Du har ret til at vide hvad din arbejdsgiver ved om dig

De senere års mange sager om datalæk, hacking og misbrug af persondata har givet øget fokus på EU’s nye persondataforordning, General Data Protection Regulation (GDPR). Den træder i kraft 25. maj 2018.

Omtalen af GDPR har indtil nu først og fremmest handlet om kunders og borgeres ret til indsigt og kontrol med deres data. Men den giver også dig nye rettigheder som lønmodtager.

”Forordningen sigter bl.a. på at minimere mængden af data til det absolut mest nødvendige. Derfor må din arbejdsgiver fx kun bede om de oplysninger, som virksomheden har brug for i forbindelse med ansættelsen.

Virksomheden skal først spørge sig selv: Er det et legitimt formål med disse oplysninger? Det dur ikke at spørge bredt og bede om data ’for en sikkerheds skyld’, eller fordi man måske kan få brug nogle informationer senere,” fortæller advokat Line Budtz Pedersen.

Hun er chefjurist i TDC Groups HR-afdeling og har været ansvarlig for at geare TDC Groups HR-organisation til GDPR.

Centralt i forordningen står princippet om ”retten til at blive glemt”. Lønmodtageren har nu krav på at få rettet eller slettet informationer, som ikke er korrekte. Arbejdsgiveren har også pligt til at slette data om medarbejderen, der ikke er relevante længere, så informationerne ikke ligger og hober sig op i årevis.

Overkill eller konkurrenceparameter?

Med den nye forordning har arbejdsgiveren fået en udvidet pligt til at dokumentere, hvordan virksomheden sikrer alle de personoplysninger, som ligger lagret digitalt i mailsystemer, på servere i databaser og i gammeldags arkiv-mapper.

Virksomhederne og organisationerne skal kunne beskrive, hvordan de registrerer og opbevarer persondata, og hvordan de sletter dem. Dokumentationen skal kunne tages frem, hvis Datatilsynet kommer på besøg. Ellers kan næste skridt blive en anselig bøde.

Det voldsomme dokumentationskrav kan godt virke som overkill, siger Line Budtz Pedersen. Men hun ser det at efterleve lovgivningen som et konkurrenceparameter i virksomhedernes markedsføring, både i forhold til kunder og ansatte.

”Arbejdsgiverne har en interesse i at vise gennemsigtighed i den måde, som persondata behandles på. Virksomheden skal signalere, at data bliver behandlet på betryggende vis. I TDC har vi på et intranet beskrevet, hvordan vi behandler vores persondata i et ansættelseshjul, fra rekruttering til afsked. Desuden har vi lavet en særlig e-learning-uddannelse om, hvordan persondata skal behandles i TDC, som alle medarbejdere skal gennemgå,” fortæller hun.

Store bøder

Persondataforordningen rummer desuden skærpede krav til, hvornår arbejdsgiveren må behandle følsomme oplysninger som helbredsdata, seksuel orientering, etnisk baggrund, religion, straffe og tilhørsforhold til en fagforening etc.

Du skal som ansat sige aktivt ja til, at din arbejdsplads bringer et foto af dig på hjemmesiden eller offentliggør dit private telefonnummer.

Virksomheder, der udsættes for brud på personfølsomme data, skal underrette datatilsynsmyndigheden inden for 72 timer. Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet inden for 72 timer efter, at bruddet er blevet opdaget.

Den nye EU-forordning kan blive dyr for virksomheder og myndigheder, der ikke overholder reglerne. For private virksomheder har EU sat en bøderamme på op til 20 millioner euro eller fire procent af virksomhedens globale årlige omsætning.

Det er op til nationale myndigheder at bestemme sanktionsniveauet for offentlige myndigheder. Herhjemme har Folketinget besluttet, at en offentlig myndighed kan straffes med en bøde på op til fire procent af dens driftsbevilling, dog med et loft på 16 millioner kroner.

EU’s persondataforordning er herhjemme implementeret af Folketinget i den danske databeskyttelseslov.