Databeskyttelsesforordningen og dokumentationskrav:

Databeskyttelsesforordningen (GDPR) stiller strikse krav til, hvordan I som virksomhed håndterer og opbevarer persondata.

Nogle af kravene skal I selv leve op til. Andre kan I med fordel bede jeres leverandør om at dokumentere.

Kan du genkende det her?

Du ved, at databeskyttelsesforordningen er vigtig. Du er også opmærksom på, at I skal håndtere persondata i jeres virksomhed med forsigtighed og omhu. Men du har ikke helt overblik over, hvordan du skal gribe problematikkerne an, og hvad du bør gøre nu og her, hvis det ikke allerede er gjort...

Hvis det er tilfældet, så læs med her. Eller tag med på webinar.

Saglig anvendelse af persondata

Man skal, som arbejdsgiver, kunne dokumentere, at man overholder databeskyttelsesforordningens krav om lovlig behandling af persondata.

Det første skridt på vejen er at afdække, præcis hvilke medarbejderoplysninger I ligger inde med. Det betyder, at I bør gennemgå både it-systemer og fysiske opbevaringssteder, hvor I behandler og udveksler persondata eller noterer dem ned.

Vi anbefaler desuden, at I tager en snak med de medarbejdere i jeres organisation, der håndterer persondata. I skal undersøge, hvordan de modtager persondata, og hvordan de opbevarer dem. Det kan give jer et billede af, hvordan data flyder frem og tilbage mellem mailsystemer, arkiver og services i skyen. I bør også overveje:

• Hvad er formålet med behandlingen af oplysningerne?
• Behandler I kun de oplysninger, der er nødvendige, for at varetage administrationen af ansættelsesforholdet?
• Er adgangen til personoplysningerne begrænset til de medarbejdere, der har et arbejdsbetinget behov for at kunne tilgå oplysningerne?

Når I har dannet jer et overblik over, hvilke personoplysninger I behandler i virksomheden, kan I gå i gang med at sikre jer, at der kun foretages lovlig behandling af dem.

Endelig skal I kigge kritisk på, hvorfor I opbevarer persondataene. Mange virksomheder har for vane at gemme alle oplysninger om tidligere medarbejdere og ud og år ind. Men det er ikke tilladt. Ifølge forordningen skal der være en saglig grund til at gemme data. Er der ikke det, skal dataene slettes - digitalt fra it-systemet eller fysisk fra papirarkivet.

Der er ikke formelle krav til, hvordan I dokumenterer jeres personaleadministrative data. I kan gøre det på den måde, I ønsker.

Bed jeres leverandør om en databehandleraftale

Som virksomhed er I ansvarlige for alle de persondata, virksomheden genererer - inklusive personaleadministrative data såsom HR- og lønoplysninger.

Hvis I køber jer til personaleadministrative ydelser – hos eksempelvis Visma DataLøn eller en tilsvarende leverandør – skal I have en databehandleraftale, der dokumenterer, at leverandøren lever op til dokumentationskravene i databeskyttelsesforordningen. Databehandleraftalen skal blandt andet angive, hvor jeres data opbevares henne.

Det er jeres ansvar som dataansvarlig, at der findes en databehandleraftale. Men en del leverandører har en databehandleraftale, der lever op til GDPR-kravene.

Læs mere om databeskyttelsesforordningen: