GDPR for den lønansvarlige: Disse 5 områder skal du fokusere på lige nu

Har du fået ansvaret for, at jeres lønprocesser overholder kravene i GDPR? Er du stadig i tvivl om, hvad du skal gøre for at blive helt klar til den 25. maj 2018? Så kommer her lidt eksperthjælp til at fokusere og prioritere opgaverne. 


Vi har spurgt vores juridiske eksperter, hvad man som ansvarlig for virksomhedens lønprocesser skal have fokus på, og du får her de 5 områder, der står højest på listen.

  1. Kortlæg data om jeres medarbejdere – tag udgangspunkt i lønseddel og ansættelsesbeviser
  2. Få lavet jeres databehandleraftaler
  3. Kortlæg antallet af leverandører
  4. Fortæl jeres medarbejdere hvordan I behandler data – og gør det, så det kan forstås
  5. Kom i gang – nu!

1. Kortlæg jeres løndata

Der er stadig mange, der har svært ved at få et overblik over de persondata, som virksomheden behandler om sine medarbejdere. Vores anbefaling er, at man i stedet for et blankt stykke papir begynder med lønseddel og ansættelsesbeviser.

  • Se på, hvilke oplysninger du skal bruge for at udarbejde lønsedlen – eksempelvis timeregistreringer, pensionsoplysninger, kontonumre osv.
  • Hvilke aftaler har du med medarbejderen i forhold til ansættelse – pensionsordning, forsikringer eller firmabil.

Hvordan indsamler I de data? Og hvordan opbevarer I dem?

Husk, at det er alle personoplysninger, også de personhenførbare oplysninger, der skal kortlægges. Det er f.eks. sådan noget som timesedler med medarbejdernumre på eller systemer med gps-funktionalitet, der fortæller, hvor en medarbejder har befundet sig på et givent tidspunkt. Alle de oplysninger skal dokumenteres, så man har det fulde overblik.

2. Få lavet jeres databehandleraftaler 

Hvornår skal og hvornår skal man ikke have en databehandleraftale? 

Lad os tage et eksempel:

  • En virksomhed bruger DataLøn til håndtering af løn. I det tilfælde er virksomheden den dataansvarlige, og DataLøn er virksomhedens databehandler. Det vil sige, at DataLøn arbejder efter en instruks, og virksomheden skal derfor  have en databehandleraftale med DataLøn. Populært sagt kan man sige, at ”forretningssystemer” ligger i denne kategori. De systemer en virksomhed bruger til sin administration og som eventuelt er arbejdsredskaber for medarbejderne.

    Er du kunde i DataLøn, kan du finde din databehandleraftale her.
  • Virksomheden tilbyder sine medarbejdere en pensionsordning og udveksler personoplysninger med et pensionsselskab eller et forsikringsselskab. Her skal der ikke udarbejdes en databehandleraftale, fordi både pensions- og forsikringsselskabet er selvstændigt dataansvarlige. De håndterer ikke personoplysninger efter en instruks fra virksomheden, men fordi virksomhed og medarbejder har indgået en (kontraktlig) aftale – og virksomheden bruger pensionsselskabet til at overholde sin aftale.

Er du i tvivl, om du bør have en databehandleraftale, kan du altid kontakte dine leverandører eller samarbejdspartnere, som alle bør vide, om de er databehandlere eller ej.

3. Kortlæg antallet af leverandører

Som virksomhed skal man have databehandleraftaler på plads med alle de leverandører, hvor der sker en behandling af personoplysninger. Det er sådan nogle som os i DataLøn, men det er også sådan nogle som eksempelvis Microsoft, der er leverandør af de mest benyttede kontorpakker på det danske marked. Eller den virksomhed, som lever af at sælge Microsofts løsninger. 

Hvis man opbevarer personoplysninger såsom løndata i eksempelvis Excel eller Word, eller hvis virksomhedens medarbejdere timeregistrerer på en mail via Outlook, skal der laves en databehandleraftale med Microsoft og evt. deres partner. I den forbindelse har man også pligt til at vide, om en leverandør bruger underleverandører til at håndtere ens persondata, og hvor disse data i givet fald befinder sig. Det skal fremgå af databehandleraftalen.

4. Skriv, så det kan forstås

En del af øvelsen er, at I skal kunne forklare jeres medarbejdere, hvordan I har indsamlet, behandlet data på dem, og hvordan I opbevarer data. Vi anbefaler, at I udarbejder et standardskriv, som kan udleveres til alle medarbejdere, hvor I oplyser hvilke oplysninger virksomheden behandler og med hvilket formål.

Det behøver ikke at være skrevet på en korrekt, juridisk måde. Det vigtigste er, at det er forståeligt, og at I kan dokumentere overfor jeres medarbejdere, hvad virksomheden har tænkt og gjort for at leve op til kravene i GDPR.

5. Kom i gang - nu!

Vi er ved at være derhenne, hvor I ikke længere kan skubbe opgaven foran sig. Heldigvis findes der et hav af GDPR-kurser. I kan også gå ind på Datatilsynets hjemmeside, hvor I kan hente hjælp til at forstå forordningen. 

Og endelig har formanden for Rådet for Digital Sikkerhed Henning Mortensen udviklet et Excel-ark til dataafdækning. Det kan du hente gratis her -->

 

Læs mere om databeskyttelsesforordningen:



 

 

 

Hovedpunkterne

Læs om de væsentligste ændringer som databeskyttelsesforordningen medfører, i forhold til den gældende persondatalov i Danmark.

 

Læs mere her

Databeskyttelsesforordningen

Databeskyttelsesforordningen (GDPR) er præcis ligeså vigtig, som medier og eksperter har gjort den til. Få et overblik over de 4 vigtigste forandringer her.

 

Læs mere her

Dokumentationskrav

Databeskyttelsesforordningen (tidligere kendt som Persondataforordningen) stiller nye krav til, hvordan virksomheder håndterer og opbevarer persondata.

 

Læs mere her