Videre til indhold
Lønmodtager
Selvstændig
Studerende
Søg
Bliv medlem
Bliv medlem

Beskyttelse af persondata

Når din virksomhed behandler medarbejderes personoplysninger, skal du overholde reglerne om persondata.

Som arbejdsgiver bør du altid være bevidst om: 

  • Hvilke oplysninger virksomheden indsamler og bruger.
  • Hvordan de behandles og opbevares.
  • Hvem der har adgang.
  • Hvem der er ansvarlig for behandlingen.
  • Hvornår oplysningerne slettes.

Vi anbefaler, at du får lavet en systematisk gennemgang af virksomhedens håndtering af persondata, så du er sikker på, at reglerne bliver fulgt. 

  

Hvad er personoplysninger?  

Personoplysninger er oplysninger, der kan bruges til at identificere en person. Det gælder også, når en person først kan identificeres, fordi oplysningen kombineres med andre oplysninger. I praksis skal der ikke mange oplysninger til for, at dette kan ske.  

Databeskyttelsesforordningen opdeler personoplysninger i to hovedkategorier: almindelige personoplysninger og følsomme personoplysninger. 

  • Eksempler på almindelige personoplysninger: Navn, adresse, tlf.nr., e-mail, stillingsbetegnelse, lønoplysninger, kontonr., fravær, sygedage, køn, foto, medarbejderID, advarsler, påtaler, kontonummer, loginnavn, GPS-oplysning, sko- og tøjstørrelse, eksamenskarakterer, ansættelseskontrakt, cv.

  • Eksempler på følsomme personoplysninger: Race eller etnisk oprindelse, religiøs og politisk overbevisning, medlemskab af fagforening, helbredsoplysninger, seksuelle forhold eller seksuel orientering, straffeattest, personlighedstest, væsentlige sociale problemer, bortvisning fra arbejdspladsen, biologisk materiale og genetiske data. 

Få mere information på Datatilsynets hjemmeside:

Hvornår behandler du personoplysninger?

 

Straffedomme og lovovertrædelser 

Oplysninger om straffedomme og lovovertrædelser er en særlig kategori af personoplysninger. Som arbejdsgiver må du som udgangspunkt ikke behandle disse oplysninger, medmindre der er et klart lovgrundlag. 

Eksempler kan være indhentning af en straffeattest eller børneattest i forbindelse med ansættelse, eller hvis en medarbejders ulovlige handlinger nødvendiggør en politianmeldelse. 


Fortrolige personoplysninger 

Ud over almindelige og følsomme personoplysninger findes der også fortrolige oplysninger. De er ikke defineret direkte i databeskyttelsesforordningen, men Datatilsynet fremhæver, at de skal behandles med særlig beskyttelse. 

Fortrolige oplysninger kan fx være CPR-numre, indtægts- og formueforhold, interne familieforhold eller oplysninger om alvorlige hændelser som selvmordsforsøg eller ulykker. 

  

Hvornår behandler din virksomhed personoplysninger?  

Næsten alle handlinger, der involverer en personoplysning, betragtes som behandling af personoplysninger. Det gælder både, når du registrerer, opbevarer, ændrer eller sletter oplysninger, uanset om det sker manuelt, digitalt eller automatisk. 

Eksempler på behandling: 

  • Registrering af fravær og sygedage.
  • Tilpasning og ændring af medarbejderoplysninger.
  • Opbevaring af kontrakter og ansøgninger.
  • Søgninger på sociale medier.
  • Søgning i e-mails.
  • Brug af kalendersystemer og it-registre.
  • Gennemgang af ansøgninger.
  • Behandling af løn.
  • Indhentelse af lægelige dokumenter.

  

Hvilke krav stilles der til arbejdsgiver? 

Arbejdsgiver skal altid behandle personoplysninger lovligt, rimeligt og gennemsigtigt for den registrerede medarbejder. 

Som arbejdsgiver kan du normalt behandle ikke følsomme personoplysninger, fx navn, adresse og telefonnummer, uden at indhente samtykke, hvis det sker som led i ansættelsesforholdet. 

Til gengæld kræver behandling af følsomme oplysninger, som helbredsoplysninger eller medlemskab af en fagforening, som udgangspunkt et udtrykkeligt samtykke fra medarbejderen. 

Arbejdsgiver skal samtidig have passende tekniske og organisatoriske foranstaltninger, der beskytter oplysningerne mod misbrug. 

    

Bed kun om de oplysninger, du har brug for 

En god tommelfingerregel er, at du kun indsamler data, der har et klart formål. 

Eksempler på data som kan undværes er:  

  • CPR-nummer.Man har ikke pligt til at skrive CPR-nummer på en ansættelseskontrakt. Hvis du gør det alligevel, betragtes kontrakten som indeholdende følsomme personoplysninger. Som regel er der ikke brug for CPR-nummeret i selve kontrakten, men det kan være nødvendigt til fx løn. I så fald må det kun anvendes til det specifikke formål, det er indhentet til, da det giver entydig identifikation af medarbejderen. 

  • Helbred. Du må ikke spørge direkte, hvad en medarbejder fejler. Også selvom det ikke skrives ned. Spørg i stedet til, hvilke begrænsninger sygdommen giver i forhold til arbejdet. 

Fælles for de to oplysninger ovenfor er, at de ikke gør nogen større forskel for, hvordan man handler i situationen. Derfor har man i bund og grund ikke behov for dem, og det er netop pointen: Hvis man ikke skal bruge oplysningen til noget, er det bedre ikke at have den.  

Tænk derfor altid: Hvad er mit formål med at opbevare denne viden?  

  

Data skal tjene etbestemtformål  

Personfølsomme data må kun behandles, hvis de tjener et bestemt formål, og kun inden for de rammer, medarbejderen har givet samtykke til.  

  

Hvilkepersonoplysninger må du oplyse om på virksomhedens hjemmeside?  

Som udgangspunkt må du kun offentliggøre arbejdsrelaterede oplysninger, fx navn, arbejdsområde, ansættelsesår, telefonnummer og arbejdsmail. 

Øvrige oplysninger, herunder et billede af medarbejderen, kræver et udtrykkeligt samtykke.  

 

Arbejdsgivers oplysningspligt  

Uanset om du som arbejdsgiver indhenter personoplysninger om medarbejderen hos medarbejderen selv eller ved tredjemand, har du en oplysningspligt overfor medarbejderen.  

Oplysningspligten indebærer, at du tydeligt informerer medarbejderen om: 

  • Formålet med indsamlingen.

  • Det juridiske grundlag for behandling af oplysningerne. 

  • Hvilke rettigheder medarbejderen har, herunder indsigt, mulighed for ændring, tilretning og sletning af oplysninger. 

 

Medarbejderens rettigheder 

En medarbejder kan altid kræve en kopi af de oplysninger, virksomheden behandler om vedkommende selv. Du har som udgangspunkt 1 måned til at udlevere de oplysninger, medarbejderen har bedt om. Ved omfattende indsigtsanmodninger kan fristen forlænges til 3 måneder.  

Hvis oplysningerne er forkerte, skal de rettes straks eller senest 1 måned efter, at medarbejderen har anmodet om det. 

Du kan som udgangspunkt ikke kræve betaling for at skulle efterkomme en indsigtsanmodning fra en medarbejder, medmindre henvendelsen kan betegnes som chikane.  

 

Risiko ved at overtræde reglerne 

Hvis virksomheden overtræder reglerne om behandling af personoplysninger, kan konsekvensen være en bøde på op til 4 % af den samlede årsomsætning eller maks. 20 mio. euro afhængig af overtrædelsen.