GDPR - kend din oplysnings­pligt

Ansvaret er dit. Du skal altid informere medarbejderne om, hvilke data du indsamler om dem - og hvad du skal bruge dem til.

Har du gjort dig klart, hvordan du opfylder din oplysningspligt?

Du skal altid oplyse medarbejderne skriftligt

Bortset fra at du skal gøre det på skrift, er der ingen firkantede, formelle krav til, hvordan du oplyser den enkelte medarbejder om hvilke persondata på vedkommende, du indsamler og bruger.

Men da GDPR stiller krav om, at informationen skal være nem og enkel at komme til for medarbejderen, er et par af de mest oplagte kanaler enten en personalehåndbog eller en særskilt oplysningsskrivelse.

Hvornår skal du oplyse medarbejderen?

Svaret er relativt komplekst, og hvis du vil have alle detaljerne med, bør du tilmelde dig Visma DataLøns GDPR-webinar "Oplysningspligt og arbejdsgivers ansvar".

GDPR skelner mellem, hvorvidt oplysningerne indsamles fra den der ejer data selv - altså medarbejderen - eller om de hentes fra andre kilder, for eksempel det offentlige.

To hovedregler

Som hovedregel gælder, at du skal oplyse medarbejderen (eller den måske kommende medarbejder) up front, altså inden du rent faktisk udbeder dig oplysningerne fra vedkommende. Så ved personen, hvad han eller hun går ind til, når vedkommende svarer.

Kommer oplysningerne fra andre kilder, skal du som tommelfingerregel oplyse medarbejderen hurtigst muligt, og det skal være direkte og tydeligt kommunikeret.

Men som sagt, der er mange finesser og afvejninger i spørgsmålet om, hvilke tidsfrister du med rimelighed skal overholde.

Tag på webinar - og få helt styr på din oplysningspligt

Hiv en time ud af kalenderen og 729 kr. op af kassen. Vi lover, at det betaler sig at høre vores jurister udlægge GDPR-reglerne om din oplysningspligt, når du arbejder med løn og personaleadministration.

Lad mig tjekke webinaret

OBS! Medarbejderen skal uden videre detektivarbejde kunne tilgå viden om hvilke personoplysninger, du som arbejdsgiver opbevarer og behandler. For eksempel med et direkte link i en mail.

Hvad skal du oplyse medarbejderen om?

Én ting er, at du oplyser medarbejderen om hvilke persondata, du gør brug af. Lige så vigtigt er det i følge GDPR, at du tydeligt (og i forståelige vendinger) angiver:

  • Din kilde - hvis du har oplysningen fra andre end hestens egen mund
  • Dit formål - præcis hvad skal du bruge data til
  • Dit retsgrundlag - altså hvilket af de 6 mulige behandlingsgrundlag der er din hjemmel

Hvilke rettigheder har de ansatte i forlængelse af din oplysningspligt

Det er det enkelte individ, der ejer sine egne data. Derfor er der også i GDPR's navn tilknyttet en række rettigheder til dataene for den enkelte.

For dig som arbejdsgiver betyder det, at du skal leve op til følgende:

  • At vide hvor længe du må opbevare og håndtere specifikke typer af persondata

  • At du sletter data, så snart der ikke er noget behandlingsgrundlag længere

  • At du til enhver tid tillader den enkelte at få indsigt i de data, du opbevarer

  • At du retter data, så snart nye foreligger, eller den enkelte påpeger, at de er forkerte

  • At du informerer den ansatte om muligheden for at klage til Datatilsynet

  • At du honorerer en medarbejders ønske om at trække et eventuelt samtykke tilbage

I skal have en politik - og kunne dokumentere at I følger den

Gode hensigtserklæringer er ikke nok i GDPR-regi. Så udover at I skal formulere jeres politikker for, hvordan I for eksempel opbevarer og sletter persondata, skal I også kunne vise, at I faktisk efterlever dem. Hvis nogen skulle finde på at spørge.

Et oplagt sted at informere den enkelte medarbejder om dette, er i jeres (skriftlige) personalepolitikker. Og husk, at I skal have klare politikker for både ansatte og fratrådte medarbejdere, præcis som der gælder forskellige regler for, hvem I eventuelt må videregive oplysninger til.

Bliv klogere på GDPR-politikker på webinaret om din oplysningspligt som arbejdsgiver.