægt og livsstil.

Hertil kan også nævnes ”retten til at blive glemt” og derfor slettet samt breach notification, der betyder, at virksomheden har pligt til at informere Datatilsynet om eventuelle datalæk.

HR-afdelingens udfordringer

Den nye forordning vil uden tvivl få betydning for virksomhedernes måde at kommunikere med kunderne på, men også HR-funktionen bør overveje, hvordan de behandler medarbejderens personoplysninger – både før, under og efter ansættelsen.

1. Hvilke oplysninger må indhentes, benyttes og opbevares?

Når du som arbejdsgiver modtager en ansøgning, har ansøgeren med afsendelsen afgivet samtykke til, at du kan gøre brug af de oplysninger, f.eks. ved indkaldelse til jobsamtale.

Du må dog ikke opbevare ansøgningen til senere brug, medmindre du har informeret ansøgeren om det og givet ham/hende mulighed for at modsætte sig det. Det er der imidlertid få, der vil takke nej til.

2. Hvilke oplysninger må indhentes under ansættelsesforholdet?

Virksomheder opbevarer forskellige typer af oplysninger om deres medarbejdere. De mest almindelige er de ikke-følsomme personoplysninger, f.eks. navn og adresse. Den type oplysninger registreres i det omfang, det er nødvendigt for at opretholde ansættelsesforholdet.

De følsomme personoplysninger kan også indsamles af virksomheden, men ansøgeren skal give udtrykkeligt samtykke hertil. Det gælder oplysninger om f.eks. helbred, fagforening, race, etnicitet, seksualitet samt politisk og religiøs overbevisning.

Der er imidlertid følsomme oplysninger, der er nødvendige at indsamle for at sikre sig, at medarbejderen opfylder den kontraktlige del af ansættelsesforholdet, f.eks. til registrering af sygedage og oplysninger om bankforhold til aflønning.

3. Hvordan opbevares oplysninger efter ansættelsesforholdets ophør?

I henhold til Persondataforordningen må opbevaring af personoplysninger kun ske til udtrykkeligt og sagligt angivne formål.

Det kan imidlertid være nødvendigt at opbevare oplysninger om en tidligere medarbejder for at opfylde en retslig forpligtelse, f.eks. aflønning under fritstilling. Det afgørende er dog, at formålet er udtrykkeligt og sagligt, og at senere behandling ikke afviger fra det formål.

Retten til at blive glemt

Også kommunikationen til jeres kunder må forandre sig som følge af forordningen. Især en af rettighederne vurderes at komme til at kræve en stor indsats, skriver Computerworld: Retten til at blive glemt.

Rettigheden uddyber og præciserer, at den registrerede (dvs. kunden) har ret til at få slettet, berigtiget eller blokeret sine personoplysninger, så de ikke længere kan offentliggøres, opbevares eller behandles. Dermed får den registrerede mere kontrol med sine oplysninger.

Det betyder imidlertid, at I skal gøre jer nogle helt specifikke overvejelser:

  1. Hvordan sikrer I, at den software, der skal slette data, er implementeret og klar til forespørgsler fra dem, der ønsker at blive ”glemt”?
  2. Ved I, hvilke værktøjer, der skal sikre, at relevante krypteringsnøgler og malware bliver fjernet?
  3. Har I mandskab nok til at dække det arbejde, der opstår, når forespørgslerne på at blive ”glemt” ruller ind?

Derfor skal I ikke bare overveje de tekniske foranstaltninger, men også sikre de menneskelige ressourcer og it-kompetencer, en efterlevelse af forordningen kræver.

Vil du sikres i dag?

Ønsker du allerede nu at sikre dig de rette kompetencer, kan du orientere dig i vores annonceringsløsninger her eller ringe for en uforpligtende snak om fremtiden på tlf. 70 22 93 00.