GDPR
GDPR kan for mange være ensbetydende med en masse regler, som kan være vanskelige at få overblik over. I dette blogindlæg introduceres reglerne om databeskyttelse (også kaldet GDPR), og der beskrives en hurtig guide, som kan bruges som et værktøj till at komme i gang med GDPR i din virksomh
General Data Protection Regulation, i daglig tale GDPR, begyndte for alvor at fylde noget i bevidstheden rundt på arbejdspladserne i foråret 2018, hvor den europæiske persondataforordning trådte i kraft. Reglernes formål er først og fremmest at beskytte den enkelte borger mod misbrug og ulovlig registrering af data, hvor særligt personfølsomme data ønskes beskyttet.
I forhold til GDPR skelnes der ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle – en person er en person. Reglerne har i stedet fokus på følsomheden af de persondata som – i dette tilfælde virksomheder – behandler. Et af de mest væsentlige krav til virksomhederne er kravet til at dokumentere, at personoplysninger indsamles, håndteres og behandles efter reglerne.
I det følgende gennemgår vi nogle af de vigtigste punkter, du skal have for øje i forbindelse med GDPR.
Sådan kommer du i gang med GDPR
I det følgende gives nogle eksempler på forhold, som skal tages i betragtning når virksomheder omfattes af GDPR-reglerne. Eksemplerne må på ingen måde opfattes som udtømmende, da der hele tiden kan komme nye problemstillinger til. Derudover varierer relevansen for de enkelte spørgsmål fra virksomhed til virksomhed, alt afhængig af den enkelte virksomheds størrelse, målgruppe, organisationskultur osv. Fælles for alle spørgsmålene er dog, at de kan hjælpe dig i gang med dit arbejde med GDPR.
Generelt skal man tage udgangspunkt i at hvis man indsamler, opbevarer og/eller behandler persondata, bør man undersøge hvilke regler der gælder.
Datatilsynet har vejledende udarbejdet følgende 12 centrale spørgsmål, som alle virksomheder bør stille sig selv:
(1) Har vi forholdt os til databeskyttelsesforordningen?
(2) Hvilke (person-)data har vi – og behandler vi?
(3) Hvilke informationer giver vi de registrerede?
(4) Hvordan opfylder vi de registreredes rettigheder?
(5) Datakategorier og retligt grundlag?
(6) Hvordan indhenter vi samtykke
(7) Behandler vi personoplysninger om børn og unge <18 år?
(8) Brud på datasikkerheden?
(9) Er vores (data-)behandlinger forbundet med særlige risici?
(10) Er databeskyttelse indtænkt i vores IT-systemer?
(11) Hvem er ansvarlig for databeskyttelsesspørgsmål?
(12) Driver vi virksomhed i flere lande?
Og hvad er så hensigten ved at stille sig selv de ovenstående spørgsmål? Det handler ikke om at kunne svare fuldstændigt på alle spørgsmål og forhold omhandlende din virksomheds GDPR arbejde. Det handler om, at lidt er bedre end ingenting, og at du ved at forholde dig til og besvare de spørgsmål, der giver mening for dig og din virksomhed, i høj grad er kommet godt fra start. Altså kan hensigten med Datatilsynets 12 spørgsmål klarlægges ret enkelt – de hjælper dig i gang med dit arbejde med GDPR.
Men lad os nu vende tilbage til nogle af de konkrete forhold, du som virksomhed skal være opmærksom på. Der vil i det følgende derfor komme korte redegørelser over nogle af de forhold du bør være ekstra opmærksom på.
Når der føres en fortegnelse, handler det i bund og grund om at få skabt størst muligt overblik over de behandlinger af personoplysninger, du som dataansvarlig eller databehandler har iværksat i virksomheden. Selvom en fortegnelse primært er en forpligtigelse internt i virksomheden, vil den kunne bruges som dokumentation for, at virksomheden overholder persondataforordningen.
I denne forbindelse er det relevant at forholde sig til de personer, hvis data man registrerer.
Her er det væsentligt at informere om:
1: At man foretager registrering.
2: Formålet med registreringen.
3: Hvilke data man registrerer.
4: Hvorledes gør den registrerede opmærksom på, hvad den registrerede gør, hvis man ikke ønsker at være registreret, ønsker data rettet eller slettet helt?
5: Grundlaget (reglerne) for registreringen.
Vurdering af ansættelsesforhold
I en samarbejdsaftale beskrives samarbejdet og de forventninger, der forefindes til dette. Kriterierne kan i denne forbindelse blandt andre være, at der er fastlagte instrukser for arbejdets udførelse, måden arbejdet udføres på og/eller arbejdstid. Dette kan også være i forhold til efterlevelse af virksomhedens regelsæt og retningslinjer, samt at virksomheden har mulighed for at føre kontrol med det arbejde der udføres.
Aftale om fast løn
En eventuel aftale om en form for fast løn, der f.eks. udbetales månedsvist bagud, kan som det var tilfældet i ovennævnte dom tale for, at der er tale om et lønmodtagerforhold. Heri taler aftale om feriepenge, pension mv. altså også for et lønmodtagerforhold. Desuden bør det pointeres, at er det et krav, at konsulenten selv betaler ved ferie og sygdom, såfremt der er tale om et freelance forhold.
Opsigelsesperiode
Indgåelse af aftale om opsigelsesperiode i kontrakten kan betyde, at samarbejdet taler for et lønmodtagerforhold. Det kan derfor, fra et arbejdsgiverperspektiv, være risikabelt at tilføje en opsigelsesperiode i samarbejdsaftalen.
Kunder/kundeforhold
Det antal kunder en konsulent udfører et stykke arbejde for, indgår også i vurderingen af, om der er tale om et lønmodtagerforhold. Jævnfør den eksemplificerede dom, lagde retten netop vægt på det faktum at 99,5% af omsætningen byggede på én kunde, og derfor var der tale om et lønmodtagerforhold. Yderligere er det afgørende at forholde sig til hvem der bærer risikoen for kundens (evt. manglende) betaling mv.
Omkostninger
Det har betydning for sondringen af, hvorvidt en konsulent skal betragtes som værende selvstændig eller lønmodtager, hvem der afholder de i forbindelse med opgavernes udførelse væsentlige omkostninger. Afholdelse af omkostninger til husleje, ansatte, arbejdsudstyr, reklame m.v. kan derfor indgå i argumentationen for, at konsulenten kan anses for værende selvstændig.
Pas på gråzoner
Virksomheder skal især være påpasselige ved indgåelse af freelance- eller konsulentaftaler, hvis den selvstændige konsulent tidligere har været ansat i den givne virksomhed. Tidligere ansættelse i virksomheden kan anses som værende et tungtvejende argument for, at konsulenten stadig er ansat. Også selv om konsulenten har etableret sin egen virksomhed, og at hvervgiver faktureres. Det er derfor så meget desto mere vigtigt, at der i en sådan situation er taget stilling til ovenstående forhold.
Personfølsomme data
En ganske enkel måde at forklare hvad personfølsomme data er, kan være at stille spørgsmålet:
”Hvilke data om dig selv, ønsker du ikke at andre skal kunne se, uden at du har givet dem lov til at se dem (også kaldet samtykke)?”
Det gælder blandt andet ved registrering af medarbejderes cpr.nr., evt. hemmelig adresse og/eller telefonnr., konkrete lønforhold mv.
Der er dog visse særligt personfølsomme data, for hvilke der er et egentligt forbud mod at registrere.
Det gælder for følgende data:
- Race og etnisk oprindelse.
- Politisk overbevisning.
- Religiøs eller filosofisk overbevisning.
- Fagforeningsmæssige tilhørsforhold (dog ikke A-kasse, se nedenfor).
- Genetiske data.
- Biometriske data med henblik på entydig identifikation.
- Helbredsoplysninger (se nedenfor).
- Seksuelle forhold eller seksuel orientering.
Fagforeningsmæssige forhold
Reglen om fagforening betyder at virksomheder ikke må foretage en registrering af medarbejdernes tilknytning til en fagforening. Det er ej heller tilladt at kræve et bestemt tilhørsforhold, som betingelse for en ansættelse.
Helbredsoplysninger
Når det handler om helbredsoplysninger er der, i GDPR-sammenhæng, tale om et lidt specielt område. Det der ligger i forbuddet mod at registrere disse, er et beskyttelseshensyn i forhold til den enkelte, og grupper af personer med handicap eller sygdomme. Det er klart at forhold som arbejdspladsindretning, tilpasning af arbejdsopgaver, forhold omkring ansættelsen (f.eks. fleksjob) gør, at der kan være et behov for registrering af data for enkeltpersoner. Forbuddet er generelt og beskyttelseshensynet er væsentligst forebyggelse af forskelsbehandling.
Samtykke
Når man – efter reglerne – skal indhente samtykke til registrering og/eller behandlingen af data, skal man også være opmærksom på formalia omkring indhentelsen af den konkrete samtykkeerklæring. Der kan ikke bare indhentes en generel samtykkeerklæring til registrering og behandling af persondata, f.eks. i forbindelse med ansættelsen af en medarbejder eller udfærdigelse af en kontrakt om behandling af persondata. Det skal mere specifikt nævnes, hvilke data man ønsker at indhente og evt. behandle.
Overvågning
Hvis man – i eller omkring virksomheden – anvender overvågningssystemer som kameraer, adgangssystemer mv., skal der (i visse tilfælde) skiltes med dette. Derudover skal reglerne for indsamling, opbevaring, anvendelse og sletning af data være beskrevet.
I denne forbindelse skal medarbejderne informeres om, at der foretages registrering. Denne information skal endvidere indeholde formålet med registreringen, samt reglerne for opbevaring og anvendelse af de registrerede data. Derudover skal medarbejdernes ret til at gøre indsigelse herom fremgå, samt retten til at få berigtiget og slettet data.
Opbevaring af data
En virksomheds opbevaring af data kan være meget forskelligartet. Der kan være tale om data som opbevares på en server, ”i Skyen”, på en stationær eller bærbar PC eller andre mediebaserede data (CD-rom, USB-pen mv.). Derudover kan data være diverse fysiske dokumenter vedrørende ansatte, kunder og samarbejdspartnere.
Hvis man opbevarer data på edb-baserede enheder (PC, server, skyen el.) stilles der krav om at man forholder sig til hvem der har adgang til de relevante data. Det er således kun de medarbejdere der har et reelt behov for at tilgå persondata, som må have adgang til disse. Eksempelvis lønbogholderiet i en virksomhed.
Hvis medarbejderne er klassificerede (f. eks. af sikkerhedshensyn) er det udelukkende de relevante ledere og kollegaer, som må have adgang til de enkelte gruppers personfølsomme oplysninger.
Fysiske data
Fysiske data skal opbevares i aflåste skabe eller lokaler, hvor det kun er de relevante medarbejdere som har adgang. Der skal foreligge dokumentation for hvem der har nøgler, og over hvem der har ret til at tilgå oplysningerne i de aflåste skabe eller rum.
Der skal i visse tilfælde også sørges for den nødvendige sikkerhed omkring bortskaffelse af materialet – f.eks. sletning, makulering mv.
Reglerne som er grundlaget for registreringen
Der er et krav om at man skal anføre i henhold til hvilke regler man foretager de enkelte typer af registreringer. Man kan med fordel indsætte dem i den fortegnelse som det anbefales at virksomheden udarbejder.
Brug for hjælp?
Et råd herfra kan være i første omgang at undgå at forholde sig til de specifikke regelhenvisninger – og så senere, hen ad vejen, få dem med.
Væsentligst må det være at få begyndt på at få GDPR indenfor i virksomheden, og så herefter finpudse dokumentationen.
Har du spørgsmål om GDPR, eller brug for hjælp eller rådgivning? Vi sidder altid klar til at assistere dig, lige netop der hvor du har brug for det. Ring til os på tlf. 8727 0100 eller skriv til os på jura@viborgloen.dk, så får vi en uforpligtigende snak om, hvordan vi bedst skaber yderligere værdig for dig og din virksomheds arbejde med GDPR.
Relaterede indlæg
Hvad koster en medarbejder?
Vi har udarbejdet en lønomkostningsberegner, som skal være med til at synliggøre, hvad en medarbejder reelt koster i timen.