Alt om GDPR når du laver løn
Når du arbejder med løn og personaleadministration, jonglerer du med masser af medarbejderoplysninger. Derfor er GDPR - databeskyttelsesforordningen - vigtig for dig.
Centrale begreber i GDPR
Hver gang du skal vurdere, om - eller hvordan - du må behandle for eksempel en medarbejderoplysning, har du brug for at tjekke det op mod de grundlæggende principper i GDPR:
- Lovlighed - hvad er din legitime hjemmel til at behandle den givne data?
- Rimelighed - er det overhovedet relevant at indsamle eller gemme dataene?
- Gennemsigtighed - gør du det tydeligt (nok) for ejeren af data (medarbejderen), hvad du foretager dig og hvorfor?
- Formålsbegrænsning - har du klart afgrænset og formuleret, hvad du skal bruge data til?
- Opbevaringsbegrænsning - har du klarlagt, hvor længe du må opbevare data, og beskrevet hvilken procedure du følger for at slette dem igen?
Hvorfor GDPR?
Digitalisering har sat turbo på at gøre persondata interessant, og personoplysninger er i visse kredse en rigtig hård valuta. De kan sladre, de er vigtige, og de er først og fremmest personlige. Som sådan er de den enkeltes (kæreste?) eje.
GDPR er opfundet for at beskytte personlige oplysninger og undgå misbrug af dem.
I arbejdet med løn og HR har du dine fingre i en masse (dyre og dyrebare) data, og derfor skal du have styr på at behandle og beskytte dem korrekt. Med respekt. Og selvfølgelig for at undgå bøder, hvis Datatilsynet kommer på besøg.
GDPR før, under og efter ansættelse
Du håndterer mange - både almindelige, fortrolige og måske endda følsomme - personoplysninger, mens en medarbejder er ansat. Ikke bare almindelige lønoplysninger, men måske også oplysninger om medarbejderens helbred, ligesom e-mails måske bliver logget, og bygningen videoovervåges.
Mere om medarbejderoplysninger under ansættelse
En jobansøger giver dig typisk indsigt i en række personlige oplysninger. Også her kræver GDPR, at du ved hvor grænserne går for at indhente information om dem, du overvejer at rekruttere. Og at du ved, hvor længe du må opbevare data. Det gælder forresten også for medarbejdere, der fratræder. Det er underordnet, om du opbevarer data digitalt eller på papir!
Du har oplysningspligt
Det er arbejdsgivers ansvar at oplyse hver enkelt medarbejder om, hvilke data der indsamles og opbevares - og hvorfor. Du skal faktisk have en eksplicit politik på området, og den skal være skrevet ned, nem at forstå og lige til at gå til for medarbejderen.
Hvad betyder GDPR's "Behandlingssikkerhed"?
Som dataansvarlig skal du sørge for, at alle persondata behandles sikkert. Altså at data ikke behandles ulovligt, eller af de forkerte mennesker. At data ikke går tabt, "bliver væk" eller videregivet til uvedkommende.
Konkret betyder det, at I skal:
- lave en risikovurdering
- have indført tekniske, organisatoriske og fysiske foranstaltninger
- kunne dokumentere, hvad I gør
- registrere alle brud på persondatasikkerheden i en hændelseslog
- være klar over, hvornår et brud skal anmeldes til Datatilsynet
Er du klar til, at Datatilsynet kommer på besøg?
Datatilsynet har lov til at bede dig svare på skriftlige forespørgsler for at tjekke virksomhedens GDPR-tilstand. Men de kan også finde på - og har frit slag til - at komme på fysisk besøg. Måske varsler de, at de kommer. Måske ikke.
Hvad enten Datatilsynet kommer på anmeldt eller uanmeldt besøg, er det godt at være velforberedt. Du skal have overblik over alle de dele af GDPR, som påvirker jeres virksomhed, og som du uden at blinke skal kunne dokumentere, hvordan I håndterer.
Bliv klar til Datatilsynet
Medarbejderne har indsigtsret
Alle ejer deres egne persondata, og derfor har dine medarbejdere ret til indsigt i de reelle oplysninger, du som arbejdsgiver opbevarer om dem. Hvis en nuværende eller tidligere medarbejder ønsker indsigt, må du ikke stille dig på bagbenene - ej heller forhale processen.
Er data forkerte, kan medarbejderen kræve dem rettet. Og kan du ikke godtgøre, hvorfor du i det hele taget opbevarer de givne persondata, kan ejeren kræve dem slettet.
Indsigtsretten er endnu en god grund til at have overblik over data - hvor de findes i jeres systemer og hvorfor.
Mere om indsigtsretten og dens konsekvenser
Dine databehandlere er dit ansvar
Lader du en ekstern samarbejdspartner eller leverandør behandle persondata for dig, er det dig, der har ansvaret for, at databehandleren overholder GDPR. Du er den dataansvarlige.
I den sammenhæng skal du derfor sørge for at indgå klare, skriftlige databehandleraftaler.
Men ved du egentlig, hvad der skal med i en databehandleraftale?
Få greb om dine databehandlere
GDPR kræver konstant vedligehold
Den lidt kedelige nyhed er, at man sådan set aldrig kommer i mål med GDPR - i hvert fald ikke én gang for alle. Der sker hele tiden noget i ens forretning, så nye persondata måske kommer til, eller man får nye behov med de persondata, man allerede har. Den gode nyhed er, at der findes gode praktiske redskaber til at holde GDPR vedlige, så du så at sige løbende kommer i mål. Det sikrer dig, at du fortsat overholder GDPR.