Persondataforordningen 2018

SmartTID får ofte spørgsmål fra kunder og samarbejdspartnere vedrørende den nye persondataforordning som træder i kraft 25. maj 2018. Vi vil derfor og noget overordnet forsøge at svare på de mest gængse spørgsmål her.

Det man skal huske er, at al behandling af personoplysning er forbudt, medmindre det er tilladt.

Det skal med andre ord positivt stå i databeskyttelsesforordningen at behandlingen er lovlig. Gør det ikke det, så er behandlingen ulovlig.

Uden at lave en fuldstændig gennemgang af forordningen, så henviser vi i stedet til databeskyttelsesforordningens artikel 6 som beskriver hvornår de mest almindelige behandlinger er lovlige. Behandler man helt særlige (følsomme) oplysninger, skal man læse databeskyttelsesforordningens artikel 9.

Behandler man personoplysninger på baggrund af den registreredes samtykke, så skal man læse betingelserne for samtykke i databeskyttelsesforordningens artikel 7. Bemærk dog venligst nedenstående om brugen af samtykke i ansættelsesforhold.

Ansættelsesforhold

Vores kunder behandler typisk oplysninger om deres ansatte, og vi får ofte spørgsmål om de stadig kan behandle sådanne oplysninger når databeskyttelsesforordningen træder i kraft.

Svaret afhænger naturligvis af en konkret gennemgang af behandlingsoplysningerne, men vi vil alligevel gerne prøve at svare mere generelt.

Vores kunder behandler ofte stamoplysninger om deres medarbejderes navn, adresse, telefon, e-mail, fødselsdato, kontaktperson, nærmeste pårørende, ansættelsesdato, særlige løntillæg, samt registrering af arbejdstid/ferie/fravær.

Er en person fratrådt, vil vores kunder ofte også behandle oplysninger om fratrædelsesdato og årsagen til fratrædelse.

Sådanne oplysninger, der er nødvendige af hensyn til opfyldelse af medarbejderens kontrakt, vil kunne behandles efter databeskyttelsesforordningens artikel 6 (stk. 1, litra b).

Ved helt særlige oplysninger, eksempelvis fagforeningsmæssigt tilhørsforhold skal hjemlen findes i databeskyttelsesforordningens artikel 9.

Skal man behandle oplysninger om en medarbejder for at overholde en kollektiv overenskomst, så har man også mulighed for det, idet vi i Danmark har mulighed for at indføre særlige regler herom. Dette fremgår af databeskyttelsesforordningens artikel 88. Den danske databeskyttelseslov forventes at blive vedtaget den 20. februar 2018.

Særligt om samtykke ved ansættelsesforhold

Vi får også ofte spørgsmålet, om ikke blot man kan indsætte en samtykkeerklæring i medarbejderens ansættelseskontrakt el.lign. Vi mener, at såfremt der kan anvendes en anden hjemmel til behandling af personoplysningen, bør man benytte den, og kun gøre brug af samtykke som behandlingsgrundlag i ansættelsesforhold i helt særlige tilfælde.

Det skyldes at samtykket skal være frivilligt. I ansættelsesforhold er der almindeligvis en ulighed mellem arbejdsgiveren og den ansatte. Man skal derfor være meget opmærksom på, om den ansattes samtykke reelt er udtryk for den ansattes frivillige valg, eller om samtykket er afgivet af frygt for væsentlige negative konsekvenser. Man kan læse mere om betingelserne for samtykke i databeskyttelsesforordningens artikel 7.

Databehandler/dataansvarlig

SmartTID vil oftest være databehandler. Det betyder at vi arbejder efter instruks fra den dataansvarlige (vores kunde/samarbejdspartner) og i overensstemmelse med en indgået databehandleraftale.

Det er den dataansvarlige, som er ansvarlig for, og skal kunne påvise, at personoplysningerne bliver behandlet på et lovligt grundlag. Vi yder gerne råd og vejledning herom i det omfang vi kan, men da oplysningerne tilhører den dataansvarlige og da vi udelukkende arbejder efter instruks fra den dataansvarlige, så ligger ansvaret hos den dataansvarlige.

Som databehandler kan vi dog blandt andet garantere, at:

  • Vi gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
  • Vi ikke bruger andre databehandlere uden forudgående skriftlig godkendelse fra den dataansvarlige
  • Kun arbejder efter instruks fra den dataansvarlige
  • Vi sikrer, at de der behandler personoplysningerne er underlagt tavshedspligt

[Se endvidere kravene som fremgår af databeskyttelsesforordningens artikel 28, stk. 1].