GDPR: Opbevarer du dine medarbejderdata lovligt?

EU's persondataforordning (GDPR) omfatter også data om medarbejdere – i alle typer af virksomheder. Se listen over de seks spørgsmål, en virksomhed skal kunne svare ja til for at overholde GDPR.

GDPR Opbevarer du dine medarbejderdata lovligt

Uanset om du kun har en enkelt medarbejder ansat, eller om du har en stor HR-funktion til at håndtere hundredvis af medarbejdere, skal du opbevare dine medarbejderdata i overensstemmelse med GDPR.

Alle data er følsomme – også familiemedlemmers og venners data

En mindre virksomhed med venner eller familie som medarbejdere vil typisk ikke anse disse medarbejderes data som følsomme. Men i forhold til GDPR så er de det. Det gælder også, hvis en medarbejder selv har registreret data, men ved en ansættelses ophør ønsker at slette alle data.

GDPR i det offentlige – data på whiteboards er også følsomme

Virksomheder med intranet skal være særligt opmærksomme

Har din virksomhed et intranet, bør du også holde øje med, hvad der bliver opbevaret og delt her. Kan data tilbageføres til et individ, hører de i reglen under GDPR. Alligevel kommer mange virksomheder til at tage lidt for lempeligt på reglerne.

De fem mest almindelige GDPR-overtrædelser

Vidensdeling udfordrer GDPR

Mange virksomheder har et intranet. Da et intranet er kendetegnet af en decentral struktur, hvor alle kan lægge data og hermed persondata op, kræver det, at hver enkelt medarbejder har særligt fokus på GDPR. For at sikre at data og dataadgang håndteres korrekt, bør man derfor udarbejde procedurer eller politikker, der sikrer dette.

Som virksomhed ønsker vi at fremme vidensdeling og gøre vores data så tilgængelige som muligt. Derfor har vi et intranet. Men samtidig skal vi også sikre, at vi efterlever principperne i GDPR om at begrænse adgangen til persondata – for både kunder, samarbejdspartnere og ansatte. Jesper Dudahl, direktør i Intras


"Lige nu er vi ved at tilføje en funktion til vores egen intranetløsning, der gør det muligt for administratoren at søge en tidligere medarbejders data frem med henblik på at slette eller anonymisere alle opslag og data på vedkommende", siger direktør Jesper Dudahl.

Begræns mængden - og adgangen

Som arbejdsgiver må du naturligvis gerne behandle personoplysninger, der er nødvendige for ansættelsesforholdet – eksempelvis et kontonummer til udbetaling af løn. Men du har pligt til at begrænse adgangen, så kun de mest relevante personer i din organisation har adgang til data. Du skal især være opmærksom på, om du har lov til at gemme de konkrete personoplysninger om dine medarbejdere.

De fem mest almindelige GDPR-overtrædelser

Jobansøgninger skal slettes inden seks måneder

"GDPR kommer til at udfordre virksomhederne på deres håndtering af medarbejderdata. Mange virksomheder benytter ikke et personale- eller HR-system og skal derfor eksempelvis være særligt opmærksomme på at begrænse adgangen til ansøgninger i deres organisation og huske, at ansøgningerne skal slettes inden for seks måneder. Der er altså behov for at indføre procedurer for sletning – også fra den mailboks, ansøgningerne stiles til", siger direktør Jesper Dudahl, der har udviklet intranetløsningen "Intras".

GDPR på agendaen

På mange måder kan intranettet også være en måde at få GDPR på agendaen på og understøtte princippet om, at medarbejderne løbende forholder sig til risikobilledet og er opmærksomme på sikkerhed og procedurer for persondata.

Et intranet er jo ideelt som debatforum, så en GDPR-tråd må blive obligatorisk på ethvert intranet fremover. Jesper Dudahl, direktør i Intras


"Jeg forventer, at vi som systemleverandør får en tættere dialog med brugerne om deres eksisterende procedurer for medarbejderdata. Når vi designer vores systemer, tænker vi jo også GDPR ind, og jeg forestiller mig eksempelvis, at vi lægger tekster ind, der minder brugerne om GDPR-principperne, når de lægger informationer ud på deres intranet", slutter Jesper Dudahl

Kortlæg din interne databehandling

Meget af det indhold, du har liggende på dit intranet, er omfattet af GDPR. Derfor er det en god idé at gennemgå de seneste opdateringer, webstatistikker, konkurrencer, kommentarfelter etc. på dit intranet og overveje, om din virksomheds procedurer skal strammes op.

Information om GDPR fra det offentlige

Kan du svare ja til alle spørgsmålene i listen herunder, er du godt på vej til at opfylde GDPR.

GDPR-tjeklisten

  • Har medarbejderen givet samtykke til, at du behandler data?
  • Har du indhentet tilladelse til at indsamle data?
  • Kan du slette data, hvis en medarbejder siger op?
  • Gemmer du kun de medarbejderdata, som er nødvendige, og ikke flere?
  • Bruger du kun data til det bestemte formål?
  • Gemmer du data i den periode, det er tilladt, og ikke længere?


Facts og frister for GDPR

De typiske misforståelser om GDPR

GDPR er kun det første skridt