Det korte svar: Medarbejderdata er personoplysninger, som arbejdsgivere er forpligtede til at beskytte efter GDPR. Det gælder både almindelige oplysninger som navn og stilling og mere følsomme data som helbredsoplysninger, fagforeningsforhold og CPR-nummer. Korrekt håndtering kræver klare procedurer, sikre systemer og gennemsigtighed over for medarbejderne – hele vejen fra rekruttering til fratrædelse.
Opbevarer I medarbejderdata?
Uanset om I ønsker at understøtte medarbejdernes trivsel, sikre arbejdspladsens sikkerhed, administrere medarbejderydelser og sygedage eller overholde lovkrav, er det sandsynligt, at I har indsamlet medarbejderdata om jeres medarbejdere. Bloggen her omhandler de medarbejderdata, I gemmer om jeres medarbejdere, og hvordan I sikrer jer, at I håndterer dem på en måde, der beskytter deres datarettigheder og er i overensstemmelse med datareglerne, heriblandt GDPR.
Vidste du, at hvis man er forberedt på et databrud, kan det markant minimere mistillid og kundetab?
www.microsoft.com
Hvilke typer af medarbejderdata er der?
Her er en liste af nogle af de typer medarbejderdata, en virksomhed typisk indhenter om sine medarbejdere:
- Forsikringsoplysninger. Detaljer om forsikringsordninger, som en medarbejder er tilmeldt, herunder deres dækningsniveauer og pårørende.
- Rekrutteringsoplysninger. Optegnelser over eventuelle medicinske undersøgelser og eksamener, I har brug for for at sikre, at en person kan opfylde eller fortsætte med at opfylde de fysiske krav til deres job.
- Sygefravær. Registrering af en medarbejders sygedage eller orlov anmodet om lægebesøg eller medicinske behandlinger.
- Forældreorlov. Eventuelle oplysninger af vedrørendes graviditet/fødsel, I har indsamlet under behandlingen af anmodninger om forældreorlov.
- Andet fravær. Anmodninger om at arbejde deltid eller tage orlov for at passe et alvorligt sygt eller handicappet familiemedlem, arrangere begravelse mv.
- Optegnelser om skader eller sygdom på arbejdspladsen. For eksempel eventuelle arbejdsrelaterede skader eller sygdomme, der opstår på jobbet.
- Narkotika- og alkoholtestresultater. Eventuelle resultater fra stof- og alkoholtest, I har brug for til sikkerhedsfølsomt arbejde eller som en del af en generel arbejdspladspolitik.
- Sundhedsundersøgelser og vurderinger. Data fra frivillige sundhedsvurderinger eller screeninger fra alle wellness-programmer, I leverer.
- Deltagelse i fitness- eller wellness-program. Information om en medarbejders engagement i arbejdspladsens wellness-tiltag.
- Vaccinationsjournaler. Registreringer af vaccinationer eller antigen-/antistoftests, der kræves på arbejdspladsen, især under sygdomsudbrud.
- Data for medarbejderassistanceprogrammer. For eksempel optegnelser over en medarbejders deltagelse i enhver rådgivning eller support, I tilbyder.
- Arbejdsmedicinske journaler. Sundhedsrelaterede oplysninger, der er specifikke for en medarbejders arbejdsmiljø eller arbejdsmiljørisici.
Man bør ydermere overveje måden man kommunikerer med sine medarbejdere. Ofte deler folk tilfældigt personlige oplysninger om deres helbred og endda deres familiemedlemmers helbred. Derfor bør I rydde op i jeres indbakker regelmæssigt. Ellers kan I have masser af data om jeres medarbejdere liggende, med risiko for lækager og brud.
Medarbejderdata er følsomme personoplysninger
Oplysninger om en medarbejders fysiske eller mentale helbred, sygehistorik, diagnoser og behandlinger hører under kategorien følsomme personoplysninger i GDPR. Det er en særlig kategori, fordi den kan afsløre intime og personlige aspekter af en persons liv – og netop derfor er der skærpede krav til, hvordan disse oplysninger behandles og beskyttes. Databeskyttelsesforordningen stiller specifikke krav til, hvordan virksomheder indsamler, opbevarer og håndterer medarbejderdata. I lyset af den følsomme karakter og jeres juridiske ansvar er det vigtigt at have styr på både processer og praksis – fra indsamling til sletning.
Læs mere om behandling af personoplysninger i overensstemmelse med GDPR her.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvordan beskytter man medarbejderdata?
For at beskytte medarbejderdata – især følsomme oplysninger som helbredsdata – bør I både informere medarbejderne og styrke jeres interne procedurer. Fortæl klart, hvilke typer data I indsamler, hvorfor I gør det, og hvordan de bliver brugt. Dernæst handler det om at sikre en tryg og ansvarlig håndtering. Her er nogle centrale tiltag:
-
Lav regelmæssige opgørelser over, hvilke medarbejderdata I har, og hvor de opbevares
-
Gennemgå sikkerheden på alle systemer og platforme, hvor data gemmes
-
Opsæt adgangskontrol, så kun relevante medarbejdere kan tilgå følsomme oplysninger
-
Brug kryptering, når data sendes, deles eller anmodes om
-
Begræns brugen af medarbejderdata til de formål, de er indsamlet til
-
Fastlæg, hvor længe data må opbevares – og slet dem, når de ikke længere er nødvendige
-
Uddan medarbejdere i, hvordan de beskytter deres kollegers oplysninger og forstår konsekvenserne af databrud
Det hele begynder med overblik: Hvor mange medarbejderdata har I, og hvor er de gemt? Det kan virke uoverskueligt – især når det gælder helbredsoplysninger – men med automatiserede IT-værktøjer kan I hurtigt få styr på både omfanget og placeringen. Det gør det lettere at tage ansvar og handle korrekt.
FAQ om medarbejderdata
1. Hvilke typer medarbejderdata er mest følsomme?
Helbredsoplysninger, fagforeningsmedlemskab og oplysninger om religion eller etnicitet anses for følsomme persondata og kræver et klart behandlingsgrundlag, typisk udtrykkeligt samtykke eller lovkrav.
2. Må vi opbevare tidligere medarbejderes data efter fratrædelse?
Ja – men kun i det omfang, det er nødvendigt, fx til dokumentation for tidligere ansættelse eller af juridiske grunde. Sørg for at slette overflødige oplysninger løbende og angiv en konkret opbevaringspolitik.
3. Hvordan sikrer vi os, at vi overholder GDPR i dagligdagen?
Kortlæg, hvilke data I indsamler og hvorfor. Informér medarbejderne tydeligt. Brug sikre systemer til opbevaring og adgangskontrol. Vær især opmærksom ved brug af cloud, e-mail og dokumentdeling.
4. Må HR sende følsomme data via e-mail?
Kun hvis der bruges sikre løsninger, fx krypterede mails eller godkendte fildelingsværktøjer. Undgå at sende CPR- eller helbredsdata i almindelig e-mail.
Kom godt i gang med at behandle medarbejderdata korrekt
At finde ud af, hvor mange medarbejderdata I ligger inde med, og hvor de befinder sig, kan være næsten umuligt at gøre manuelt. Det er tidskrævende, upræcist og gør det svært at sikre, at personoplysninger håndteres korrekt i forhold til GDPR.
Hos Safe Online tilbyder vi en GDPR-risikovurdering, der hurtigt giver jer et klart overblik over medarbejderdata på tværs af jeres systemer. Risikovurderingen identificerer dokumenter, mails og filer, der indeholder medarbejderoplysninger, og viser samtidig, hvor jeres største risici ligger.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
