Go'morgenmøde om persondata for offentligt ansatte

50 %
50 %
Information about Go'morgenmøde om persondata for offentligt ansatte

Published on October 13, 2016

Author: HortenLawFirm

Source: slideshare.net

1. PERSONDATA FOR OFFENTLIGT ANSATTE Marianne Lage og Egil Husum 12. oktober 2016

2. side 2 Ulige styrkeforhold − Ledelsesretten og dens begrænsninger − Persondatalovens hovedprincip: Individet har ret til indsigt og kontrol med oplysninger om den pågældende. − Offentligretlige regler PERSONDATA OG MEDARBEJDERFORHOLD

3. side 3  Persondataloven - frem til 25 maj. 2018, som implementerer EU-direktiv.  Supplereret af bekendtgørelser, blandt andet sikkerhedsbekendtgørelsen (gælder for offentlige myndigheder)  Forordningen - fra 25. maj 2018  Muligvis fremtidig supplerende dansk lovgivning. REGELSÆT

4. side 4 Enhver information om en identificeret eller identificerbar fysisk person (lovens § 3, nr. 1 og forordningens art. 4 nr. 1) bl.a. oplysninger om følgende forhold − Fysiske − Fysiologiske − Psykiske − Økonomiske − Kulturelle − Sociale F.eks. også − Et billede − Stemme − Fingeraftryk − Andre genetiske kendetegn, som f.eks. DNA Elektronisk databehandling (it-systemer, tekstbehandling, regneark, e-mail, kalendersystemer) (Scanning, udskrivning, samkøring, opslag, elektronisk lagring) Register (struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier) (Kartotek, journalbøger, fortegnelser, systematiske ringbind) Anden systematisk behandling, f.eks. almindelige papirsager PERSONOPLYSNING OG BEHANDLING

5. side 5 − Dataansvarlig: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger − Databehandler: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne − Lidt om databehandleraftaler − Der er også en række andre relevante definitioner, og der kommer flere med forordningen DATAANSVARLIG OG DATABEHANDLER – DEFINITIONER

6. side 6 Oplysninger skal behandles i overensstemmelse med god databehandlingsskik: − Indsamling til udtrykkeligt angivne og saglige formål (formålsbestemthed) − senere behandling ikke uforenelig hermed − Oplysninger skal være relevante og tilstrækkelige (proportionalitet) − og må ikke omfatte mere end nødvendigt − Fornøden ajourføring og kontrol (datakvalitet) − urigtige/vildledende oplysninger slettes/berigtiges − Oplysninger må ikke opbevares længere end nødvendigt (sletning) − af hensyn til de formål, oplysningerne er indsamlet til − hvis oplysningerne anonymiseres, gælder denne begrænsning ikke GRUNDPRINCIPPER § 5

7. side 7 Almindelige oplysninger § 6 Kan bl.a. behandles når: −Den registrerede har givet sit udtrykkelige samtykke hertil −Nødvendig for opfyldelse af aftale −Behandlingen er nødvendig, for at overholde en retlig forpligtelse, som påhviler den dataansvarlige −Behandlingen er nødvendig, for at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse. (interesseafvejning) −NB offentlige myndigheder vil ikke efter forordningen kunne henvise hertil ved udførelsen af deres opgaver Eksempler: Ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdag, skat, sygedage, advarsler, opsigelse mv. MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

8. side 8 −Følsomme § 7 (art. 9) −Racemæssig eller etnisk baggrund −Politisk, religiøs eller filosofisk overbevisning −Fagforeningsmæssige tilhørsforhold (dog hvis arbejdsretligt forpligtet) −Oplysninger om helbredsmæssige og seksuelle forhold −Udgangspunkt: Må ikke behandles −medmindre den registrerede har givet sit udtrykkelige samtykke. −behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares (f.eks. opsigelse eller bortvisning). MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

9. side 9 −Semi-følsomme § 8 (bortfalder med forordningen) −Strafbare forhold (muligvis national lovgivning, art. 10) −Væsentlige sociale problemer −Andre rent private forhold, f.eks. oplysninger om bortvisning eller resultat af personlighedstest −Kun behandles, hvis −den registrerede har givet sit udtrykkelige samtykke hertil. −det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. MEDARBEJDERDATA - TRE TYPER OPLYSNINGER

10. side 10 − Samtykkedefinition, jf. forordningens artikel 4, nr. 11: ”Samtykke" fra den registrerede: Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling” Den registrerede kan altid trække sit samtykke tilbage. − Forordningen skærper kravene til samtykke – art. 7 og 8 − Samtykke anses ikke for frivilligt, hvis − der reelt ikke er et frit valg − man ikke kan afvise eller tilbagetrække samtykke, uden at det kommer vedkommende til skade − der er en klar skævhed mellem den registrerede og den dataansvarlige SAMTYKKE

11. side 11 Personaleadministration: − Ved ansættelsen − Under ansættelsen − Efter ansættelsen Generelt gælder for al behandling af medarbejderoplysninger: − Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse − Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles PERSONDATA OG MEDARBEJDERFORHOLD

12. side 12 − Ansøgningen indeholder personoplysninger: − Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser − Bilag (anbefalinger, eksamensbeviser) − Facebook, LinkedIn, alm. Google søgning (offentliggjort af personen selv?) − Referencer: − Få kandidatens samtykke HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

13. side 13 − Personlighedstest − Arbejds- og opholdstilladelse (identifikation af ansøger) − Kreditoplysninger − Kun hvis medarbejderen skal varetage en ”særlig betroet stilling” (uanset samtykke), jf. lovens § 5, stk. 1 – 3 (god databehandlingsskik, udtrykkeligt angivne og saglige formål og proportionalitetsprincippet) − Vurdering om ”særlig betroet stilling” er en arbejdsretlig vurdering. Håndtering af værdier fører ikke i sig selv til at man er betroet − Straffe- og børneattest − Samtykke nødvendigt for indhentelse. Spørgsmål er derfor, om det er sagligt og proportionalt. Udtalelse fra datatilsynet HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

14. side 14 Helbredsoplysninger − Samtykke eller at behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. − Helbredsoplysningsloven − Formål at sikre, at helbredsoplysninger ikke uberettiget anvendes til at begrænse lønmodtageres muligheder, for at opnå eller bevare ansættelse. − Hvis sygdommen vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde er det muligt at indhente og der er pligt til at oplyse HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN

15. side 15 Oplysninger om fagforeningsmæssige tilhørsforhold −Kan indhentes og behandles ved samtykke, og når behandlingen er nødvendig, for at et retskrav kan fastlægges, gøres gældende eller forsvares. −Herudover kan oplysninger behandles, hvis behandlingen er nødvendig for overholdelsen af arbejdsgiverens arbejdsretlige forpligtelser eller specifikke rettigheder, hvilket kan følge af kollektiv overenskomst. AFSKEDIGELSE AF BESKYTTEDE MEDARBEJDERE KRÆVER KENDSKAB TIL FAGFORENINGSMÆSSIGE TILHØRSFORHOLD. HR-UDFORDRINGER MED PERSONDATA VED ANSÆTTELSEN OVERENSKOMSTFORPLIGT ELSE TIL INDEHOLDELSE AF LØN OG BETALING AF KONTINGENT TIL FAGFORENING.

16. side 16 − Sagligt formål – til relevant personkreds − Almindelige oplysninger må behandles: − Køn, alder, navn, uddannelse, bopæl, tidligere ansættelser − CPR.nr. må opbevares, jf. § 11 (artikel 87) − Andre oplysninger: − Kontaktperson: Ok − Antal sygedage: Ja − Årsag til sygedage: Kun hvis samtykke − Lovbestemte helbredsoplysninger, f.eks. arbejdsskade: OK − Advarsler: − Ja, så længe de er relevante − Hvilke oplysninger om medarbejdernes private forhold får lederen kendskab til i hverdagen, og hvordan skal disse håndteres? HR-UDFORDRINGER MED PERSONDATA UNDER ANSÆTTELSEN

17. side 17 Arbejdsrelaterede oplysninger − Arbejdsrelaterede oplysninger er f.eks. den ansattes navn, arbejdsområder, ansættelsesår, direkte arbejdstelefonnummer eller e-postadresse på arbejdet. − Sådanne oplysninger er en naturlig del af informationen om arbejdspladsen, og kan derfor som hovedregel offentliggøres uden samtykke. Oplysninger af mere privat karakter − Oplysninger af mere privat karakter er for eksempel et billede af den ansatte, en privat adresse, e-mail eller et privat telefonnummer. Arbejdspladsen må kun offentliggøre disse oplysninger, hvis den enkelte ansatte har givet udtrykkeligt samtykke hertil. Udtrykkeligt samtykke − Et samtykke kan gives mundtligt eller skriftligt. Det er dog arbejdspladsen, der skal bevise, at der i den konkrete situation er afgivet samtykke, og at det i øvrigt lever op til persondatalovens krav til et samtykke. − Samtykket skal være udtrykkeligt. Det betyder, at der skal være tale om en aktiv handling fra den registreredes side. Det er altså ikke godt nok, hvis man skriver eller siger til den ansatte, at hvis han/hun ikke protesterer inden f.eks. en uge, går man ud fra, at der foreligger et samtykke. PERSONALEOPLYSNINGER PÅ INTERNETTET

18. side 18 − Aftaler om kontrolforanstaltninger: DA/LO og KL/Forhandlingsfællesskabet − Arbejdsgiver kan indføre kontrolforanstaltninger, hvis det er sagligt begrundet i driftsmæssige forhold og de har et fornuftigt formål. − Udgangspunkt: 6 ugers varsel før kontrolforanstaltninger kan iværksættes − Undtagelse: Hvis formålet med kontrolforanstaltningerne vil forspildes − Undtagelse: Tvingende driftsmæssige grunde er til hinder for at vente − Hvis 6 ugers fristen ikke kan overholdes, skal arbejdsgiveren underrette lønmodtagerne snarest muligt samt redegøre for årsagen til, at 6-ugers fristen ikke kan overholdes. KONTROL

19. side 19 − SMS – dommen − Afsagt af Retten i Aarhus den 18. september 2015 − Arbejdsgiver betalt telefon − Adgang til privat brug − Indleverer telefonen med henblik på udskiftning − Stærke illoyale beskeder om kollegaer, som fører til afskedigelse − Fratrædelsesaftale ”til fuld og endelig afgørelse” KONTROL MED MEDARBEJDERENS IT-BRUG

20. side 20 − SMS – dommen (fortsat). Retten udtalte: − Ikke afkald på strafferetlig påtale − SMS-korrepondance er en ”lukket meddelelse”. − Aflevering sket med henblik på udskiftning. Ikke sammenligneligt med den situation, hvor modtageren af et brev lader et brev ligge åbent fremme. − Ingen retningslinjer. − Udleveret til sikkerhedsrepræsentant. Forventning om privat indhold. − Ikke særlig konkret mistanke mod den pågældende. − Ikke på forhånd beskreven proces for at undgå private sms’er − Strafbart i medfør af straffelovens § 263. KONTROL MED MEDARBEJDERENS IT-BRUG

21. side 21 − Dommen blev anket af den daværende direktør til frifindelse, hvor anklagemyndigheden påstod skærpelse. − I landsretten fandt to dommere derimod, at medarbejderen havde givet bindende afkald på at anmode om offentlig påtale, og at anklagemyndigheden derfor manglede påtaleret, således at der skulle ske frifindelse. En dommer fandt, at direktøren var skyldig i overensstemmelse med byrettens dom. − På grundlag af flertallets resultat blev alle de tiltalte frifundet, selvom Aarhus Havn, og den ledende medarbejder ikke selv havde anket. KONTROL MED MEDARBEJDERENS IT-BRUG

22. side 22 Medarbejdernes brug af internettet − Registreringen og gennemgangen heraf skal være nødvendig, for at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til de ansatte må ikke overstige disse interesser. Som eksempler på berettigede interesser kan nævnes: Tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet. − Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom. KONTROL MED MEDARBEJDERENS IT-BRUG

23. side 23 Medarbejdernes e-mails − Sikkerhedskopieringen af e-mails og en eventuel gennemgang af en medarbejders e- mails må kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan f.eks. være hensynet til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug. − Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e- mails. − Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren ikke læse medarbejderens private e-mails. KONTROL MED MEDARBEJDERENS IT-BRUG

24. side 24 − Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e-mailkontoen kun holdes aktiv i en periode, der er så kort som muligt. − Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. − Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto, sættes et auto-svar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information. − Den aktive e-mailkonto benyttes kun til modtagelse af e-mail – hvis der modtages privat e-mail, kan e- mailkontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private e-mailkonto. − Oplysninger om den personlige e-mailadresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder. − Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e-mailkonto. − Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt mv., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders e-mailkonto åben. − Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes e-mailkonti og informere medarbejderne herom. SÆRLIGT OM E-MAILKONTI FRATRÅDTE MEDARBEJDERE

25. side 25 • Ikke en bestemt (absolut) frist • Beror på en konkret vurdering af nødvendigheden af fortsat at registrere oplysningerne • Udtalelse fra Datatilsynet: − Eksempler på forhold, der kan inddrages i denne sammenhæng, er verserende arbejdsskadesager, uafsluttede retssager eller arbejdsretlige tvister mellem medarbejderen og myndigheden, pensionsforpligtelser, dagpengerefusion og udbetaling af tilgodehavender. − Den dataansvarlige må ud fra sådanne forhold overveje, hvor længe det generelt vil være nødvendigt for myndigheden at gemme oplysningerne. • I Datatilsynets kladde til offentlige myndigheders anmeldelse af personaleadministration har tilsynet foreslået en sletningsfrist på maksimalt 20 år for personalesager. − Ikke før medarbejderen er fratrådt. Datatilsynet har således i praksis lagt til grund, at hensynet til at kunne opbevare dokumentation for historikken i en personalesag må anses for et sagligt formål i personaleadministrativ sammenhæng. SLETNING AF OPLYSNINGER

26. side 26 − Oplysningspligten, §§ 28-30 − Oplysningspligt og indsigtsret i personalesag Datatilsynet 10. januar 2012 − Forordningens art. 13-14 − Indsigt § 31, forordningens art. 15 − Indsigelse, § 35, forordningens art. 21. − Klage til Datatilsynet DEN REGISTREREDES RETTIGHEDER

27. side 27 Øgede krav til dokumentation over for registrerede − Gennemsigtig information, kommunikation mv. – artikel 12: Kommunikation over for registrerede skal være forståelig og i let tilgængelig form − Oplysningspligt – artikel 13: Krav til den dataansvarlige om oplysninger, der gives på tidspunktet for indsamling − Oplysningspligt – artikel 14: Hvis personoplysningerne ikke er indsamlet hos den registrerede UDVIDELSE AF RETTIGHEDER FOR DEN REGISTREREDE

28. side 28 Fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger, navnlig: • Organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. • Samme krav for databehandlere • Instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af IT-udstyr. • Autorisation og adgangskontrol som supplerer tekniske sikkerhedsregler. • Kontrol med afviste adgangsforsøg og logning for fortrolige og følsomme oplysninger. • Hvad sker der med sikkerhedsbekendtgørelsen i forhold til forordningen? Sikkerhedsbekendtgørelsen

29. side 29 − Lov eller kollektive overenskomster kan fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, herunder: • Betingelser for behandling af personoplysninger på grund af samtykke (præamblens pkt. 155) • Ansættelseskontrakter • Godtgørelse for forpligtelser fastsat ved lov eller kollektive overenskomster • Ledelse • Planlægning og tilrettelæggelse af arbejdet • Ligestilling • Sikkerhed og sundhed på arbejdspladsen • Individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold FORORDNINGENS ART. 88

30. side 30 − Den dataansvarlige skal sørge for en tilstrækkelig sikkerhed (artikel 24) − Den dataansvarlige skal kunne påvise, at behandlingen overholder forordningen − Hvis det står i rimeligt forhold til behandlingsaktiviteter skal foranstaltninger omfatte implementering af passende databeskyttelsespolitikker − Overholdelse af godkendte codes of conduct eller en godkendt certificering kan være med til at demonstrere den dataansvarliges overholdelse af forpligtelser DE NYE REGLER I PERSONDATAFORORDNINGEN IT-SIKKERHED OG DATABESKYTTELSE – DATAANSVARLIG

31. side 31 På baggrund af tilgængelig teknologi og omkostninger ved gennemførelse (artikel 25, stk. 1) − og risikoen for den registreredes rettigheder og frihedsrettigheder − skal den dataansvarlige gennemføre nødvendige tekniske og organisatoriske foranstaltninger − som sikrer overholdelse af forordningen − f.eks. ved at pseudonymisere data DE NYE REGLER I PERSONDATAFORORDNINGEN DATA PROTECTION BY DESIGN – HVAD ER DET?

32. side 32 − Den dataansvarlige skal have indstillinger, som sikrer, at der kun behandles personoplysninger, som er nødvendige (artikel 25, stk. 2) i forhold til − mængde, opbevaringstid og tilgængelighed − mængden af data − omfanget af behandlingen − hvor længe data gemmes − tilgængeligheden af data DE NYE REGLER I PERSONDATAFORORDNINGEN DATA PROTECTION BY DEFAULT – HVAD ER DET?

33. side 33 − Kun bruge databehandlere, som sørger for tilstrækkelig sikkerhed (artikel 28) − Brug af underdatabehandlere kræver et konkret eller generelt samtykke fra den dataansvarlige − Udskiftning af databehandlere kræver underretning af den dataansvarlige − Krav om kontrakt eller andet retligt dokument − Efter instruks − Fortrolighed − Overholde sikkerhedsforanstaltninger − Returnere eller slette persondata − Dokumentere overholdelse af disse krav og mulighed for inspektion DE NYE REGLER I PERSONDATAFORORDNINGEN IT-SIKKERHED OG DATABESKYTTELSE – DATABEHANDLERE

34. side 34 − Dataansvarlige skal have en fortegnelse (artikel 30) over − identitet på dataansvarlig og evt. dataansvarliges repræsentant og DPO − formål − kategorier af registrerede og persondata − kategorier af modtagere – særligt i lande uden for EU − hvor længe data opbevares − eventuelle sikkerhedsforanstaltninger − Tilsvarende krav for databehandlere DE NYE REGLER I PERSONDATAFORORDNINGEN FORTEGNELSE OVER BEHANDLING

35. side 35 Dataansvarlige og databehandlere (artikel 32) skal: − på baggrund af aktuelle tekniske niveau og omkostninger ved gennemførelse (artikel 25, stk. 1) − og risikoen for den registreredes rettigheder og frihedsrettigheder − gennemføre nødvendige tekniske og organisatoriske foranstaltninger − f.eks. ved at pseudonymisere data Dette gælder særligt i forhold til risikoen ved uautoriseret adgang Medarbejdere mv. må kun behandle data efter instruktion DE NYE REGLER I PERSONDATAFORORDNINGEN DATASIKKERHED

36. side 36 − En dataansvarlig eller databehandler udpeger altid en DPO (artikel 37), når − behandling foretages af en offentlig myndighed/organ m.m. − behandlingsaktiviteter i medfør af karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning i stort omfang − behandling af særlige kategorier af oplysninger, jf. art. 9 og 10. − Udpeges ud fra − faglige kvalifikationer − kendskab til persondataret og praksis og evner til at udføre opgaverne − Beskyttelse mod afskedigelse (art. 38) − Medarbejder eller outsourcet − DPO skal offentliggøres DE NYE REGLER I PERSONDATAFORORDNINGEN DATA PROTECTION OFFICER

37. side 37SPØRGSMÅL OG OPSAMLING

38. Horten Advokatpartnerselskab Philip Heymans Allé 7 DK-2900 Hellerup, Copenhagen Tel. 3334 4000 Fax 3334 4001 info@horten.dk horten.dk

Add a comment