Præsentation Go'morgen møde om HR data

PERSONDATA I MEDARBEJDERFORHOLD

Marianne Lage og Egil Husum

23. november 2016

side 2

Ulige styrkeforhold

− Ledelsesretten og dens begrænsninger

− Persondatalovens hovedprincip: Individet har ret til indsigt og kontrol med oplysninger om den pågældende.

PERSONDATA OG MEDARBEJDERFORHOLD

side 3

Persondataloven - frem til 25 maj. 2018, som implementerer EU-direktiv.

Supplereret af bekendtgørelser, blandt andet sikkerhedsbekendtgørelsen (gælder for offentlige myndigheder)

Forordningen - fra 25. maj 2018

Muligvis fremtidig supplerende dansk lovgivning.

REGELSÆT

side 4

Enhver information om en identificeret eller identificerbar fysisk person (lovens § 3, nr. 1 og forordningens art. 4 nr. 1)

bl.a. oplysninger om følgende forhold

− Fysiske

− Fysiologiske

− Psykiske

− Økonomiske

− Kulturelle

− Sociale

F.eks. også

− Et billede

− Stemme

− Fingeraftryk

− Andre genetiske kendetegn, som f.eks. DNA

Elektronisk databehandling

(it-systemer, tekstbehandling, regneark, e-mail, kalendersystemer)

(Scanning, udskrivning, samkøring, opslag, elektronisk lagring)

Register

(struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier)

(Kartotek, journalbøger, fortegnelser, systematiske ringbind)

Anden systematisk behandling, f.eks. almindelige papirsager

PERSONOPLYSNING OG BEHANDLING

side 5

Oplysninger skal behandles i overensstemmelse med god databehandlingsskik:

− Indsamling til udtrykkeligt angivne og saglige formål (formålsbestemthed)

− senere behandling ikke uforenelig hermed

− Oplysninger skal være relevante og tilstrækkelige (proportionalitet)

− og må ikke omfatte mere end nødvendigt

− Fornøden ajourføring og kontrol (datakvalitet)

− urigtige/vildledende oplysninger slettes/berigtiges

− Oplysninger må ikke opbevares længere end nødvendigt (sletning)

− af hensyn til de formål, oplysningerne er indsamlet til

− hvis oplysningerne anonymiseres, gælder denne begrænsning ikke

GRUNDPRINCIPPER § 5

side 6

Almindelige oplysninger § 6

Kan bl.a. behandles når:

− Den registrerede har givet sit udtrykkelige samtykke hertil

− Nødvendig for opfyldelse af aftale

− Behandlingen er nødvendig, for at overholde en retlig forpligtelse, som påhviler den dataansvarlige

− Behandlingen er nødvendig, for at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse (interesseafvejning)

− NB offentlige myndigheder vil ikke efter forordningen kunne henvise hertil ved udførelsen af deres opgaver

Eksempler: Ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdag, skat, sygedage, advarsler, opsigelse mv.

MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

side 7

− Følsomme § 7 (art. 9)

− Racemæssig eller etnisk baggrund

− Politisk, religiøs eller filosofisk overbevisning

− Fagforeningsmæssige tilhørsforhold (kun hvis arbejdsretligt forpligtet)

− Oplysninger om helbredsmæssige og seksuelle forhold

− Udgangspunkt: Må ikke behandles

− medmindre den registrerede har givet sit udtrykkelige samtykke

− behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares(f.eks. opsigelse eller bortvisning)


side 8

− Semi-følsomme § 8 (bortfalder med forordningen)

− Strafbare forhold (muligvis national lovgivning, art. 10)

− Væsentlige sociale problemer

− Andre rent private forhold, f.eks. oplysninger om bortvisning eller resultat af personlighedstest

− Kun behandles, hvis

− den registrerede har givet sit udtrykkelige samtykke hertil

− det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede


side 9

− Samtykkedefinition, jf. forordningens artikel 4, nr. 11:

”Samtykke" fra den registrerede: Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling”

Den registrerede kan altid trække sit samtykke tilbage.

− Forordningen skærper kravene til samtykke – art. 7 og 8

− Samtykke anses ikke for frivilligt, hvis

− der reelt ikke er et frit valg

− man ikke kan afvise eller tilbagetrække samtykke, uden at det kommer vedkommende til skade

− der er en klar skævhed mellem den registrerede og den dataansvarlige

SAMTYKKE

side 10

Personaleadministration:

− Ved ansættelsen

− Under ansættelsen

− Efter ansættelsen

Generelt gælder for al behandling af medarbejderoplysninger:

− Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse

− Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles


side 11

− Ansøgningen indeholder personoplysninger:

− Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser

− Bilag (anbefalinger, eksamensbeviser)

− Facebook, LinkedIn, alm. Google søgning (offentliggjort af personen selv?)

− Referencer:

− Få kandidatens samtykke

HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

side 12

− Personlighedstest

− Arbejds- og opholdstilladelse (identifikation af ansøger)

− Kreditoplysninger

− Kun hvis medarbejderen skal varetage en ”særlig betroet stilling” (uanset samtykke), jf. lovens § 5, stk. 1 – 3 (god databehandlingsskik, udtrykkeligt angivne og saglige formål og proportionalitetsprincippet)

− Vurdering om ”særlig betroet stilling” er en arbejdsretlig vurdering. Håndtering af værdier fører ikke i sig selv til, at man er betroet

− Straffe- og børneattest

− Samtykke nødvendigt for indhentelse. Spørgsmål er derfor, om det er sagligt og proportionalt. Udtalelse fra datatilsynet


side 13

Helbredsoplysninger

− Samtykke eller at behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares

− Helbredsoplysningsloven

− Formål at sikre, at helbredsoplysninger ikke uberettiget anvendes til at begrænse lønmodtageres muligheder, for at opnå eller bevare ansættelse.

− Hvis sygdommen vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde, er det muligt at indhente, og der er pligt til at oplyse


side 14

Oplysninger om fagforeningsmæssige tilhørsforhold

− Kan indhentes og behandles ved samtykke, og når behandlingen er nødvendig, for at et retskrav kan fastlægges, gøres gældende eller forsvares.

− Herudover kan oplysninger behandles, hvis behandlingen er nødvendig for overholdelsen af arbejdsgiverens arbejdsretlige forpligtelser eller specifikke rettigheder, hvilket kan følge af kollektiv overenskomst.

AFSKEDIGELSE AF BESKYTTEDE MEDARBEJDERE KRÆVER KENDSKAB TIL FAGFORENINGSMÆSSIGE TILHØRSFORHOLD.


OVERENSKOMSTFORPLIGTELSE TIL INDEHOLDELSE AF LØN OG BETALING AF KONTINGENT TIL FAGFORENING.

side 15

− Sagligt formål – til relevant personkreds

− Almindelige oplysninger må behandles:

− Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser

− CPR.nr. må opbevares, jf. § 11 (artikel 87)

− Andre oplysninger:

− Kontaktperson: OK

− Antal sygedage: Ja

− Årsag til sygedage: Kun hvis samtykke

− Lovbestemte helbredsoplysninger, f.eks. arbejdsskade: OK

− Advarsler:

− Ja, så længe de er relevante

− Hvilke oplysninger om medarbejdernes private forhold får lederen kendskab til i hverdagen, og hvordan skal disse håndteres?

HR-UDFORDRINGER MED PERSONDATA UNDER ANSÆTTELSEN

side 16

Arbejdsrelaterede oplysninger

− Arbejdsrelaterede oplysninger er f.eks. den ansattes navn, arbejdsområder, ansættelsesår, direkte arbejdstelefonnummer eller e-postadresse på arbejdet.

− Sådanne oplysninger er en naturlig del af informationen om arbejdspladsen, og kan derfor som hovedregel offentliggøres uden samtykke.

Oplysninger af mere privat karakter

− Oplysninger af mere privat karakter er f.eks. et billede af den ansatte, en privat adresse, e-mail eller et privat telefonnummer. Arbejdspladsen må kun offentliggøre disse oplysninger, hvis den enkelte ansatte har givet udtrykkeligt samtykke hertil.

PERSONALEOPLYSNINGER PÅ INTERNETTET

side 17

Udtrykkeligt samtykke

− Et samtykke kan gives mundtligt eller skriftligt. Det er dog arbejdspladsen, der skal bevise, at der i den konkrete situation er afgivet samtykke, og at det i øvrigt lever op til persondatalovens krav til et samtykke.

− Samtykket skal være udtrykkeligt. Det betyder, at der skal være tale om en aktiv handling fra den registreredes side. Det er altså ikke godt nok, hvis man skriver eller siger til den ansatte, at hvis han/hun ikke protesterer inden f.eks. en uge, går man ud fra, at der foreligger et samtykke.

PERSONALEOPLYSNINGER PÅ INTERNETTET (FORTSAT)

side 18

− Aftaler om kontrolforanstaltninger: DA/LO og KL/Forhandlingsfællesskabet

− Arbejdsgiver kan indføre kontrolforanstaltninger, hvis det er sagligt begrundet i driftsmæssige forhold og de har et fornuftigt formål.

− Udgangspunkt: 6 ugers varsel før kontrolforanstaltninger kan iværksættes

− Undtagelse: Hvis formålet med kontrolforanstaltningerne vil forspildes

− Undtagelse: Tvingende driftsmæssige grunde er til hinder for at vente

− Hvis 6 ugers fristen ikke kan overholdes, skal arbejdsgiveren underrette lønmodtagerne snarest muligt samt redegøre for årsagen til, at 6-ugers fristen ikke kan overholdes.

KONTROL

side 19

Aftaler om kontrolforanstaltninger (fortsat):

− Arbejdsrettens dom af 5. juli 2013 i sag nr. 2012.0177

En virksomhed havde indført GPS i sine biler. Inden 6 ugers fristen var gået, blev en medarbejder tildelt en skriftlig advarsel på grund af for lav effektiv arbejdstid.

− Arbejdsretten fandt, at virksomheden havde pådraget sig bodsansvar ved den skete overtrædelse af aftalen om kontrolforanstaltninger og udtalte: ”Under hensyn til, at det ikke er anfægtet, at brugen af oplysningerne til kontrol opfylder de materielle betingelser efter punkt 1, 2. og 3. i aftalen om kontrolforanstaltninger, at de anvendte GPS-oplysninger angår et tidsrum, der ligger efter underretningen, og at der alene er tale om en ikke særligt indgribende kontrol over for en enkelt medarbejder, hvor der var en konkret mistanke om, at han ikke levede op til sine arbejdsforpligtelser, findes overtrædelsen at være af ringe grovhed.”

− Virksomheden blev dømt til at betale en bod på 10.000 kr.


side 20

Aftaler om kontrolforanstaltninger (fortsat):

− Arbejdsrettens dom af 30. juni 2015 i sag nr. 2014.0228

En virksomhed havde uden forudgående varsel brugt et elektronisk kontrolsystem (fleetcontrol) installeret i virksomhedens busser til kontrol af chaufførernes arbejdstid og brændstofforbrug.

− Virksomheden havde anvendt kontrolsystemet til kontrol af 6 chaufførers brændstofforbrug og havde ladet oplysningerne om brændstofforbruget indgå ved udvælgelsen af, hvilke chauffører, der skulle afskediges ved arbejdsmangel, uden at chaufførerne havde fået tilstrækkeligt klart og tydeligt forudgående varsel.

− Arbejdsretten fastslog, med henvisning til førnævnte praksis, at virksomheden havde pådraget sig bodsansvar som følge af bruddet på aftalen om kontrolforanstaltninger.

− Virksomheden blev dømt til at betale en bod på 50.000 kr.


side 21

− SMS – dommen

− Afsagt af Retten i Aarhus den 18. september 2015

− Arbejdsgiverbetalt telefon

− Adgang til privat brug

− Indleverer telefonen med henblik på udskiftning

− Stærke illoyale beskeder om kollegaer, som fører til afskedigelse

− Fratrædelsesaftale ”til fuld og endelig afgørelse”

KONTROL MED MEDARBEJDERENS IT-BRUG

side 22

− SMS – dommen (fortsat). Retten udtalte:

− Ikke afkald på strafferetlig påtale

− SMS-korrepondance er en ”lukket meddelelse”.

− Aflevering sket med henblik på udskiftning. Ikke sammenligneligt med den situation, hvor modtageren af et brev lader et brev ligge åbent fremme.

− Ingen retningslinjer.

− Udleveret til sikkerhedsrepræsentant. Forventning om privat indhold.

− Ikke særlig konkret mistanke mod den pågældende.

− Ikke på forhånd beskreven proces for at undgå private sms’er

− Strafbart i medfør af straffelovens § 263.


side 23

− Dommen blev anket af den daværende direktør til frifindelse, hvor anklagemyndigheden påstod skærpelse.

− I landsretten fandt to dommere derimod, at medarbejderen havde givet bindende afkald på at anmode om offentlig påtale, og at anklagemyndigheden derfor manglede påtaleret, således at der skulle ske frifindelse. En dommer fandt, at direktøren var skyldig i overensstemmelse med byrettens dom.

− På grundlag af flertallets resultat blev alle de tiltalte frifundet, selvom Aarhus Havn, og den ledende medarbejder ikke selv havde anket.


side 24

Medarbejdernes brug af internettet

− Registreringen og gennemgangen heraf skal være nødvendig, for at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til de ansatte må ikke overstige disse interesser. Som eksempler på berettigede interesser kan nævnes: Tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet.

− Medarbejderne skal på forhånd på en klar og utvetydig måde være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom.


side 25

Medarbejdernes e-mails

− Sikkerhedskopieringen af e-mails og en eventuel gennemgang af en medarbejders e-mails må kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan f.eks. være hensynet til drift, sikkerhed, genetablering og dokumentationsamt hensynet til kontrol af medarbejderes brug.

− Medarbejderne skal på forhånd på en klar og utvetydig måde være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-mails.

− Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren ikke læse medarbejderens private e-mails.


side 26

Medarbejdernes e-mails - U.2015.1525H:

− I sagen havde arbejdsgiver mistanke om, at en specifik ansat 1) videregav forretningshemme-ligheder til udenforstående, 2) af denne grund udviste illoyal adfærd i forhold til arbejdsgive-ren. For at undersøge holdbarheden af denne mistanke havde arbejdsgiveren fundet det nød-vendigt at læse den ansattes e-mails, der var sendt/modtaget via det it-system, som arbejds-giveren stillede til rådighed for de ansatte.

− Anført i ansættelseskontrakten, at mailkorrespondancer via virksomhedens systemer tilhørte selskabet, og som selskabet derfor kunne gøre sig bekendt med og disponere over.

− Medarbejderens pligt at markere private korrespondancer som sådanne.

− Beslutningen om gennemgang af e-mails blev truffet på ledelsesniveau, af en nærmere af-grænset personkreds med fornøden faglig indsigt i, om der var tale om forretningshemmelig-heder.

− Disse personer blev tilsvarende pålagt at underskrive fortrolighedserklæring for at sikre, at fortrolige oplysninger ikke blev videregivet, og gennemgangen blev målrettet efter formålet med undersøgelsen.


side 27

Medarbejdernes e-mails U.2015.1525H (forsat):

− Ingen af de e-mails som virksomheden gennemgik, var markeret som privat korrespondance i emnefeltet.

− Udgangspunktet var herefter, som følge af ansættelseskontrakten, at korrespondancen tilhørte selskabet og selskabet kunne gøre sig bekendt med indholdet heraf.

− E-mails med blandet indhold (arbejdsrelateret + privat)

− Det fandtes ikke godtgjort, at virksomheden havde gennemgået meddelelser af privat karakter i videre omfang end det var nødvendigt for at kunne udskille den del af korrespondancen, der var relevant ift. undersøgelsens formål.

− Tillagt vægt, at virksomheden havde anvendt en proces, der var rettet imod beskyttelse af medarbejderens privatliv og fortrolighed.

− Som følge heraf, var virksomhedens gennemgang berettiget.


side 28

− FV2015.0144: (Midttrafik-sagen)

− Sag, som vedrørte spørgsmålet om, hvorvidt det var berettiget, at en virksomhed havde bortvist en medarbejder og opsagt en anden som følge af, at de i deres virke som billetkontrollører havde anvendt CPR-registeret i privat øjemed til at undersøge en tredje kontrollørs civile forhold med henblik på en opnå en date med vedkommende.

− Arbejdet som billetkontrollør med beføjelse til at udskrive afgifter til passagerer uden billet og adgang til i den forbindelse at gøre brug af personfølsomme oplysninger i CPR-registret må anses for en betroet stilling med krav om ansvarlighed og pålidelighed.

− Hensynet til privatlivets fred og beskyttelse af personfølsomme oplysninger er en samfundsmæssig grundværdi, og det måtte anses for almen viden, at en billetkontrollør ikke må bruge sin adgang til personfølsomme oplysninger i CPR-registret på nogen som helst anden måde end som led i arbejdet eller i noget som helst andet øjemed, end hvad arbejdet kan begrunde.


side 29

FV2015.0144: (Midttrafik-sagen, fortsat)

− Ved bedømmelsen af grovheden blev det tillagt betydning, at virksomheden havde klare retningslinjer herom, og at det var gjort tydeligt for kontrollørerne, at misbrug af adgangen til CPR-registeret kunne få ansættelsesretlige konsekvenser.

− Herefter udtalte Opmanden, at det i sig selv må anses for alvorlig misligholdelse, at de to billetkontrollører i 15 minutter, uden arbejdsmæssig grund, søgte oplysninger om en person i CPR-registeret. Det blev anset for et alvorligt tillidsbrud, at søgningen angik en overordnet, som har et indlysende krav på beskyttelse mod et sådant utilbørligt indkig i sine private forhold, som det der fandt sted.

− Bortvisning henholdsvis opsigelsen fandtes herefter berettiget.


side 30

− Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e-mailkontoen kun holdes aktiv i en periode, der er så kort som muligt.

− Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder.

− Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto, sættes et auto-svar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information.

− Den aktive e-mailkonto benyttes kun til modtagelse af e-mail – hvis der modtages privat e-mail, kan e-mailkontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private e-mailkonto.

SÆRLIGT OM E-MAILKONTI FRATRÅDTE MEDARBEJDERE

side 31

(fortsat)

− Oplysninger om den personlige e-mailadresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder.

− Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e-mailkonto.

− Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt mv., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders e-mailkonto åben.

− Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes e-mailkonti og informere medarbejderne herom.

SÆRLIGT OM E-MAILKONTI FRATRÅDTE MEDARBEJDERE

side 32

− Ikke en bestemt (absolut) frist

− Beror på en konkret vurdering af nødvendigheden af fortsat at registrere oplysningerne

− Udtalelse fra Datatilsynet:

− Eksempler på forhold, der kan inddrages i denne sammenhæng, er verserende arbejdsskadesager, uafsluttede retssager eller arbejdsretlige tvister mellem medarbejderen og myndigheden, pensionsforpligtelser, dagpengerefusion og udbetaling af tilgodehavender.

− Den dataansvarlige må ud fra sådanne forhold overveje, hvor længe det generelt vil være nødvendigt for myndigheden at gemme oplysningerne.

− I Datatilsynets kladde til offentlige myndigheders anmeldelse af personaleadministration har tilsynet foreslået en sletningsfrist på maksimalt 20 år for personalesager.

− Ikke før medarbejderen er fratrådt. Datatilsynet har således i praksis lagt til grund, at hensynet til at kunne opbevare dokumentation for historikken i en personalesag må anses for et sagligt formål i personaleadministrativ sammenhæng.

SLETNING AF OPLYSNINGER

side 33

− Oplysningspligten, §§ 28-30

− Oplysningspligt og indsigtsret i personalesag Datatilsynet 10. januar 2012

− Forordningens art. 13-14

− Indsigt § 31, forordningens art. 15

− Indsigelse, § 35, forordningens art. 21.

− Klage til Datatilsynet

DEN REGISTREREDES RETTIGHEDER

side 34

Øgede krav til dokumentation over for registrerede

− Gennemsigtig information, kommunikation mv. – artikel 12: Kommunikation over for registrerede skal være forståelig og i let tilgængelig form

− Oplysningspligt – artikel 13: Krav til den dataansvarlige om oplysninger, der gives på tidspunktet for indsamling

− Oplysningspligt – artikel 14: Hvis personoplysningerne ikke er indsamlet hos den registrerede

UDVIDELSE AF RETTIGHEDER FOR DEN REGISTREREDE

side 35

− Lov eller kollektive overenskomster kan fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, herunder:

− Betingelser for behandling af personoplysninger på grund af samtykke

(præamblens pkt. 155)

− Ansættelseskontrakter

− Godtgørelse for forpligtelser fastsat ved lov eller kollektive overenskomster

− Ledelse

− Planlægning og tilrettelægning af arbejdet

− Ligestilling

− Sikkerhed og sundhed på arbejdspladsen

− Individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold

FORORDNINGENS ART. 88

side 36

− Den dataansvarlige skal sørge for en tilstrækkelig sikkerhed (artikel 24)

− Den dataansvarlige skal kunne påvise, at behandlingen overholder forordningen

− Hvis det står i rimeligt forhold til behandlingsaktiviteter skal foranstaltninger omfatte implementering af passende databeskyttelsespolitikker

− Overholdelse af godkendte codes of conduct eller en godkendt certificering kan være med til at demonstrere den dataansvarliges overholdelse af forpligtelser

DE NYE REGLER I PERSONDATAFORORDNINGENIT-SIKKERHED OG DATABESKYTTELSE – DATAANSVARLIG

side 37

På baggrund af tilgængelig teknologi og omkostninger ved gennemførelse (artikel 25, stk. 1)

− og risikoen for den registreredes rettigheder og frihedsrettigheder

− skal den dataansvarlige gennemføre nødvendige tekniske og organisatoriske foranstaltninger

− som sikrer overholdelse af forordningen

− f.eks. ved at pseudonymisere data

DE NYE REGLER I PERSONDATAFORORDNINGENDATA PROTECTION BY DESIGN – HVAD ER DET?

side 38

− Den dataansvarlige skal have indstillinger, som sikrer, at der kun behandles personoplysninger, som er nødvendige (artikel 25, stk. 2) i forhold til

− mængde, opbevaringstid og tilgængelighed

− mængden af data

− omfanget af behandlingen

− hvor længe data gemmes

− tilgængeligheden af data

DE NYE REGLER I PERSONDATAFORORDNINGENDATA PROTECTION BY DEFAULT – HVAD ER DET?

side 39

− Kun bruge databehandlere, som sørger for tilstrækkelig sikkerhed (artikel 28)

− Brug af underdatabehandlere kræver et konkret eller generelt samtykke fra den dataansvarlige

− Udskiftning af databehandlere kræver underretning af den dataansvarlige

− Krav om kontrakt eller andet retligt dokument

− Efter instruks

− Fortrolighed

− Overholde sikkerhedsforanstaltninger

− Returnere eller slette persondata

− Dokumentere overholdelse af disse krav og mulighed for inspektion

DE NYE REGLER I PERSONDATAFORORDNINGENIT-SIKKERHED OG DATABESKYTTELSE – DATABEHANDLERE

side 40

− Dataansvarlige skal have en fortegnelse (artikel 30) over

− identitet på dataansvarlig og evt. dataansvarliges repræsentant og DPO

− formål

− kategorier af registrerede og persondata

− kategorier af modtagere – særligt i lande uden for EU

− hvor længe data opbevares

− eventuelle sikkerhedsforanstaltninger

− Tilsvarende krav for databehandlere

DE NYE REGLER I PERSONDATAFORORDNINGENFORTEGNELSE OVER BEHANDLING

side 41

Dataansvarlige og databehandlere (artikel 32) skal:

− på baggrund af aktuelle tekniske niveau og omkostninger ved gennemførelse (artikel 25, stk. 1)

− og risikoen for den registreredes rettigheder og frihedsrettigheder

− gennemføre nødvendige tekniske og organisatoriske foranstaltninger

− f.eks. ved at pseudonymisere data

Dette gælder særligt i forhold til risikoen ved uautoriseret adgang

Medarbejdere mv. må kun behandle data efter instruktion

DE NYE REGLER I PERSONDATAFORORDNINGENDATASIKKERHED

side 42

− En dataansvarlig eller databehandler udpeger altid en DPO (artikel 37), når

− behandling foretages af en offentlig myndighed/organ m.m.

− behandlingsaktiviteter i medfør af karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning i stort omfang

− behandling af særlige kategorier af oplysninger, jf. art. 9 og 10.

− Udpeges ud fra

− faglige kvalifikationer

− kendskab til persondataret og praksis og evner til at udføre opgaverne

− Beskyttelse mod afskedigelse (art. 38)

− Medarbejder eller outsourcet

− DPO skal offentliggøres

DE NYE REGLER I PERSONDATAFORORDNINGEN DATA PROTECTION OFFICER

side 43

Evalueringsskema fremsendes per mail – vi modtager meget gerne feedback, så vi eventuelt kan gøre vores arrangementer bedre. Det tager cirka fem minutter at udfylde skemaet online.

NYHEDSBREV

EVALUERING

Tilmeld dig vores nyhedsbrev og få tilsendt nyheder og informationer om kommende arrangementer.Du tilmelder dig her: horten.dk/abonner

LINKEDIN

Følg Horten på LinkedIn, hvor du nemt kan følge med i vores strøm af faglige nyheder, invitationer til arrangementer og jobopslag.Du finder os her: linkedin.com/company/horten

Law

Præsentation Go'morgen møde om HR data