Grundlæggende behandlingsprincipper

Databeskyttelsesforordningen indeholder følgende 6 grundlæggende principper for behandling af personoplysninger:

  • lovlighed, rimelighed og gennemsigtighed,
  • formålsbegrænsning,
  • dataminimering,
  • rigtighed,
  • opbevaringsbegrænsning, samt
  • integritet og fortrolighed.
Som dataansvarlig i forhold til medarbejderdata skal I kunne påvise, at I overholder behandlingsprincipperne.

I følgende afsnit, kan I læse mere om indholdet af behandlingsprincipperne.

Lovligheden af behandlingen

Personoplysninger kan opdeles i forskellige kategorier, og lovligheden af behandlingen afhænger af, hvilken kategori der er tale om.

Almindelige personoplysninger
Almindelige personoplysninger er f.eks. navn, kontaktoplysninger, fødselsdato, kreditkortoplysninger og skattemæssige oplysninger (ikke udtømmende liste).

Almindelige personoplysninger kan ofte behandles uden samtykke fra medarbejderen. Behandlingen kan ske ud fra et behov for opfyldelse af ansættelseskontrakten, som følge af en retlig forpligtelse eller ud fra en interesseafvejning.

Følsomme personoplysninger
Følsomme personoplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske og biometriske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller seksuel orientering (udtømmende liste).

Behandling af følsomme personoplysninger kræver som udgangspunkt samtykke fra medarbejderen, men kan eventuelt også håndteres på baggrund af arbejdsretlige forpligtelser (herunder indeholdt i en kollektiv overenskomst) eller til brug for, at et retskrav kan fastlægges, gøres gældende eller forsvares. 

Personoplysninger om tidligere straffedomme og lovovertrædelser
Personoplysninger om tidligere straffedomme og lovovertrædelser er f.eks. oplysninger om en bestemt afgørelse eller dom, bøde, straf eller anden sanktion.

Behandling af disse personoplysninger kræver som udgangspunkt samtykke fra medarbejderen, men kan måske også behandles ud fra en meget streng interesseafvejning. Samme retlige grundlag som for behandling af følsomme personoplysninger kan også anvendes, dvs. eksempelvis arbejdsretlige forpligtelser eller for at forfølge et retskrav.

CPR-numre
Behandling af CPR-numre kræver som udgangspunkt samtykke fra medarbejderen, eller at behandlingen er påkrævet ved lov. Videregivelse til offentlige myndigheder kan dog ske uden samtykke, hvis det kræves af myndigheden. Samme retlige grundlag som for behandling af følsomme personoplysninger kan også anvendes, dvs. eksempelvis som følge af arbejdsretlige forpligtelser eller for at forfølge et retskrav.

Medarbejdernes rettigheder
Jeres medarbejdere har en lang række rettigheder efter databeskyttelsesforordningen, herunder:
  • oplysningspligt,
  • indsigtsret,
  • ret til berigtigelse,
  • ret til sletning (”retten til at blive glemt”),
  • ret til begrænsning af behandling,
  • ret til dataportabilitet,
  • ret til indsigelse, samt
  • ret til ikke at være genstand for automatiske individuelle afgørelser.
I det følgende vil vi ganske kort nævne lidt om oplysningspligten.

Oplysningspligt
Hvis jeres virksomhed indsamler oplysninger om en medarbejder, skal I som udgangspunkt informere medarbejderen herom på tidspunktet for indsamlingen. Hvis I indsamler oplysninger hos medarbejderen, skal I informere om følgende, med mindre de er bekendt med oplysningerne:
  • jeres virksomheds identitet og kontaktoplysninger,
  • kontaktoplysninger på en eventuel databeskyttelsesrådgiver ("DPO"), hvis jeres virksomhed har en DPO,
  • formålet med behandlingen, f.eks. udbetaling af løn,
  • retsgrundlaget for behandlingen, f.eks. samtykke, retlige forpligtelser eller berettigede interesser,
  • hvis behandlingen sker for at varetage jeres virksomheds legitime interesser, en beskrivelse af de pågældende interesser, f.eks. gennemførelse af en ansættelsesproces,
  • modtagere eller kategorierne af modtagere som f.eks. eventuelle koncernforbundne selskaber og relevante tredjemænd, f.eks. SKAT, samt
  • om jeres virksomhed agter at overføre personoplysninger til lande uden for EØS-området og en henvisning til de fornødne garantier vedrørende beskyttelsesniveau som f.eks. EU-standardkontrakter indgået mellem jeres virksomhed og modtageren, samt hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
Hvis det er nødvendigt med yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling, skal jeres virksomhed også give medarbejderen følgende supplerende oplysninger ved indsamlingen, med mindre de er bekendt med oplysningerne:
  • opbevaringsperiode eller kriterierne for fastlæggelse af opbevaringsperioden,
  • medarbejderens rettigheder, f.eks. retten til at anmode om indsigt mv.,
  • såfremt der er givet samtykke til behandlingen, muligheden for at trække samtykket tilbage, uden at den behandling, der er sket forud for tilbagetrækningen, dermed bliver ulovlig,
  • retten til at indgive en klage til Datatilsynet,
  • om meddelelse af personoplysninger er lovpligtig eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om medarbejderen har pligt til at afgive personoplysninger og de eventuelle konsekvenser af ikke at afgive sådanne personoplysninger, samt
  • forekomsten af automatiske afgørelser.
Jeres virksomhed har også en oplysningspligt over for medarbejderen, hvis personoplysningerne ikke er indhentet hos medarbejderen selv. Denne pligt svarer i hovedtræk til den ovenfor beskrevne, men i dette tilfælde skal I f.eks. også oplyse kilden, hvorfra de pågældende personoplysninger hidrører.


Senest opdateret 16-07-2019

TEKNIQ Arbejdsgiverne er en organisation med klart fokus på teknik-og installationsbranchen samt industri. Som medlem får du en lang række fordele, der er tilpasset netop dine behov.