Sammenhængen mellem GDPR og arbejdet i HR-afdelingen må ikke undervurderes.

Indledningsvis kan vi for overskuelighedens skyld opdele HR-afdelingens arbejde i tre konkrete aktiviteter

1. Rekruttering af nye medarbejdere
2. Personaleadministrative opgaver vedrørende ansatte medarbejdere
3. Fratrædelse/opsigelse af medarbejdere

I relation til GDPR i HR-afdelingen og overholdelse af persondataforordningen kan der for hver af disse tre aktiviteter være processer, der kræver nøje opmærksomhed i det daglige arbejde.

1. Rekruttering af nye medarbejdere
Lige så snart virksomheden modtager en ansøgning til en ledig stilling, begynder HR-afdelingen at behandle ansøgerens personoplysninger.

HR-afdelingen skal i den forbindelse være opmærksom på at efterleve persondataforordningens bestemmelser om behandling af personlige oplysninger. Virksomheden har en oplysningspligt over for ansøgeren. Pligten indtræder i samme splitsekund, virksomheden indsamler ansøgerens personlige oplysninger.

Virksomheden skal ud over at oplyse jobansøgeren om hvilke personlige oplysninger der behandles/registreres også oplyse om hvor længe, den opbevarer jobansøgningen. Jobansøgningen skal fjernes/slettes når virksomheden ikke længere har nogen grund til at opbevare dem.

Nogle gange gemmer/opbevarer virksomheder indkomne jobansøgninger i tilfælde af, at der skulle dukke en tilsvarende ledig stilling op i fremtiden.

Datatilsynets udtalelser om behandling af oplysninger om jobansøgere
Datatilsynet udtaler, at hvis materiale fra rekrutteringsprocesser gemmes i

36 mdr:            Uha-nej - dét må man ikke!
24 mdr:            Der skal foreligge en redegørelse for hvorfor oplysninger er gemt SÅ længe.
6 mdr:              OK at opbevare. Samtykke ved længere opbevaring.
3 mdr:              OK at opbevare. Samtykke ved længere opbevaring.

Læs mere herom på Datatilsynets hjemmeside:
Opbevaring af personoplysninger om ansøgere, som ikke bliver ansat

Husk dog omvendt også lige på ikke alt slette oplysninger alt for hurtigt i tilfælde af, at der skulle opstå tvister. F.eks. en jobansøger, der mener at være frasorteret med henblik på en jobsamtale pga. sin alder.

Under alle omstændigheder kan det være en god idé at indhente et samtykke fra jobansøgeren til at virksomheden gemmer/opbevarer jobansøgningen til senere.

Sletning af oplysninger
Vær opmærksom på, at virksomheden altid skal kunne begrunde sin valg af slettefrister over for Datatilsynet. Og at man naturligvis selv overholder dem.

Andre opmærksomheder
Der er er naturligvis også andre aktiviteter i forbindelse med rekruttering, hvor virksomheden i relation til persondataforordningens bestemmelser bør være opmærksom på behandlingen af personoplysninger. Det kunne f.eks. dreje sig om

● indhentning af referencer fra jobansøgeres tidligere arbejdsgivere
● anvendelse af oplysninger indhentet på sociale medier, Facebook, LinkedIn osv.
● personlighedstest af jobansøgere
● indhentning af straffeattest (og evt. børneattest)

2. Ansatte medarbejdere
En HR-afdeling har løbende personaleadministrative opgaver, som naturligvis jævnligt kræver behandling af medarbejdernes personoplysninger. Det kunne f.eks. dreje sig om

● Udarbejdelse af ændringer/tillæg til ansættelseskontrakter
● Lønkørsler og tidsregistrering
● Medarbejderes kontaktoplysninger på hjemmeside
● Medarbejdersamtaler (MUS)

Løsning af de løbende personaleadministrative opgaver i HR-afdelingen kræver stor omhyggelighed i relation til behandling af medarbejderes personoplysninger. Både i forhold til persondatalovgivningen, men naturligvis også i forhold al ansættelsesretlig lovgivning som sådan.

3. Fratrædelse/opsigelse af medarbejdere
Når en medarbejder fratræder sin stilling (af den ene eller anden årsag), så kan virksomheden fortsat have et administrativt behov for at opbevare medarbejderens oplysninger.

Disse oplysninger om medarbejdere skal virksomheden naturligvis have en god grund til fortsat at opbevare. Det kunne f.eks. være af disse grunde

● Virksomheden har behov for at dokumentere historikken i en personalesag
● Hvis andre retlige regler (f.eks. bogføringslovens regler om opbevaringspligt af bilag og regnskabsmateriale) kræver at lønoplysninger opbevares i et vist tidsrum, så arbejdsgiveren kan indberette oplysninger til skattemyndighederne
● Opbevaring af oplysninger i forbindelse med opsigelse af en medarbejder, hvis disse er nødvendige i forhold til et eventuelt retskrav, f.eks. pga. usaglig opsigelse.

Datasikkerhed i HR-afdelingen
Kravene til sikkerheden i forbindelse med opbevaring og behandling af personoplysninger skal altid bestemmes ud fra en risikovurdering. Risikovurdering af behandlingen af personoplysninger i HR-afdelingen medfører ofte en høj risiko.

I forbindelse med HR-afdelingens personaleadministration kræver følgende opmærksomhed:

● Formulér en forretningsgang over behandling af personoplysninger i HR-afdelingen og oplær de relevante medarbejdere.
● Adgangen til personoplysningerne bør altid begrænses til så få medarbejdere som muligt – og kun relevante medarbejdere!
● Opbevar fysisk tilgængelige personoplysningerne aflåst i skab. En låst dør til et kontor er ikke nok.
● Opbevar elektronisk tilgængelige personoplysninger ved brug af passwordbeskyttelse (som kun relevante medarbejdere kender til)
● Ved brug af email til korrespondance skal fortrolige og følsomme personoplysninger sendes krypteret.
● Sørg for at filer og papirer ved sletning/bortskafning ikke kan genskabes.


Risiko
Ikke at overholde databeskyttelsesloven/persondataforordningen er en dadelværdig handling, der udløser Datatilsynets vrede. Sanktionen bliver ’et adfærdsregulerende dask i nakken’, i form af bøder, der i princippet kan blive endda særdeles store.

Der er derfor al mulig grund til med største omhyggelighed at iagttage databeskyttelseslovens/persondataforordningens bestemmelser om opbevaring og behandling (og sletning) af personlige oplysninger.


Relevante kurser der berører databeskyttelsesloven/persondataforordningen'
GDPR | I relation til HR
GDPR | Nyheder & Opdatering


Indholdet i ovenstående artikel er ikke - og kan ikke erstatte - juridisk rådgivning.