Datatilsynet - Er jeres personaleadministration anmeldt?

Har I anmeldt jeres personaleadministration til Datatilsynet?
Af advokat Ann Bruun Birk
Når en arbejdsgiver indsamler og opbevarer personoplysninger om sine ansatte, vil persondatalovens regler skulle opfyldes. Såvel elektronisk opbevaring som opbevaring af fysiske personalesager, ringbind eller lignende er omfattet af persondataloven.
Persondataloven regulerer som udgangspunkt to typer af oplysninger - almindelige oplysninger og følsomme oplysninger.
Hvis du som led i din personaleadministration behandler følsomme oplysninger, er det som
udgangspunkt et lovkrav, at personaleadministrationen anmeldes til Datatilsynet. Overholdes
disse regler ikke, kan man som arbejdsgiver blive pålagt en bøde.
Spørgsmålet er så, hvornår behandler en arbejdsgiver følsomme oplysninger om sine medarbejdere?
Ved personaleadministration vil almindelige oplysninger eksempelvis kunne være; medarbejderens navn, adresse, telefonnummer, fødselsdato, nær familie, oplysninger om uddannelse,
udtalelser, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider og andre
tjenstlige forhold, oplysninger om løn, skat, sygefravær og sygdomsperioder, oplysninger om
andet fravær fra arbejdet, oplysninger om pensionsforhold, kildeskatteoplysninger og oplysninger om kontonummer, hvortil løn skal anvises.
Ved personaleadministration vil følsomme oplysninger eksempelvis kunne være; oplysninger
om helbredsforhold, herunder misbrug af nydelsesmidler, oplysninger om medlemskab af en
fagforening, oplysninger om strafbare forhold samt andre tilsvarende rent private forhold,
f.eks. om en medarbejder er bortvist fra jobbet på grund af en grov tilsidesættelse af ansættelsesforholdet. En personlighedstest vil som regel også skulle betragtes som en følsom oplysning.
En opsigelse vil i sig selv ikke være en følsom oplysning, men derimod er en bortvisning en
følsom oplysning uanset begrundelsen for bortvisningen. En opsigelse vil kun være en følsom
oplysning, hvis begrundelsen for opsigelsen kan kategoriseres som en følsom oplysning.
I forbindelse med personaleadministration skal persondatalovens regler i det hele iagttages.
Det indebærer blandt andet, at den dataansvarlige virksomhed skal leve op til lovens krav om
datasikkerhed.
Hvis man som arbejdsgiver eksempelvis har registeret fagforeningsforhold, en bortvisning,
helbredsmæssige forhold, ja så vil man behandle følsomme oplysninger i henhold til persondataloven, hvorfor personaleadministrationen som hovedregel skal anmeldes til Datatilsynet.
Der er dog visse undtagelser til kravet om anmeldelse, men for at skulle undgå stedse at
overveje, hvorvidt der nu behandles oplysninger med anmeldelsespligt, er det min anbefaling
blot at få foretaget anmeldelsen, således at forholdet er på plads.
Anmeldelsen kan ske via en kladde på Datatilsynets hjemmeside. Når Datatilsynet har vurderet, om godkendelsen kan gives, vil I som arbejdsgiver modtage besked om dette og samtidig
blive opkrævet et gebyr på p.t. kr. 2.000,00.
Fra januar 2015 er tilladelse til personaleadministration fra Datatilsynet betinget af, at nedenstående krav som minimum er opfyldte:
1.
Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i
praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der
indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som
en del af virksomhedens information til medarbejderne.
2.
Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
3.
Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring
i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
4.
Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst,
når de ikke er i brug.
Når dokumenter (papirer, kartotekskort m.v.) med personaleoplysninger skal smides
ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.
5.
Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr
med personoplysninger. Kun de personer, der skal have adgang, må få en kode.
De personer, der har adgangskode, må ikke overlade koden til andre eller lade den
ligge, så andre kan se den.
Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
6.
Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med
følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
7.
Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der
kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USBnøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier.
2
8.
PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.
9.
Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.
10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.
11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.
12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale m.v. følges. Det gælder eksempelvis, når
der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.
Har du/I spørgsmål til jeres behandling af personaleadministration eller til ansættelsesretten
generelt,
er
du/I
velkommen
til
at
rette
henvendelse
til
kontoret
på
e-mail
[email protected] eller på telefon 46 92 92 00.
3