Upload
horten-advokatpartnerselskab
View
270
Download
1
Embed Size (px)
Citation preview
PERSONDATA I MEDARBEJDERFORHOLD
Marianne Lage og Egil Husum
23. november 2016
side 2
Ulige styrkeforhold
− Ledelsesretten og dens begrænsninger
− Persondatalovens hovedprincip: Individet har ret til indsigt og kontrol med oplysninger om den pågældende.
PERSONDATA OG MEDARBEJDERFORHOLD
side 3
Persondataloven - frem til 25 maj. 2018, som implementerer EU-direktiv.
Supplereret af bekendtgørelser, blandt andet sikkerhedsbekendtgørelsen (gælder for offentlige myndigheder)
Forordningen - fra 25. maj 2018
Muligvis fremtidig supplerende dansk lovgivning.
REGELSÆT
side 4
Enhver information om en identificeret eller identificerbar fysisk person (lovens § 3, nr. 1 og forordningens art. 4 nr. 1)
bl.a. oplysninger om følgende forhold
− Fysiske
− Fysiologiske
− Psykiske
− Økonomiske
− Kulturelle
− Sociale
F.eks. også
− Et billede
− Stemme
− Fingeraftryk
− Andre genetiske kendetegn, som f.eks. DNA
Elektronisk databehandling
(it-systemer, tekstbehandling, regneark, e-mail, kalendersystemer)
(Scanning, udskrivning, samkøring, opslag, elektronisk lagring)
Register
(struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier)
(Kartotek, journalbøger, fortegnelser, systematiske ringbind)
Anden systematisk behandling, f.eks. almindelige papirsager
PERSONOPLYSNING OG BEHANDLING
side 5
Oplysninger skal behandles i overensstemmelse med god databehandlingsskik:
− Indsamling til udtrykkeligt angivne og saglige formål (formålsbestemthed)
− senere behandling ikke uforenelig hermed
− Oplysninger skal være relevante og tilstrækkelige (proportionalitet)
− og må ikke omfatte mere end nødvendigt
− Fornøden ajourføring og kontrol (datakvalitet)
− urigtige/vildledende oplysninger slettes/berigtiges
− Oplysninger må ikke opbevares længere end nødvendigt (sletning)
− af hensyn til de formål, oplysningerne er indsamlet til
− hvis oplysningerne anonymiseres, gælder denne begrænsning ikke
GRUNDPRINCIPPER § 5
side 6
Almindelige oplysninger § 6
Kan bl.a. behandles når:
− Den registrerede har givet sit udtrykkelige samtykke hertil
− Nødvendig for opfyldelse af aftale
− Behandlingen er nødvendig, for at overholde en retlig forpligtelse, som påhviler den dataansvarlige
− Behandlingen er nødvendig, for at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse (interesseafvejning)
− NB offentlige myndigheder vil ikke efter forordningen kunne henvise hertil ved udførelsen af deres opgaver
Eksempler: Ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdag, skat, sygedage, advarsler, opsigelse mv.
MEDARBEJDERDATA - TRE TYPER OPLYSNINGER
side 7
− Følsomme § 7 (art. 9)
− Racemæssig eller etnisk baggrund
− Politisk, religiøs eller filosofisk overbevisning
− Fagforeningsmæssige tilhørsforhold (kun hvis arbejdsretligt forpligtet)
− Oplysninger om helbredsmæssige og seksuelle forhold
− Udgangspunkt: Må ikke behandles
− medmindre den registrerede har givet sit udtrykkelige samtykke
− behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares(f.eks. opsigelse eller bortvisning)
MEDARBEJDERDATA - TRE TYPER OPLYSNINGER
side 8
− Semi-følsomme § 8 (bortfalder med forordningen)
− Strafbare forhold (muligvis national lovgivning, art. 10)
− Væsentlige sociale problemer
− Andre rent private forhold, f.eks. oplysninger om bortvisning eller resultat af personlighedstest
− Kun behandles, hvis
− den registrerede har givet sit udtrykkelige samtykke hertil
− det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede
MEDARBEJDERDATA - TRE TYPER OPLYSNINGER
side 9
− Samtykkedefinition, jf. forordningens artikel 4, nr. 11:
”Samtykke" fra den registrerede: Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling”
Den registrerede kan altid trække sit samtykke tilbage.
− Forordningen skærper kravene til samtykke – art. 7 og 8
− Samtykke anses ikke for frivilligt, hvis
− der reelt ikke er et frit valg
− man ikke kan afvise eller tilbagetrække samtykke, uden at det kommer vedkommende til skade
− der er en klar skævhed mellem den registrerede og den dataansvarlige
SAMTYKKE
side 10
Personaleadministration:
− Ved ansættelsen
− Under ansættelsen
− Efter ansættelsen
Generelt gælder for al behandling af medarbejderoplysninger:
− Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse
− Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles
PERSONDATA OG MEDARBEJDERFORHOLD
side 11
− Ansøgningen indeholder personoplysninger:
− Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser
− Bilag (anbefalinger, eksamensbeviser)
− Facebook, LinkedIn, alm. Google søgning (offentliggjort af personen selv?)
− Referencer:
− Få kandidatens samtykke
HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN
side 12
− Personlighedstest
− Arbejds- og opholdstilladelse (identifikation af ansøger)
− Kreditoplysninger
− Kun hvis medarbejderen skal varetage en ”særlig betroet stilling” (uanset samtykke), jf. lovens § 5, stk. 1 – 3 (god databehandlingsskik, udtrykkeligt angivne og saglige formål og proportionalitetsprincippet)
− Vurdering om ”særlig betroet stilling” er en arbejdsretlig vurdering. Håndtering af værdier fører ikke i sig selv til, at man er betroet
− Straffe- og børneattest
− Samtykke nødvendigt for indhentelse. Spørgsmål er derfor, om det er sagligt og proportionalt. Udtalelse fra datatilsynet
HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN
side 13
Helbredsoplysninger
− Samtykke eller at behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares
− Helbredsoplysningsloven
− Formål at sikre, at helbredsoplysninger ikke uberettiget anvendes til at begrænse lønmodtageres muligheder, for at opnå eller bevare ansættelse.
− Hvis sygdommen vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde, er det muligt at indhente, og der er pligt til at oplyse
HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN
side 14
Oplysninger om fagforeningsmæssige tilhørsforhold
− Kan indhentes og behandles ved samtykke, og når behandlingen er nødvendig, for at et retskrav kan fastlægges, gøres gældende eller forsvares.
− Herudover kan oplysninger behandles, hvis behandlingen er nødvendig for overholdelsen af arbejdsgiverens arbejdsretlige forpligtelser eller specifikke rettigheder, hvilket kan følge af kollektiv overenskomst.
AFSKEDIGELSE AF BESKYTTEDE MEDARBEJDERE KRÆVER KENDSKAB TIL FAGFORENINGSMÆSSIGE TILHØRSFORHOLD.
HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN
OVERENSKOMSTFORPLIGTELSE TIL INDEHOLDELSE AF LØN OG BETALING AF KONTINGENT TIL FAGFORENING.
side 15
− Sagligt formål – til relevant personkreds
− Almindelige oplysninger må behandles:
− Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser
− CPR.nr. må opbevares, jf. § 11 (artikel 87)
− Andre oplysninger:
− Kontaktperson: OK
− Antal sygedage: Ja
− Årsag til sygedage: Kun hvis samtykke
− Lovbestemte helbredsoplysninger, f.eks. arbejdsskade: OK
− Advarsler:
− Ja, så længe de er relevante
− Hvilke oplysninger om medarbejdernes private forhold får lederen kendskab til i hverdagen, og hvordan skal disse håndteres?
HR-UDFORDRINGER MED PERSONDATA UNDER ANSÆTTELSEN
side 16
Arbejdsrelaterede oplysninger
− Arbejdsrelaterede oplysninger er f.eks. den ansattes navn, arbejdsområder, ansættelsesår, direkte arbejdstelefonnummer eller e-postadresse på arbejdet.
− Sådanne oplysninger er en naturlig del af informationen om arbejdspladsen, og kan derfor som hovedregel offentliggøres uden samtykke.
Oplysninger af mere privat karakter
− Oplysninger af mere privat karakter er f.eks. et billede af den ansatte, en privat adresse, e-mail eller et privat telefonnummer. Arbejdspladsen må kun offentliggøre disse oplysninger, hvis den enkelte ansatte har givet udtrykkeligt samtykke hertil.
PERSONALEOPLYSNINGER PÅ INTERNETTET
side 17
Udtrykkeligt samtykke
− Et samtykke kan gives mundtligt eller skriftligt. Det er dog arbejdspladsen, der skal bevise, at der i den konkrete situation er afgivet samtykke, og at det i øvrigt lever op til persondatalovens krav til et samtykke.
− Samtykket skal være udtrykkeligt. Det betyder, at der skal være tale om en aktiv handling fra den registreredes side. Det er altså ikke godt nok, hvis man skriver eller siger til den ansatte, at hvis han/hun ikke protesterer inden f.eks. en uge, går man ud fra, at der foreligger et samtykke.
PERSONALEOPLYSNINGER PÅ INTERNETTET (FORTSAT)
side 18
− Aftaler om kontrolforanstaltninger: DA/LO og KL/Forhandlingsfællesskabet
− Arbejdsgiver kan indføre kontrolforanstaltninger, hvis det er sagligt begrundet i driftsmæssige forhold og de har et fornuftigt formål.
− Udgangspunkt: 6 ugers varsel før kontrolforanstaltninger kan iværksættes
− Undtagelse: Hvis formålet med kontrolforanstaltningerne vil forspildes
− Undtagelse: Tvingende driftsmæssige grunde er til hinder for at vente
− Hvis 6 ugers fristen ikke kan overholdes, skal arbejdsgiveren underrette lønmodtagerne snarest muligt samt redegøre for årsagen til, at 6-ugers fristen ikke kan overholdes.
KONTROL
side 19
Aftaler om kontrolforanstaltninger (fortsat):
− Arbejdsrettens dom af 5. juli 2013 i sag nr. 2012.0177
En virksomhed havde indført GPS i sine biler. Inden 6 ugers fristen var gået, blev en medarbejder tildelt en skriftlig advarsel på grund af for lav effektiv arbejdstid.
− Arbejdsretten fandt, at virksomheden havde pådraget sig bodsansvar ved den skete overtrædelse af aftalen om kontrolforanstaltninger og udtalte: ”Under hensyn til, at det ikke er anfægtet, at brugen af oplysningerne til kontrol opfylder de materielle betingelser efter punkt 1, 2. og 3. i aftalen om kontrolforanstaltninger, at de anvendte GPS-oplysninger angår et tidsrum, der ligger efter underretningen, og at der alene er tale om en ikke særligt indgribende kontrol over for en enkelt medarbejder, hvor der var en konkret mistanke om, at han ikke levede op til sine arbejdsforpligtelser, findes overtrædelsen at være af ringe grovhed.”
− Virksomheden blev dømt til at betale en bod på 10.000 kr.
PERSONDATA OG MEDARBEJDERFORHOLD
side 20
Aftaler om kontrolforanstaltninger (fortsat):
− Arbejdsrettens dom af 30. juni 2015 i sag nr. 2014.0228
En virksomhed havde uden forudgående varsel brugt et elektronisk kontrolsystem (fleetcontrol) installeret i virksomhedens busser til kontrol af chaufførernes arbejdstid og brændstofforbrug.
− Virksomheden havde anvendt kontrolsystemet til kontrol af 6 chaufførers brændstofforbrug og havde ladet oplysningerne om brændstofforbruget indgå ved udvælgelsen af, hvilke chauffører, der skulle afskediges ved arbejdsmangel, uden at chaufførerne havde fået tilstrækkeligt klart og tydeligt forudgående varsel.
− Arbejdsretten fastslog, med henvisning til førnævnte praksis, at virksomheden havde pådraget sig bodsansvar som følge af bruddet på aftalen om kontrolforanstaltninger.
− Virksomheden blev dømt til at betale en bod på 50.000 kr.
PERSONDATA OG MEDARBEJDERFORHOLD
side 21
− SMS – dommen
− Afsagt af Retten i Aarhus den 18. september 2015
− Arbejdsgiverbetalt telefon
− Adgang til privat brug
− Indleverer telefonen med henblik på udskiftning
− Stærke illoyale beskeder om kollegaer, som fører til afskedigelse
− Fratrædelsesaftale ”til fuld og endelig afgørelse”
KONTROL MED MEDARBEJDERENS IT-BRUG
side 22
− SMS – dommen (fortsat). Retten udtalte:
− Ikke afkald på strafferetlig påtale
− SMS-korrepondance er en ”lukket meddelelse”.
− Aflevering sket med henblik på udskiftning. Ikke sammenligneligt med den situation, hvor modtageren af et brev lader et brev ligge åbent fremme.
− Ingen retningslinjer.
− Udleveret til sikkerhedsrepræsentant. Forventning om privat indhold.
− Ikke særlig konkret mistanke mod den pågældende.
− Ikke på forhånd beskreven proces for at undgå private sms’er
− Strafbart i medfør af straffelovens § 263.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 23
− Dommen blev anket af den daværende direktør til frifindelse, hvor anklagemyndigheden påstod skærpelse.
− I landsretten fandt to dommere derimod, at medarbejderen havde givet bindende afkald på at anmode om offentlig påtale, og at anklagemyndigheden derfor manglede påtaleret, således at der skulle ske frifindelse. En dommer fandt, at direktøren var skyldig i overensstemmelse med byrettens dom.
− På grundlag af flertallets resultat blev alle de tiltalte frifundet, selvom Aarhus Havn, og den ledende medarbejder ikke selv havde anket.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 24
Medarbejdernes brug af internettet
− Registreringen og gennemgangen heraf skal være nødvendig, for at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til de ansatte må ikke overstige disse interesser. Som eksempler på berettigede interesser kan nævnes: Tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet.
− Medarbejderne skal på forhånd på en klar og utvetydig måde være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 25
Medarbejdernes e-mails
− Sikkerhedskopieringen af e-mails og en eventuel gennemgang af en medarbejders e-mails må kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan f.eks. være hensynet til drift, sikkerhed, genetablering og dokumentationsamt hensynet til kontrol af medarbejderes brug.
− Medarbejderne skal på forhånd på en klar og utvetydig måde være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-mails.
− Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren ikke læse medarbejderens private e-mails.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 26
Medarbejdernes e-mails - U.2015.1525H:
− I sagen havde arbejdsgiver mistanke om, at en specifik ansat 1) videregav forretningshemme-ligheder til udenforstående, 2) af denne grund udviste illoyal adfærd i forhold til arbejdsgive-ren. For at undersøge holdbarheden af denne mistanke havde arbejdsgiveren fundet det nød-vendigt at læse den ansattes e-mails, der var sendt/modtaget via det it-system, som arbejds-giveren stillede til rådighed for de ansatte.
− Anført i ansættelseskontrakten, at mailkorrespondancer via virksomhedens systemer tilhørte selskabet, og som selskabet derfor kunne gøre sig bekendt med og disponere over.
− Medarbejderens pligt at markere private korrespondancer som sådanne.
− Beslutningen om gennemgang af e-mails blev truffet på ledelsesniveau, af en nærmere af-grænset personkreds med fornøden faglig indsigt i, om der var tale om forretningshemmelig-heder.
− Disse personer blev tilsvarende pålagt at underskrive fortrolighedserklæring for at sikre, at fortrolige oplysninger ikke blev videregivet, og gennemgangen blev målrettet efter formålet med undersøgelsen.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 27
Medarbejdernes e-mails U.2015.1525H (forsat):
− Ingen af de e-mails som virksomheden gennemgik, var markeret som privat korrespondance i emnefeltet.
− Udgangspunktet var herefter, som følge af ansættelseskontrakten, at korrespondancen tilhørte selskabet og selskabet kunne gøre sig bekendt med indholdet heraf.
− E-mails med blandet indhold (arbejdsrelateret + privat)
− Det fandtes ikke godtgjort, at virksomheden havde gennemgået meddelelser af privat karakter i videre omfang end det var nødvendigt for at kunne udskille den del af korrespondancen, der var relevant ift. undersøgelsens formål.
− Tillagt vægt, at virksomheden havde anvendt en proces, der var rettet imod beskyttelse af medarbejderens privatliv og fortrolighed.
− Som følge heraf, var virksomhedens gennemgang berettiget.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 28
− FV2015.0144: (Midttrafik-sagen)
− Sag, som vedrørte spørgsmålet om, hvorvidt det var berettiget, at en virksomhed havde bortvist en medarbejder og opsagt en anden som følge af, at de i deres virke som billetkontrollører havde anvendt CPR-registeret i privat øjemed til at undersøge en tredje kontrollørs civile forhold med henblik på en opnå en date med vedkommende.
− Arbejdet som billetkontrollør med beføjelse til at udskrive afgifter til passagerer uden billet og adgang til i den forbindelse at gøre brug af personfølsomme oplysninger i CPR-registret må anses for en betroet stilling med krav om ansvarlighed og pålidelighed.
− Hensynet til privatlivets fred og beskyttelse af personfølsomme oplysninger er en samfundsmæssig grundværdi, og det måtte anses for almen viden, at en billetkontrollør ikke må bruge sin adgang til personfølsomme oplysninger i CPR-registret på nogen som helst anden måde end som led i arbejdet eller i noget som helst andet øjemed, end hvad arbejdet kan begrunde.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 29
FV2015.0144: (Midttrafik-sagen, fortsat)
− Ved bedømmelsen af grovheden blev det tillagt betydning, at virksomheden havde klare retningslinjer herom, og at det var gjort tydeligt for kontrollørerne, at misbrug af adgangen til CPR-registeret kunne få ansættelsesretlige konsekvenser.
− Herefter udtalte Opmanden, at det i sig selv må anses for alvorlig misligholdelse, at de to billetkontrollører i 15 minutter, uden arbejdsmæssig grund, søgte oplysninger om en person i CPR-registeret. Det blev anset for et alvorligt tillidsbrud, at søgningen angik en overordnet, som har et indlysende krav på beskyttelse mod et sådant utilbørligt indkig i sine private forhold, som det der fandt sted.
− Bortvisning henholdsvis opsigelsen fandtes herefter berettiget.
KONTROL MED MEDARBEJDERENS IT-BRUG
side 30
− Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e-mailkontoen kun holdes aktiv i en periode, der er så kort som muligt.
− Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder.
− Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto, sættes et auto-svar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information.
− Den aktive e-mailkonto benyttes kun til modtagelse af e-mail – hvis der modtages privat e-mail, kan e-mailkontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private e-mailkonto.
SÆRLIGT OM E-MAILKONTI FRATRÅDTE MEDARBEJDERE
side 31
(fortsat)
− Oplysninger om den personlige e-mailadresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder.
− Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e-mailkonto.
− Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt mv., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders e-mailkonto åben.
− Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes e-mailkonti og informere medarbejderne herom.
SÆRLIGT OM E-MAILKONTI FRATRÅDTE MEDARBEJDERE
side 32
− Ikke en bestemt (absolut) frist
− Beror på en konkret vurdering af nødvendigheden af fortsat at registrere oplysningerne
− Udtalelse fra Datatilsynet:
− Eksempler på forhold, der kan inddrages i denne sammenhæng, er verserende arbejdsskadesager, uafsluttede retssager eller arbejdsretlige tvister mellem medarbejderen og myndigheden, pensionsforpligtelser, dagpengerefusion og udbetaling af tilgodehavender.
− Den dataansvarlige må ud fra sådanne forhold overveje, hvor længe det generelt vil være nødvendigt for myndigheden at gemme oplysningerne.
− I Datatilsynets kladde til offentlige myndigheders anmeldelse af personaleadministration har tilsynet foreslået en sletningsfrist på maksimalt 20 år for personalesager.
− Ikke før medarbejderen er fratrådt. Datatilsynet har således i praksis lagt til grund, at hensynet til at kunne opbevare dokumentation for historikken i en personalesag må anses for et sagligt formål i personaleadministrativ sammenhæng.
SLETNING AF OPLYSNINGER
side 33
− Oplysningspligten, §§ 28-30
− Oplysningspligt og indsigtsret i personalesag Datatilsynet 10. januar 2012
− Forordningens art. 13-14
− Indsigt § 31, forordningens art. 15
− Indsigelse, § 35, forordningens art. 21.
− Klage til Datatilsynet
DEN REGISTREREDES RETTIGHEDER
side 34
Øgede krav til dokumentation over for registrerede
− Gennemsigtig information, kommunikation mv. – artikel 12: Kommunikation over for registrerede skal være forståelig og i let tilgængelig form
− Oplysningspligt – artikel 13: Krav til den dataansvarlige om oplysninger, der gives på tidspunktet for indsamling
− Oplysningspligt – artikel 14: Hvis personoplysningerne ikke er indsamlet hos den registrerede
UDVIDELSE AF RETTIGHEDER FOR DEN REGISTREREDE
side 35
− Lov eller kollektive overenskomster kan fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, herunder:
− Betingelser for behandling af personoplysninger på grund af samtykke
(præamblens pkt. 155)
− Ansættelseskontrakter
− Godtgørelse for forpligtelser fastsat ved lov eller kollektive overenskomster
− Ledelse
− Planlægning og tilrettelægning af arbejdet
− Ligestilling
− Sikkerhed og sundhed på arbejdspladsen
− Individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold
FORORDNINGENS ART. 88
side 36
− Den dataansvarlige skal sørge for en tilstrækkelig sikkerhed (artikel 24)
− Den dataansvarlige skal kunne påvise, at behandlingen overholder forordningen
− Hvis det står i rimeligt forhold til behandlingsaktiviteter skal foranstaltninger omfatte implementering af passende databeskyttelsespolitikker
− Overholdelse af godkendte codes of conduct eller en godkendt certificering kan være med til at demonstrere den dataansvarliges overholdelse af forpligtelser
DE NYE REGLER I PERSONDATAFORORDNINGENIT-SIKKERHED OG DATABESKYTTELSE – DATAANSVARLIG
side 37
På baggrund af tilgængelig teknologi og omkostninger ved gennemførelse (artikel 25, stk. 1)
− og risikoen for den registreredes rettigheder og frihedsrettigheder
− skal den dataansvarlige gennemføre nødvendige tekniske og organisatoriske foranstaltninger
− som sikrer overholdelse af forordningen
− f.eks. ved at pseudonymisere data
DE NYE REGLER I PERSONDATAFORORDNINGENDATA PROTECTION BY DESIGN – HVAD ER DET?
side 38
− Den dataansvarlige skal have indstillinger, som sikrer, at der kun behandles personoplysninger, som er nødvendige (artikel 25, stk. 2) i forhold til
− mængde, opbevaringstid og tilgængelighed
− mængden af data
− omfanget af behandlingen
− hvor længe data gemmes
− tilgængeligheden af data
DE NYE REGLER I PERSONDATAFORORDNINGENDATA PROTECTION BY DEFAULT – HVAD ER DET?
side 39
− Kun bruge databehandlere, som sørger for tilstrækkelig sikkerhed (artikel 28)
− Brug af underdatabehandlere kræver et konkret eller generelt samtykke fra den dataansvarlige
− Udskiftning af databehandlere kræver underretning af den dataansvarlige
− Krav om kontrakt eller andet retligt dokument
− Efter instruks
− Fortrolighed
− Overholde sikkerhedsforanstaltninger
− Returnere eller slette persondata
− Dokumentere overholdelse af disse krav og mulighed for inspektion
DE NYE REGLER I PERSONDATAFORORDNINGENIT-SIKKERHED OG DATABESKYTTELSE – DATABEHANDLERE
side 40
− Dataansvarlige skal have en fortegnelse (artikel 30) over
− identitet på dataansvarlig og evt. dataansvarliges repræsentant og DPO
− formål
− kategorier af registrerede og persondata
− kategorier af modtagere – særligt i lande uden for EU
− hvor længe data opbevares
− eventuelle sikkerhedsforanstaltninger
− Tilsvarende krav for databehandlere
DE NYE REGLER I PERSONDATAFORORDNINGENFORTEGNELSE OVER BEHANDLING
side 41
Dataansvarlige og databehandlere (artikel 32) skal:
− på baggrund af aktuelle tekniske niveau og omkostninger ved gennemførelse (artikel 25, stk. 1)
− og risikoen for den registreredes rettigheder og frihedsrettigheder
− gennemføre nødvendige tekniske og organisatoriske foranstaltninger
− f.eks. ved at pseudonymisere data
Dette gælder særligt i forhold til risikoen ved uautoriseret adgang
Medarbejdere mv. må kun behandle data efter instruktion
DE NYE REGLER I PERSONDATAFORORDNINGENDATASIKKERHED
side 42
− En dataansvarlig eller databehandler udpeger altid en DPO (artikel 37), når
− behandling foretages af en offentlig myndighed/organ m.m.
− behandlingsaktiviteter i medfør af karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning i stort omfang
− behandling af særlige kategorier af oplysninger, jf. art. 9 og 10.
− Udpeges ud fra
− faglige kvalifikationer
− kendskab til persondataret og praksis og evner til at udføre opgaverne
− Beskyttelse mod afskedigelse (art. 38)
− Medarbejder eller outsourcet
− DPO skal offentliggøres
DE NYE REGLER I PERSONDATAFORORDNINGEN DATA PROTECTION OFFICER
side 43
Evalueringsskema fremsendes per mail – vi modtager meget gerne feedback, så vi eventuelt kan gøre vores arrangementer bedre. Det tager cirka fem minutter at udfylde skemaet online.
NYHEDSBREV
EVALUERING
Tilmeld dig vores nyhedsbrev og få tilsendt nyheder og informationer om kommende arrangementer.Du tilmelder dig her: horten.dk/abonner
Følg Horten på LinkedIn, hvor du nemt kan følge med i vores strøm af faglige nyheder, invitationer til arrangementer og jobopslag.Du finder os her: linkedin.com/company/horten