Databeskyttelse

Du har ret til at vide hvad din arbejdsgiver ved om dig

23-05-2018
3 min.
Hvis du beder om det, skal din arbejdsgiver dykke ned i virksomhedens arkiv og finde alle de personoplysninger, der ligger om dig.  Foto: Thayut Sutheeravut/Shutterstock

Ny EU-forordning om databeskyttelse kræver, at din arbejdsplads skal åbne din personalemappe og fortælle, hvad den indeholder, hvis du beder om det.

De senere års mange sager om datalæk, hacking og misbrug af persondata har givet øget fokus på EU’s nye persondataforordning, General Data Protection Regulation (GDPR). Den træder i kraft 25. maj 2018.

Omtalen af GDPR har indtil nu først og fremmest handlet om kunders og borgeres ret til indsigt og kontrol med deres data. Men den giver også dig nye rettigheder som lønmodtager.

”Forordningen sigter bl.a. på at minimere mængden af data til det absolut mest nødvendige. Derfor må din arbejdsgiver fx kun bede om de oplysninger, som virksomheden har brug for i forbindelse med ansættelsen.

Virksomheden skal først spørge sig selv: Er det et legitimt formål med disse oplysninger? Det dur ikke at spørge bredt og bede om data ’for en sikkerheds skyld’, eller fordi man måske kan få brug nogle informationer senere,” fortæller advokat Line Budtz Pedersen.

Hun er chefjurist i TDC Groups HR-afdeling og har været ansvarlig for at geare TDC Groups HR-organisation til GDPR.

Centralt i forordningen står princippet om ”retten til at blive glemt”. Lønmodtageren har nu krav på at få rettet eller slettet informationer, som ikke er korrekte. Arbejdsgiveren har også pligt til at slette data om medarbejderen, der ikke er relevante længere, så informationerne ikke ligger og hober sig op i årevis.

Overkill eller konkurrenceparameter?

Med den nye forordning har arbejdsgiveren fået en udvidet pligt til at dokumentere, hvordan virksomheden sikrer alle de personoplysninger, som ligger lagret digitalt i mailsystemer, på servere i databaser og i gammeldags arkiv-mapper.

Virksomhederne og organisationerne skal kunne beskrive, hvordan de registrerer og opbevarer persondata, og hvordan de sletter dem. Dokumentationen skal kunne tages frem, hvis Datatilsynet kommer på besøg. Ellers kan næste skridt blive en anselig bøde.

Sådan udnytter du din indsigtsret

Der er ikke formelle krav til, hvordan du skal bede om indsigt i dine personoplysninger. Du kan bare kontakte din arbejdsgiver. Men er der et dårligt samarbejdsklima, eller kører der fx en sag om dig i virksomheden, kan det være en god idé at inddrage din tillidsrepræsentant. 

Din arbejdsgiver skal informere dig om muligheden for at klage til Datatilsynet, hvis du er uenig i den måde, dine persondata behandles på – fx hvis en anmodning om indsigt ikke efterleves. 

Det voldsomme dokumentationskrav kan godt virke som overkill, siger Line Budtz Pedersen. Men hun ser det at efterleve lovgivningen som et konkurrenceparameter i virksomhedernes markedsføring, både i forhold til kunder og ansatte.

”Arbejdsgiverne har en interesse i at vise gennemsigtighed i den måde, som persondata behandles på. Virksomheden skal signalere, at data bliver behandlet på betryggende vis. I TDC har vi på et intranet beskrevet, hvordan vi behandler vores persondata i et ansættelseshjul, fra rekruttering til afsked. Desuden har vi lavet en særlig e-learning-uddannelse om, hvordan persondata skal behandles i TDC, som alle medarbejdere skal gennemgå,” fortæller hun.

Store bøder

Persondataforordningen rummer desuden skærpede krav til, hvornår arbejdsgiveren må behandle følsomme oplysninger som helbredsdata, seksuel orientering, etnisk baggrund, religion, straffe og tilhørsforhold til en fagforening etc.

Du skal som ansat sige aktivt ja til, at din arbejdsplads bringer et foto af dig på hjemmesiden eller offentliggør dit private telefonnummer.

Virksomheder, der udsættes for brud på personfølsomme data, skal underrette datatilsynsmyndigheden inden for 72 timer. Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet inden for 72 timer efter, at bruddet er blevet opdaget.



Den nye EU-forordning kan blive dyr for virksomheder og myndigheder, der ikke overholder reglerne. For private virksomheder har EU sat en bøderamme på op til 20 millioner euro eller fire procent af virksomhedens globale årlige omsætning.

Det er op til nationale myndigheder at bestemme sanktionsniveauet for offentlige myndigheder. Herhjemme har Folketinget besluttet, at en offentlig myndighed kan straffes med en bøde på op til fire procent af dens driftsbevilling, dog med et loft på 16 millioner kroner.

EU’s persondataforordning er herhjemme implementeret af Folketinget i den danske databeskyttelseslov

Hvad er persondata

Allerede når du sender en ansøgning og et CV til en kommende arbejdsgiver, afgiver du data, som kan være med til at identificere dig som person. Strømmen af data fortsætter, hvis du bliver ansat i jobbet, til du får en ny stilling, bliver afskediget eller går på pension.

Persondata omfatter simple kontaktoplysninger som e-mailadresser og telefonnumre, men også cpr- eller kundenumre, ansøgninger, ansættelsesaftaler, personfølsomme helbredsoplysninger, biometriske oplysninger, straffeattest, vagtplaner og telefonoptagelser af medarbejdernes kontakt med kunder.

Læs mere på datatilsynet.dk


Kommentér
3
Del Twitter LinkedIn Facebook

Kommenter

Din mail-adresse vil ikke blive vist offentligt
Dette spørgsmål forhindrer spam i kommentarfeltet. Spam-robotter kan nemlig ikke regne, så de kan stoppes med let matematik.