Har du ansvaret for, at jeres lønprocesser overholder kravene i GDPR? Og er du i tvivl om, hvordan du skal gribe det an?
Her er lidt eksperthjælp til at fokusere og prioritere opgaverne - og komme i gang.
Visma DataLøns jurister sætter følgende 5 områder øverst på listen af, hvad man som ansvarlig for virksomhedens lønprocesser først og fremmest skal gribe fat i for at komme på GDPR-omgangshøjde:
- Kortlæg data om jeres medarbejdere – tag udgangspunkt i lønsedler og ansættelsesbeviser
- Få lavet jeres databehandleraftaler
- Kortlæg antallet af leverandører
- Fortæl jeres medarbejdere, hvordan I behandler data – og gør det på skrift, og så det kan forstås
- Kom i gang – nu!
1. Kortlæg jeres løndata
Selv om det kan virke svært at få overblik over medarbejdernes persondata, skal der hul på bylden. Vi anbefaler, at du krøller det blanke stykke papir sammen, og i stedet begynder med at gennemgå lønsedler og ansættelsesbeviser.
- Se på, hvilke oplysninger du skal bruge for at udarbejde lønsedlen – eksempelvis timeregistreringer, pensionsoplysninger, kontonumre osv.
- Find ud af hvilke aftaler du har med medarbejderen i forhold til ansættelse – pensionsordning, forsikringer eller firmabil.
Hvordan indsamler I de data? Og hvordan opbevarer I dem?
Husk, at det er alle personoplysninger, også de personhenførbare oplysninger, der skal kortlægges. Personhenførbare oplysninger er for eksempel sådan noget som timesedler med medarbejdernumre på, eller systemer med gps-funktionalitet der fortæller, hvor en medarbejder har befundet sig på et givent tidspunkt.
Alle de oplysninger skal du dokumentere, så I har det fulde overblik.
2. Få lavet jeres databehandleraftaler
Hvornår skal og hvornår skal man ikke have en databehandleraftale?
Lad os tage et eksempel, der kræver en databehandleraftale:
En virksomhed bruger DataLøn til håndtering af løn. I det tilfælde er virksomheden den dataansvarlige, og DataLøn er virksomhedens databehandler. Det vil sige, at DataLøn arbejder efter en instruks, og virksomheden skal derfor have en databehandleraftale med DataLøn.
Er du kunde i Visma DataLøn, kan du finde din databehandleraftale her.
Et eksempel der ikke kræver en databehandleraftale:
En virksomhed tilbyder sine medarbejdere en pensionsordning og udveksler personoplysninger med et pensionsselskab eller et forsikringsselskab. Her skal der ikke udarbejdes en databehandleraftale, fordi både pensions- og forsikringsselskabet er selvstændigt dataansvarlige. Pensions- og forsikringsselskabet håndterer ikke personoplysninger efter en instruks fra virksomheden, men fordi virksomhed og medarbejder har indgået en (kontraktlig) aftale.
Er du i tvivl om, hvorvidt du bør have en databehandleraftale, kan du altid kontakte dine leverandører eller samarbejdspartnere. De bør hver især vide, om de er databehandlere eller ej.
3. Kortlæg antallet af leverandører
Som virksomhed skal man have databehandleraftaler på plads med alle de leverandører, hvor der sker en behandling af personoplysninger. Det er sådan nogle som os i DataLøn, men det er også sådan nogle som eksempelvis Microsoft, der er leverandør af de mest benyttede kontorpakker på det danske marked. Eller den virksomhed, som lever af at sælge Microsofts løsninger.
Hvis virksomheden opbevarer personoplysninger såsom løndata i eksempelvis Excel eller Word, eller hvis virksomhedens medarbejdere timeregistrerer på en mail via Outlook, skal der laves en databehandleraftale med Microsoft og evt. deres partner. I den forbindelse er det også virksomhedens pligt at vide, om en leverandør bruger underleverandører til at håndtere ens persondata, og hvor disse data i givet fald befinder sig. Det skal fremgå af databehandleraftalen.
4. Skriv, så det kan forstås
Medarbejderne har krav på at vide, hvordan I indsamler, behandler og opbevarer data på dem - og hvorfor. Vi anbefaler, at I udarbejder et standardskriv, som kan udleveres til alle medarbejdere, hvor I oplyser hvilke oplysninger virksomheden behandler og med hvilket formål. Det er vigtigt, at det er letforståeligt, let tilgængeligt og skriftligt.
Virksomheden skal altid kunne dokmentere over for medarbejderne, hvad I har tænkt og gjort for at leve op til kravene i GDPR.
5. Kom i gang - nu!
Hvis I ikke allerede er godt i gang, er det på høje tid. Hvis du som lønansvarlig har brug for mere konkret input, er du mere end velkommen på Visma DataLøns GDPR-webinarer.
GDPR-pointer
GDPR - eller databeskyttelsesforordningen - stiller skrappe krav til virksomhederne.
GDPR-overblik
Tag med op i helikopteren, og styr selv hvilke facetter af GDPR for løn- og personalefolk, du vil dykke ned i.
Flere GDPR-skridt
Kom up to date på webinar med vores jurister, der er eksperter i GDPR for løn- og personalefolk.