
Alt om GDPR når du laver løn
Hver gang du skal vurdere, om - eller hvordan - du må behandle for eksempel en medarbejderoplysning, har du brug for at tjekke det op mod de grundlæggende principper i GDPR:
Digitalisering har sat turbo på at gøre persondata interessant, og personoplysninger er i visse kredse en rigtig hård valuta. De kan sladre, de er vigtige, og de er først og fremmest personlige. Som sådan er de den enkeltes (kæreste?) eje.
GDPR er opfundet for at beskytte personlige oplysninger og undgå misbrug af dem.
I arbejdet med løn og HR har du dine fingre i en masse (dyre og dyrebare) data, og derfor skal du have styr på at behandle og beskytte dem korrekt. Med respekt. Og selvfølgelig for at undgå bøder, hvis Datatilsynet kommer på besøg.
Du håndterer mange - både almindelige, fortrolige og måske endda følsomme - personoplysninger, mens en medarbejder er ansat. Ikke bare almindelige lønoplysninger, men måske også oplysninger om medarbejderens helbred, ligesom e-mails måske bliver logget, og bygningen videoovervåges.
Mere om medarbejderoplysninger under ansættelse
En jobansøger giver dig typisk indsigt i en række personlige oplysninger. Også her kræver GDPR, at du ved hvor grænserne går for at indhente information om dem, du overvejer at rekruttere. Og at du ved, hvor længe du må opbevare data. Det gælder forresten også for medarbejdere, der fratræder. Det er underordnet, om du opbevarer data digitalt eller på papir!
Det er arbejdsgivers ansvar at oplyse hver enkelt medarbejder om, hvilke data der indsamles og opbevares - og hvorfor. Du skal faktisk have en eksplicit politik på området, og den skal være skrevet ned, nem at forstå og lige til at gå til for medarbejderen.
Som dataansvarlig skal du sørge for, at alle persondata behandles sikkert. Altså at data ikke behandles ulovligt, eller af de forkerte mennesker. At data ikke går tabt, "bliver væk" eller videregivet til uvedkommende.
Konkret betyder det, at I skal:
Har du brug for at lære mere om GDPR særligt for løn- og HR-medarbejdere?
Datatilsynet har lov til at bede dig svare på skriftlige forespørgsler for at tjekke virksomhedens GDPR-tilstand. Men de kan også finde på - og har frit slag til - at komme på fysisk besøg. Måske varsler de, at de kommer. Måske ikke.
Hvad enten Datatilsynet kommer på anmeldt eller uanmeldt besøg, er det godt at være velforberedt. Du skal have overblik over alle de dele af GDPR, som påvirker jeres virksomhed, og som du uden at blinke skal kunne dokumentere, hvordan I håndterer.
Alle ejer deres egne persondata, og derfor har dine medarbejdere ret til indsigt i de reelle oplysninger, du som arbejdsgiver opbevarer om dem. Hvis en nuværende eller tidligere medarbejder ønsker indsigt, må du ikke stille dig på bagbenene - ej heller forhale processen.
Er data forkerte, kan medarbejderen kræve dem rettet. Og kan du ikke godtgøre, hvorfor du i det hele taget opbevarer de givne persondata, kan ejeren kræve dem slettet.
Indsigtsretten er endnu en god grund til at have overblik over data - hvor de findes i jeres systemer og hvorfor.
Lader du en ekstern samarbejdspartner eller leverandør behandle persondata for dig, er det dig, der har ansvaret for, at databehandleren overholder GDPR. Du er den dataansvarlige.
I den sammenhæng skal du derfor sørge for at indgå klare, skriftlige databehandleraftaler.
Men ved du egentlig, hvad der skal med i en databehandleraftale?
Den lidt kedelige nyhed er, at man sådan set aldrig kommer i mål med GDPR - i hvert fald ikke én gang for alle. Der sker hele tiden noget i ens forretning, så nye persondata måske kommer til, eller man får nye behov med de persondata, man allerede har. Den gode nyhed er, at der findes gode praktiske redskaber til at holde GDPR vedlige, så du så at sige løbende kommer i mål. Det sikrer dig, at du fortsat overholder GDPR.