Slette- og behandlingspolitik REKRUTTERING OG PERSONALEADMINISTRATION – TEKNOLOGISK INSTITUT
Indholdsfortegnelse
2
1 Indledning
3
2 Principper for behandling af personoplysninger
4
3 Principper for sletning af personoplysninger
5
4 Behandling af personoplysninger i ansøgninger til stillinger pü Teknologisk Institut
6
5 Behandling af personoplysninger vedrørende medarbejdere
9
6 Slettepolitik
13
7 Sanktioner
16
Bilag 1: Oversigt over slettefrister
17
1 Indledning 1.1
Denne slette- og behandlingspolitik er udarbejdet med henblik på at sikre, at Teknologisk Institut overholder databeskyttelseslovgivningen (lov nr. 502), jf. databeskyttelsesforordningen (forordning (EU) 2016/679 af 27. april 2016)) i forbindelse med behandling af personoplysninger, der vedrører enten
1) medarbejdere og andre tilknyttede på Teknologisk Institut eller 2) ansøgere til stillinger på Teknologisk Institut.
3
2 Principper for behandling af personoplysninger
4
2.1
Udgangspunktet i databeskyttelseslovgivningen er, at der er forbud mod at behandle andres personoplysninger – uanset om der er tale om almindelige eller følsomme personoplysninger. Kun hvor der er et sagligt grundlag (hjemmel) til behandling i databeskyttelseslovgivningen, og behandlingen overholder nogle grundlæggende databehandlingsprincipper, vil der være mulighed for at behandle de pågældende personoplysninger.
2.2
De grundlæggende databehandlingsprincipper indebærer bl.a: • At personoplysninger altid skal behandles lovligt, rimeligt og transparent, • At personoplysninger kun må behandles til et bestemt legitimt formål, • At der ikke må behandles flere personoplysninger end nødvendigt, • At personoplysninger altid skal være korrekte og opdaterede, og • At personoplysningerne ikke må gemmes i en længere periode end nødvendigt.
2.3
Alle medarbejdere og tilknyttede på Teknologisk Institut er helt overordnet altid forpligtet til at følge reglerne i databeskyttelseslovgivningen, herunder de grundlæggende databehandlingsprincipper i forbindelse med enhver behandling af personoplysninger, som vedrører medarbejdere på Teknologisk Institut eller ansøgere til stillinger på Teknologisk Institut.
3 Principper for sletning af personoplysninger 3.1
Det følger af de grundlæggende databehandlingspricipper, at personoplysninger ikke må gemmes i en længere periode end nødvendigt. Personoplysningerne skal herefter slettes.
3.2
Sletning af personoplysninger i fysiske dokumenter sikres typisk ved destruktion eller makulering. Fremgangsmåden ved sletning af elektroniske personoplysninger er nærmere beskrevet i IT-sikkerhedspolitikken.
3.3
Som alternativ til sletning er det i stedet muligt at anonymisere den pågældende personoplysning. Dette vil typisk være relevant i statiske sammenhænge (fx fraværseller lønstatistik). Fremgangsmåden ved anonymisering af personoplysninger skal drøftes med IT og Kommunikation.
5
4 Behandling af personoplysninger i ansøgninger til stillinger på teknologisk institut
6
4.1
Ansøgninger til alle stillinger på Teknologisk Institut skal indsendes og behandles via Teknologisk Instituts online-rekrutteringssystem (herefter Rekrutteringssystemet). Dette gælder både ansøgninger til opslåede stillinger og uopfordrede ansøgninger.
4.2
Såfremt en medarbejder modtager en ansøgning udenom Rekrutteringssystemet, fx pr. mail, er medarbejderen derfor forpligtet til straks at svare ansøgeren, at ansøgninger til stillinger på Teknologisk Institut alene kan ske via Rekrutteringssystemet, og den fremsendte ansøgning er blevet slettet. Standard svarbrev til ansøgere findes på Intranettet under ”HR værktøjer – skema og skabeloner” og i Outlook under ”Insert – signature”.
4.3
Baggrunden for, at ansøgninger alene må modtages via Rekrutteringssystemet er for at sikre, at alle ansøgninger bliver behandlet i overensstemmelse med databeskyttelseslovgivningen, herunder reglerne om oplysningspligt, som på Teknologisk Institut sikres overholdt over for ansøgere i vores Rekrutteringspolitik, der automatisk vises til alle ansøgere i Rekrutteringssystemet.
4.4
Rekrutteringspolitikken indeholder alle relevante oplysninger om, hvorledes Teknologisk Institut behandler personoplysninger, som vi enten modtager direkte fra ansøgeren eller indhenter i forbindelse med rekrutteringsprocessen. Alle medarbejdere, der deltager i rekruttering af medarbejdere, er derfor forpligtet til at have gennemgået Rekrutteringspolitikken og sikre, at enhver rekruttering foregår i overensstemmelse med denne. Rekrutteringspolitikken findes på Intranettet under GDPR-fanen samt i ”Medarbejderhåndbog – Politikker”.
7
4.5
I forbindelse med enhver rekruttering til stillinger på Teknologisk Institut skal følgende overordnede retningslinier altid følges:
• Ansøgninger og andet rekrutteringsmateriale må alene behandles af medarbejdere, der direkte deltager i rekrutteringsprocessen. • Indhentelse af referencer på ansøgere må alene ske efter indhentelse af skriftligt samtykke fra ansøgeren ved brug af de af Personale og Udvikling udarbejdede sam tykkeerklæringer. Samtykkeerklæring til indhentelse af referencer fremsendes auto matisk til ansøgeren i forbindelse med indkaldelse til 2. samtale. • Indhentelse af personlighedstest kan alene ske efter indhentelse af skriftligt sam tykke fra ansøgeren. Tilsvarende kan indhentelse af kreditvurdering alene ske ved betroede stillinger og efter indhentelse af skriftligt samtykke fra ansøgeren. Alene samtykkeerklæringer udarbejdet af Personale og Udvikling må anvendes ved indhentelse af samtykke. • I forhold til tidligere ansatte medarbejdere må der alene afgives referenceoplys ninger, såfremt den virksomhed, som ønsker referenceoplysningerne, forudgående har fremsendt en underskrevet samtykkeerklæring fra den tidligere medarbejder. De oplysninger, der videregives om den tidligere medarbejder, må alene vedrøre almindelige personoplysninger. Følsomme personoplysninger må ikke videregives. • Indhentelse af oplysninger om en ansøgers helbred må alene ske, såfremt dette efter en konkret vurdering er nødvendigt i forhold til ansøgerens evne til at vare tage den opslåede stilling.
8
5 Behandling af personoplysninger vedrørende medarbejdere 5.1
Personoplysninger vedrørende medarbejdere på Teknologisk Institut skal behandles i overensstemmelse med nærværende politik samt den til enhver tid gældende Persondatapolitik for medarbejdere (herefter Persondatapolitikken). Det gælder, uanset om personoplysninger er modtaget fra medarbejderen selv eller på anden vis, og uanset om personoplysningerne vedrører almindelige oplysninger eller følsomme oplysninger. Alle medarbejdere er derfor forpligtet til at have gennemgået Persondatapolitikken og sikre, at enhver behandling af personoplysninger vedrørende medarbejdere, som de er ansvarlige for, sker i overensstemmelse med Persondatapolitikken. Persondatapolitikken findes på Intranettet under ”Medarbejderhåndbog – Politikker”.
9
5.2
Alle endelige og officielle dokumenter, der indeholder personoplysninger vedrørende medarbejdere, som skal gemmes, skal som udgangspunkt gemmes i medarbejderens digitale personalemappe i Teknologisk Instituts IT-system – og kun dér. Dokumenter indeholdende personoplysninger, der allerede er gemt på en medarbejders personalemappe, må således ikke gemmes andre steder – hverken elektronisk eller i papirform. Som eksempel på oplysninger og dokumenter, som typisk vil blive gemt på medarbejderens egen personalemappe kan nævnes følgende:
1) Identifikationsoplysninger, 2) oplysninger om uddannelsesmæssig baggrund og virke, 3) oplysninger om løn, sygefravær, sygdomsperioder, pensionsforhold, skatteoplys ninger og kontonummer samt 4) oplysninger om andre tjenstlige forhold, herunder eventuelle påtaler og advarsler samt referater af medarbejderudviklingssamtaler, sygefraværssamtaler samt andre samtaler og møder.
10
Dokumenter og oplysninger i medarbejderens personalemappe er til enhver tid tilgængelige for medarbejderen selv. Derudover er dokumenter og oplysninger i personalemappen alene tilgængelige for relevante medarbejdere i Personale og Udvikling samt i relevant omfang for medarbejderens direkte chef og divisionsdirektør.
Personale og Udvikling har – sammen med medarbejderen selv – ansvaret for at sikre, at personoplysninger og dokumenter i medarbejderens personalemappe til enhver tid opfylder de grundlæggende databehandlingsprincipper, herunder sikre at alle personoplysninger er korrekte og opdaterede.
5.3
Kun i de tilfælde, hvor et dokument indeholdende personoplysninger om en medarbejder ikke er egnet til at blive gemt i medarbejderens personalemappe, skal dokumentet gemmes i TI-folders i den direkte leder, chef eller direktørs ”Personal -GDPR”- mappe. Alle ”Personal-GDPR”-mapper skal være underopdelt, så der er en undermappe for hver medarbejder benævnt medarbejderens initialer og GDPR.
Dokumenter indeholdende personoplysninger, der er gemt på en leder, chef eller direktørs ”Personal-GDPR”-mappe, må ikke gemmes andre steder – hverken elektronisk eller i papirform. Dokumenter indeholdende personoplysninger om medarbejdere må således altid kun gemmes ét sted.
Dokumenter indeholdende personoplysninger, som ikke er egnet til at blive gemt på medarbejderens egen personalemappe og som i stedet skal gemmes i en ”PersonalGDPR”-mappe, kan fx være interne arbejdsdokumenter af forskellig karakter, eller dokumenter, der ikke foreligger i endelig form.
Alle ledere, chefer og direktører har ansvaret for at sikre, at personoplysninger og dokumenter i deres ”Personal-GDPR”-mappe i TI-folders til enhver tid opfylder de grundlæggende databehandlingsprincipper, herunder sikre at alle personoplysninger er korrekte og opdaterede.
Når en medarbejder fratræder, er medarbejderens chef forpligtet til at gennemgå alle dokumenter vedrørende den pågældende medarbejder, som ligger på ”Personal-GDPR”mappen. Dokumenter, der ikke længere er relevante, skal slettes, og alt øvrigt materiale
11
skal sendes til Personale og Udvikling, der herefter har ansvaret for, at dokumenterne behandles i overensstemmelse med databeskyttelseslovgivningen. Alle dokumenter, der er gemt i ”PersonalGDPR”-mapper, vil således alene angå medarbejdere, der aktuelt er ansat på Teknologisk Institut.
12
5.4
Følsomme oplysninger om medarbejdere bør i videst muligt opfang begrænses i e-mails. E-mails, der indeholder følsomme personoplysninger vedrørende en medarbejder, skal snarest muligt efter brug slettes fra Outlook. Såfremt der er behov for at gemme en e-mail indeholdende følsomme personoplysninger om en medarbejder, skal dette ske på ”Personal-GDPR”-mappen efter samme retningslinier som anført i pkt 5.3 ovenfor.
5.5
Kommunikation via SMS er som udgangspunkt ikke egnet i forbindelse med personaleadministration. Brug af SMS bør derfor kun anvendes i særlige tilfælde, hvor andre kommunikationsformer ikke er egnet.
5.6
Fysiske dokumenter, der indeholder personoplysninger om medarbejdere, bør ved arbejdstidsophør opbevares i aflåste eller aflukkede skuffer eller skabe.
6 Slettepolitik 6.1
Ansøgninger og andet materiale, der er indhentet eller modtaget fra ansøgere til stillinger på Teknologisk Institut skal slettes senest 180 dage efter modtagelsen. Der henvises i øvrigt til bilag 1 indeholdende en konkret oversigt over slettefrister for rekrutteringsforløbet.
6.2
Personoplysninger vedrørende medarbejdere vil som udgangspunkt blive opbevaret under hele medarbejderens ansættelsesforhold samt i op til 5 år efter ansættelsesforholdets ophør.
Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, holdes e-mailkontoen kun aktiv i en periode på op til 12 måneder efter endt ansættelse. Der henvises i øvrigt til bilag 1 indeholdende en konkret oversigt over slettefrister for personaleadministration.
13
14
6.3
Oplysninger om arbejdsskader på Teknologisk Institut behandles som udgangspunkt i EASY (offentligt system om arbejdsulykker via www.virk.dk), men opbevares ligeledes, på anbefaling af Arbejdsmarkedets Erhvervssikring (AES), på Teknologisk Institut i 5 år efter skadestidspunktet. Der henvises i øvrigt til bilag 1 indeholdende en konkret oversigt over slettefrister for arbejdsskader.
6.4
Uanset ovenstående procedurer og slettefrister mv., kan der være konkrete omstændigheder, som gør, at Teknologisk Institut er nødsaget til at opbevare personoplysningerne i længere tid end ellers angivet.
Dette kan fx være som følge af de konkrete omstændigheder, der er knyttet op på et bestemt projekt, hvor Kommissionen eller offentlige myndigheder fx kræver, at dokumentation for løn- og arbejdsvilkår opbevares i en bestemt periode. Der kan også være særlige EU-mæssige eller lovgivningsmæssige krav, der stilles i en bestemt situation.
Derudover kan konkrete omstændigheder indebære, at personoplysninger ikke er omfattet af nærværende retningslinjer, herunder fx:
• Behandling af personoplysninger om medarbejdere, hvor dette ikke sker i HR sammenhæng, men fordi medarbejderens navn fx fremgår af en kundekontrakt, som er indgået af Teknologisk Institut,
6.5
• Verserende retssager anlagt af eller mod Teknologisk Institut, hvor oplysningerne indgår i det materiale, der er nødvendigt for at føre sagen, • Verserende arbejdsskadesager, som pågår efter medarbejderen er fratrådt, • Andre verserende sager med myndigheder, herunder nævns- sager, tilsynssager, politianmeldelser mv., hvor det er nød vendigt at behandle medarbejderoplysninger Hvis man er i tvivl om, hvorvidt en situation er omfattet af undtagelserne, skal man kontakte Personale og Udvikling med henblik på at afdække de nærmere omstændigheder.
15
7 Sanktioner
16
7.1
Manglende overholdelse af denne Slette- og behandlingspolitik samt procedurerne i de bagvedliggende rekrutterings- og persondatapolitikke kan efter konkret vurdering af overtrĂŚdelsens karakter, grovhed eller gentagelser have ansĂŚttelsesretlige konsekvenser, herunder opsigelse eller bortvisning.
Denne Slette- og behandlingspolitik er senest opdateret den 24. maj 2018.
Bilag 1: Oversigt over slettefrister Slettefrister for rekrutteringsforløbet Genstand
FormĂĽl
System m.v.
Slettefrist
Ansøgning, CV, karakterer, etc.
Rekruttering
Online rekrutteringssystemet, indhentet materiale, fysisk printet materiale, e-mail
180 dage
Referencer
Rekruttering
Online rekrutteringssystemet, indhentet materiale, fysisk printet materiale, e-mail
180 dage
Diverse mails, herunder afvisning
Rekruttering
E-mails
180 dage
17
Slettefrister for personaleadministration
18
Genstand
Formål
System m.v.
Slettefrist
Personalemappe/fil
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
MUS-referater
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
E-mail-indbakke efter medarbejders fratræden
Personaleadministration
Outlook
1 år efter endt ansættelse
Tids-/fraværsregistrering
Personaleadministration
Lønsystem, tidsregistreringssystem
5 år efter endt ansættelse
Sygdomshistorik og referater af sygefraværssamtaler
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
Pension/Gruppeliv/ Sundhedsforsikring
Personaleadministration
HR-system, fysisk arkiv, e-mail
efter 6 år
Advarsler, opsigelse, bortvisning og fratrædelsesaftale
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
Slettefrister for oplysninger om arbejdsskader Genstand
Formål
System m.v.
Arbejdsskader
Alm. og følsomme oplysninger HR-system, fysisk arkiv, e-mail
Slettefrist 5 år
Slettefrister for kontrol/overvågning af medarbejdere Genstand
Formål
TVovervågning
Kriminalitetsforebyggende øjemed
System m.v.
Slettefrist 30 dage
19
Slette- og behandlingspolitik REKRUTTERING OG PERSONALEADMINISTRATION – TEKNOLOGISK INSTITUT