Hvad skal du gøre for at beskytte medarbejdernes personoplysninger?

Hvad skal du gøre i din virksomhed for at beskytte dine medarbejderes personoplysninger?

Læs om GDPR-reglerne, du skal følge, før under og efter ansættelsen.

Inden ansættelsen

Når du modtager ansøgninger, skal du i dit første svar til ansøgeren medtage de oplysninger, som databeskyttelsesreglerne kræver:

  • kontaktoplysninger på den dataansvarlige hos jer
  • formålet med at få oplysningerne
  • hjemlen til at indhente oplysninger
  • om oplysningerne videregives til tredjemand
  • om der skal gives samtykke til indhentelse af straffeattest eller til foto på hjemmesiden
  • hvornår oplysningerne slettes

Under ansættelsen

Du skal udarbejde en medarbejderinstruks, der pålægger medarbejderne de pligter, som databeskyttelsesreglerne kræver bl.a:

  • De må kun indsamle og gemme de personoplysninger, som er helt nødvendige for at kunne løse deres arbejdsopgaver. 
  • De må kun gøre det med lovligt grundlag (efter aftale, lovkrav o.a.) og må ikke videregive uden lovligt grundlag.
  • De skal slette oplysningerne, når der ikke længere er brug for dem.
  • De skal bl.a. bruge adgangskoder, der regelmæssigt udskiftes. 
  • Mails med følsomme personoplysninger, cpr.numre o.l. fortrolige oplysninger mailes kun krypteret. 
  • De skal passe på med at åbne mails og klikke på links eller vedhæftede filer. 
  • De må ikke surfe på nettet på ikke-sikre hjemmesider og anvendelsen af såkaldte fildelings-services på internettet til lagring eller deling af virksomhedens filer/dokumenter, der ikke er autoriseret eller godkendt af virksomheden, tillades under ingen omstændigheder.
  • De skal låse arkivskabe, der indeholder dokumenter med følsomme personoplysninger, CPR-numre og andre fortrolige oplysninger. 
  • De må ikke forlade skrivebordet med sådanne dokumenter uden opsyn. 
  • De har tavshedspligt mht. alle informationer, der involverer persondata, og må kun udlevere persondata til andre medarbejdere i virksomheden, hvis de har brug for informationerne for at udføre deres arbejdsopgaver. 
  • De må kun udlevere persondata til tredjeparter (offentlige myndigheder, virksomheder og/eller personer), hvis der er en hjemmel til at gøre det, f.eks. et lovkrav (hvidvaskloven) eller et nødvendigt krav for at løse en pålagt opgave eller samtykke fra personen selv.

Efter ansættelsen

Oplysningerne om medarbejderne må kun gemmes i det tidsrum, der er nødvendigt.

Ofte slettes de efter 5 år samtidig med sletning af bogholderioplysninger, medmindre der er en verserende retssag eller andet, der kræver en længere opbevaring.

Har du spørgsmål til indholdet i artiklen, eller har du brug for hjælp? Kontakt Ret&Råd advokaterne Helle Groth Christensen, hgc@ret-raad.dk eller Wivi H. Larsen, whl@ret-raad.dk fra Ret&Råd Glostrup.      

}