Har I anmeldt jeres personaleadministration til Datatilsynet? Af advokat Ann Bruun Birk Når en arbejdsgiver indsamler og opbevarer personoplysninger om sine ansatte, vil persondatalovens regler skulle opfyldes. Såvel elektronisk opbevaring som opbevaring af fysiske personalesager, ringbind eller lignende er omfattet af persondataloven. Persondataloven regulerer som udgangspunkt to typer af oplysninger - almindelige oplysninger og følsomme oplysninger. Hvis du som led i din personaleadministration behandler følsomme oplysninger, er det som udgangspunkt et lovkrav, at personaleadministrationen anmeldes til Datatilsynet. Overholdes disse regler ikke, kan man som arbejdsgiver blive pålagt en bøde. Spørgsmålet er så, hvornår behandler en arbejdsgiver følsomme oplysninger om sine medarbejdere? Ved personaleadministration vil almindelige oplysninger eksempelvis kunne være; medarbejderens navn, adresse, telefonnummer, fødselsdato, nær familie, oplysninger om uddannelse, udtalelser, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider og andre tjenstlige forhold, oplysninger om løn, skat, sygefravær og sygdomsperioder, oplysninger om andet fravær fra arbejdet, oplysninger om pensionsforhold, kildeskatteoplysninger og oplysninger om kontonummer, hvortil løn skal anvises. Ved personaleadministration vil følsomme oplysninger eksempelvis kunne være; oplysninger om helbredsforhold, herunder misbrug af nydelsesmidler, oplysninger om medlemskab af en fagforening, oplysninger om strafbare forhold samt andre tilsvarende rent private forhold, f.eks. om en medarbejder er bortvist fra jobbet på grund af en grov tilsidesættelse af ansættelsesforholdet. En personlighedstest vil som regel også skulle betragtes som en følsom oplysning. En opsigelse vil i sig selv ikke være en følsom oplysning, men derimod er en bortvisning en følsom oplysning uanset begrundelsen for bortvisningen. En opsigelse vil kun være en følsom oplysning, hvis begrundelsen for opsigelsen kan kategoriseres som en følsom oplysning. I forbindelse med personaleadministration skal persondatalovens regler i det hele iagttages. Det indebærer blandt andet, at den dataansvarlige virksomhed skal leve op til lovens krav om datasikkerhed. Hvis man som arbejdsgiver eksempelvis har registeret fagforeningsforhold, en bortvisning, helbredsmæssige forhold, ja så vil man behandle følsomme oplysninger i henhold til persondataloven, hvorfor personaleadministrationen som hovedregel skal anmeldes til Datatilsynet. Der er dog visse undtagelser til kravet om anmeldelse, men for at skulle undgå stedse at overveje, hvorvidt der nu behandles oplysninger med anmeldelsespligt, er det min anbefaling blot at få foretaget anmeldelsen, således at forholdet er på plads. Anmeldelsen kan ske via en kladde på Datatilsynets hjemmeside. Når Datatilsynet har vurderet, om godkendelsen kan gives, vil I som arbejdsgiver modtage besked om dette og samtidig blive opkrævet et gebyr på p.t. kr. 2.000,00. Fra januar 2015 er tilladelse til personaleadministration fra Datatilsynet betinget af, at nedenstående krav som minimum er opfyldte: 1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort m.v.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USBnøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 2 8. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale m.v. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. Har du/I spørgsmål til jeres behandling af personaleadministration eller til ansættelsesretten generelt, er du/I velkommen til at rette henvendelse til kontoret på e-mail [email protected] eller på telefon 46 92 92 00. 3
© Copyright 2024