Grundlæggende GDPR principper - GDPR's byggesten

GDPR's byggesten

Har du greb om de basale principper i GDPR, kan du meget nemmere navigere korrekt, når du indsamler, behandler og opbevarer personoplysninger.

Løn- og personaleadminsitration er fuld af persondata

Når man arbejder med løn og personale, er medarbejdernes data en naturlig del af arbejdsopgaverne. Det er viden om fx løn, cpr-nummer, pension, fravær, sygdom, familierelationer, måske fagforeningsmedlemskab og tidligere ansættelser. 

Som dataansvarlig er det din opgave at passe bedst muligt på medarbejdernes data. Og principperne i GDPR er din hjælp til at gøre det rigtigt. 

Har du styr på byggestenene, kan du blive en haj til at vurdere, om I er på sporet eller på afveje. Og gør I det rigtigt, kan du have GDPR-ro i maven.

Tør du teste din GDPR-viden?

Lovlighed - GDPR-princip #1

Du skal have et såkaldt "lovligt behandlingsgrundlag" for overhovedet at måtte indsamle og behandle persondata. 

Når du laver løn, vil persondata som CPR-nummer og lønoplysninger være en del af at leve op til ansættelseskontrakten, og derfor har du dit behandlingsgrundlag i orden. 

Men hvad er din hjemmel for for eksempel at indsamle data om de ansatte, hvis lageret eller parkeringspladsen er overvåget? Eller hvis I logger alle e-mails? Det er vigtigt, at du har styr på det også.

Du skal kunne godtgøre at al indsamling er rimelig og relevant. Med GDPR's ord hedder det "proportionalitet". Og det er også vigtigt, hvordan du får det formidlet til de ansatte, for at du opfylder din "oplysningspligt" - endnu en GDPR-byggesten.

 

 

Juridisk-rådgivning-bøger-visma-dataløn-rund.png

Afgrænset formål - GDPR-princip #2

Du må aldrig bare indsamle og opbevare persondata, fordi noget "kunne da bare være meget rart at vide". Den enkelte personoplysning må kun registreres, hvis formålet står knivskarpt, begrænset og begrundet.

Mark_337.jpg

Sporene skal slettes - GDPR-princip #3

Bortset fra at du altid kun må indsamle de absolut nødvendige persondata, skal I være klare i spyttet med hensyn til, hvordan og hvor ofte I sletter data igen. Ikke alle data må opbevares lige længe (eller kort!). For eksempel er der stor forskel på, hvor længe du må opbevare en ansøgning, og så data på en medarbejder der er fratrådt. 

Datatilsynet skriver en hel del om reglerne for sletning.

Det er vigtigt, at I formulerer alle GDPR-procedurer og -politikker klart - og på skrift.

Victoria Bang Jurist, Visma DataLøn

Hvad er personoplysninger?

Egentlig alle oplysninger der kan henføres til et bestemt menneske. Inden for GDPR opererer man med 3 hovedkategorier af oplysninger:

  • Almindelige - for eksempel navn og adresse
  • Fortrolige - for eksempel CPR-nummer og straffeattest
  • Følsomme - for eksempel helbredsoplysninger

Til hver af kategorierne knytter der sig forskellige regler for, hvordan du må indsamle og behandle oplysningerne. Det er relativt komplekst, så hvis du vil have styr på det, kan du tage med på det GDPR-webinar, hvor vi særligt kommer ind på dette i relation til netop dit arbejde med løn og personaleadministration.

Hvis du vil have det serveret lidt mere tørt og paragraf-agtigt, skriver Datatilsynet en masse om personoplysninger.

Korrekte data - GDPR-princip #4

Som dataansvarlig er det din opgave at sørge for, at data til enhver tid er rigtige. Det betyder også, at en medarbejder - som jo faktisk er den, der ejer sine data - har ret til at få rettet oplysninger, der er forkerte. Det er i sagens natur kun muligt, hvis vedkommende ved præcis hvilke data, du opbevarer. Det skal du gøre muligt for medarbejderen at vide for at være i sync med GDPR.

 

Overvågningskamera_illu_200x200.png

Sikkerhed - GDPR-princip #5

GDPR kalder det "integritet og fortrolighed", men du kan snildt oversætte det til sikkerhed. 

Sikkerhed handler ikke kun om, at it-sikkerheden er i orden. Det gælder også rent fysisk. For eksempel at dokumenter med persondata ikke ligger og flyder. 

Sikkerhed betyder også, at du skal være helt spids på, hvem i virksomheden der har adgang til hvilke data. Her gælder de andre GDPR-principper også. Det er ikke i orden, at alle har adgang til alt. Det skal være relevant.

Ansvarlighed - GDPR-princip #6

Ansvarlighed kan lyde diffust og som om det er til fri fortolkning. Sådan er det ikke helt. I GDPR-regi betyder ansvarlighed, at I skal kunne dokumentere alt hvad I gør. Derfor er det vigtigt at nedfælde sine politikker og procedurer.

En god idé er desuden at udpege, præcis hvem der har ansvaret for at tage hånd om de forskellige GDPR-opgaver. For hvis "alle" bare har ansvaret, ender det ofte med at ingen har det.