Choose language

Få styr på de grundlæggende GDPR-principper

Har du greb om de basale principper i GDPR, kan du meget nemmere navigere korrekt, når du indsamler, behandler og opbevarer personoplysninger.

Tag på webinar i GDPR

Få styr på GDPR

Løn- og personale-adminsitration er fuld af persondata

Når du arbejder med løn og personale, er medarbejderdata en naturlig del af opgaverne – det kan være lønoplysninger, CPR-numre, pension, fravær eller tidligere ansættelser.

Som dataansvarlig er det dit ansvar at beskytte medarbejdernes data bedst muligt. Heldigvis hjælper GDPR-principperne dig med at gøre det korrekt. Når du har styr på de grundlæggende regler, kan du være tryg ved, at I håndterer persondata sikkert og rigtigt.

GDPR_hjemmeside_1200x900

Hvad er personoplysninger?

Egentlig alle oplysninger der kan henføres til et bestemt menneske. Inden for GDPR opererer man med 3 hovedkategorier af oplysninger:

  • Almindelige - fx. navn og adresse
  • Fortrolige - fx. CPR-nummer og straffeattest
  • Følsomme - fx. helbredsoplysninger

Til hver af kategorierne knytter der sig forskellige regler for, hvordan du må indsamle og behandle oplysningerne. Det er relativt komplekst, så hvis du vil have styr på det, kan du tage med på det GDPR-webinar, hvor vi særligt kommer ind på dette i relation til netop dit arbejde med løn og personaleadministration.

Hvis du vil have det serveret lidt mere tørt og paragraf-agtigt, skriver Datatilsynet en masse om personoplysninger.

GDPR-princip #1

Lovlighed

For at kunne indsamle og behandle persondata skal du have et såkaldt "lovligt behandlingsgrundlag".

Når du laver løn, vil persondata som CPR-nummer og lønoplysninger være en del af at leve op til ansættelseskontrakten, og derfor har du dit behandlingsgrundlag i orden. 

Men hvad med de situationer, hvor du indsamler data af andre årsager? Fx, hvis lageret eller parkeringspladsen er videoovervåget, eller hvis I logger alle e-mails. Her er det vigtigt at sikre, at du har et lovligt behandlingsgrundlag på plads.

Du skal kunne dokumentere, at al dataindsamling er rimelig og relevant. GDPR kalder det "proportionalitet" – og det er ikke kun vigtigt i praksis, men også i kommunikationen med de ansatte. Det handler om at sikre gennemsigtighed og give medarbejderne klar besked, så du lever op til GDPR-kravene om information.

GDPR-princip #2

Afgrænset formål

Du må aldrig bare indsamle og opbevare persondata, fordi noget "kunne da bare være meget rart at vide". Den enkelte personoplysning må kun registreres, hvis formålet står knivskarpt, begrænset og begrundet.

Du skal kunne dokumentere, at al dataindsamling er rimelig og relevant. GDPR kalder det "proportionalitet" – og det er ikke kun vigtigt i praksis, men også i kommunikationen med de ansatte. Det handler om at sikre gennemsigtighed og give medarbejderne klar besked, så du lever op til GDPR-kravene om information.

GDPR-princip #3

Sporene skal slettes

Bortset fra at du altid kun må indsamle de absolut nødvendige persondata, skal I være klare i spyttet med hensyn til, hvordan og hvor ofte I sletter data igen.

Ikke alle data må opbevares lige længe (eller kort!). Fx er der stor forskel på, hvor længe du må opbevare en ansøgning, og så data på en medarbejder der er fratrådt. 

GDPR-princip #4

Korrekte data

Som dataansvarlig er det din opgave at sørge for, at data til enhver tid er rigtige. Det betyder også, at en medarbejder - som jo faktisk er den, der ejer sine data - har ret til at få rettet oplysninger, der er forkerte.

Det er i sagens natur kun muligt, hvis vedkommende ved præcis hvilke data, du opbevarer. Det skal du gøre muligt for medarbejderen at vide for at være i sync med GDPR.

 

GDPR-princip #5

Sikkerhed

GDPR kalder det "integritet og fortrolighed", men du kan snildt oversætte det til sikkerhed. 

Sikkerhed handler ikke kun om, at it-sikkerheden er i orden. Det gælder også rent fysisk. Fx at dokumenter med persondata ikke ligger og flyder. 

Sikkerhed betyder også, at du skal være helt spids på, hvem i virksomheden der har adgang til hvilke data. Her gælder de andre GDPR-principper også. Det er ikke i orden, at alle har adgang til alt. Det skal være relevant.

 

GDPR-princip #6

Ansvarlighed

Ansvarlighed kan lyde diffust og som om det er til fri fortolkning. Sådan er det ikke helt. I GDPR-regi betyder ansvarlighed, at I skal kunne dokumentere alt hvad I gør. Derfor er det vigtigt at nedfælde sine politikker og procedurer.

En god idé er desuden at udpege, præcis hvem der har ansvaret for at tage hånd om de forskellige GDPR-opgaver. For hvis "alle" bare har ansvaret, ender det ofte med at ingen har det.

GDPR-principper

Har du brug for en GDPR-ninja?

Tag fat i vores jurister, der er eksperter i GDPR

Ring tlf. 72 27 90 16

GDPR must knows

Grundlæggende GDPR-principper

Sådan håndterer du medarbejderdata

Rekruttering og fratrædelse

Din oplysningspligt

Også vigtigt

Bliv klar til Datatilsynet

Dit databehandleransvar

Kom godt i gang med GDPR

Tag på GDPR-webinar

Guides & workshops

Lær at spotte en personoplysning

De 10 GDPR-bud

Tjekliste til GDPR-fortegnelsen

Workshops