Slette- og behandlingspolitik REKRUTTERING OG PERSONALEADMINISTRATION – DANFYSIK
82337_Slette- og behandlingspolitik_DFY_2018.indd 1
25/05/2018 10.36
Indholdsfortegnelse 1 Indledning
3
2 Principper for behandling af personoplysninger
4
3 Principper for sletning af personoplysninger
5
4 Behandling af personoplysninger i ansøgninger til stillinger pü Teknologisk Institut
6
5 Behandling af personoplysninger vedrørende medarbejdere
9
6 Slettepolitik
13
7 Sanktioner
16
Bilag 1: Oversigt over slettefrister
17
2 82337_Slette- og behandlingspolitik_DFY_2018.indd 2
25/05/2018 10.36
1 Indledning 1.1
Denne slette- og behandlingspolitik er udarbejdet med henblik på at sikre, at Danfysik overholder databeskyttelseslovgivningen (lov nr. 502), jf. databeskyttelses- forordningen (forordning (EU) 2016/679 af 27. april 2016)) i forbindelse med behandling af personoplysninger, der vedrører enten
1) medarbejdere og andre tilknyttede på Danfysik eller 2) ansøgere til stillinger på Danfysik.
3 82337_Slette- og behandlingspolitik_DFY_2018.indd 3
25/05/2018 10.36
2 Principper for behandling af personoplysninger 2.1
Udgangspunktet i databeskyttelseslovgivningen er, at der er forbud mod at behandle andres personoplysninger – uanset om der er tale om almindelige eller følsomme personoplysninger. Kun hvor der er et sagligt grundlag (hjemmel) til behandling i databeskyttelseslovgivningen, og behandlingen overholder nogle grundlæggende databehandlingsprincipper, vil der være mulighed for at behandle de pågældende personoplysninger.
2.2
De grundlæggende databehandlingsprincipper indebærer bl.a: • At personoplysninger altid skal behandles lovligt, rimeligt og transparent, • At personoplysninger kun må behandles til et bestemt legitimt formål, • At der ikke må behandles flere personoplysninger end nødvendigt, • At personoplysninger altid skal være korrekte og opdaterede, og • At personoplysningerne ikke må gemmes i en længere periode end nødvendigt.
2.3
Alle medarbejdere og tilknyttede på Danfysik er helt overordnet altid forpligtet til at følge reglerne i databeskyttelseslovgivningen, herunder de grundlæggende databehandlingsprincipper i forbindelse med enhver behandling af personoplysninger, som vedrører medarbejdere på Danfysik eller ansøgere til stillinger på Danfysik.
4 82337_Slette- og behandlingspolitik_DFY_2018.indd 4
25/05/2018 10.36
3 Principper for sletning af personoplysninger 3.1
Det følger af de grundlæggende databehandlingspricipper, at personoplysninger ikke må gemmes i en længere periode end nødvendigt. Personoplysningerne skal herefter slettes.
3.2
Sletning af personoplysninger i fysiske dokumenter sikres typisk ved destruktion eller makulering. Fremgangsmåden ved sletning af elektroniske personoplysninger er nærmere beskrevet i IT-sikkerhedspolitikken.
3.3
Som alternativ til sletning er det i stedet muligt at anonymisere den pågældende personoplysning. Dette vil typisk være relevant i statiske sammenhænge (fx fraværseller lønstatistik). Fremgangsmåden ved anonymisering af personoplysninger skal drøftes med IT og Kommunikation.
5 82337_Slette- og behandlingspolitik_DFY_2018.indd 5
25/05/2018 10.36
4 Behandling af personoplysninger i ansøgninger til stillinger på Danfysik 4.1
Ansøgninger til alle stillinger på Danfysik skal indsendes og behandles via Teknologisk Instituts onlinerekrutteringssystem (herefter Rekrutteringssystemet). Dette gælder både ansøgninger til opslåede stillinger og uopfordrede ansøgninger.
4.2
Såfremt en medarbejder modtager en ansøgning udenom Rekrutteringssystemet, fx pr. mail, er medarbejderen derfor forpligtet til at straks at svare anøsgeren, at ansøgninger til stillinger på Danfysik alene kan ske via Rekrutteringssystemet, og den fremsendte ansøgning er blevet slettet. Standard svarbrev til ansøgere findes på Intranettet under ”HR værktøjer – skema og skabeloner” og i Outlook under ”Insert - signature”.
6 82337_Slette- og behandlingspolitik_DFY_2018.indd 6
25/05/2018 10.36
4.3
Baggrunden for, at ansøgninger alene må modtages via Rekrutteringssystemet er for at sikre, at alle ansøgninger bliver behandlet i overensstemmelse med databeskyttelseslovgivningen, herunder reglerne om oplysningspligt, som på Danfysik sikres overholdt over for ansøgere i vores Rekrutteringspolitik, der automatisk vises til alle ansøgere i Rekrutteringssystemet.
4.4
Rekrutteringspolitikken indeholder alle relevante oplysninger om, hvorledes Danfysik behandler personoplysninger, som vi enten modtager direkte fra ansøgeren eller indhenter i forbindelse med rekrutteringsprocessen. Alle medarbejdere, der deltager i rekruttering af medarbejdere, er derfor forpligtet til at have gennemgået Rekrutteringspolitikken og sikre, at enhver rekruttering foregår i overensstemmelse med denne. Rekrutteringspolitikken findes på Intranettet under GDPR-fanen samt i ”Medarbejderhåndbog – Politikker”.
7 82337_Slette- og behandlingspolitik_DFY_2018.indd 7
25/05/2018 10.36
4.5
I forbindelse med enhver rekruttering til stillinger på Danfysik skal følgende overordnede retningslinjer altid følges:
• Ansøgninger og andet rekrutteringsmateriale må alene behandles af medarbejdere, der direkte deltager i rekrutteringsprocessen. • Indhentelse af referencer på ansøgere må alene ske efter indhentelse af skriftligt samtykke fra ansøgeren ved brug af de af Personale og Udvikling udarbejdede samtykkeerklæringer. Samtykkeerklæring til indhentelse af referencer fremsendes automatisk til ansøgeren i forbindelse med indkaldelse til 2. samtale. • Indhentelse af personlighedstest kan alene ske efter indhentelse af skriftligt samtykke fra ansøgeren. Tilsvarende kan indhentelse af kreditvurdering alene ske ved betroede stillinger og efter indhentelse af skriftligt samtykke fra ansøgeren. Alene samtykkeerklæringer udarbejdet af Personale og Udvikling må anvendes ved indhentelse af samtykke. • I forhold til tidligere ansatte medarbejdere må der alene afgives referenceoplysninger, såfremt den virksomhed, som ønsker referenceoplysningerne, forudgående har fremsendt en underskrevet samtykkeerklæring fra den tidligere medarbejder. De oplysninger, der videregives om den tidligere medarbejder, må alene vedrøre almindelige personoplysninger. Følsomme personoplysninger må ikke videregives. • Indhentelse af oplysninger om en ansøgers helbred må alene ske, såfremt dette efter en konkret vurdering er nødvendigt i forhold til ansøgerens evne til at varetage den opslåede stilling.
8 82337_Slette- og behandlingspolitik_DFY_2018.indd 8
25/05/2018 10.36
5 Behandling af personoplysninger vedrørende medarbejdere 5.1
Personoplysninger vedrørende medarbejdere på Danfysik skal behandles i overensstemmelse med nærværende politik samt den til enhver tid gældende Persondatapolitik for medarbejdere (herefter Persondatapolitikken). Det gælder, uanset om personoplysninger er modtaget fra medarbejderen selv eller på anden vis, og uanset om personoplysningerne vedrører almindelige oplysninger eller følsomme oplysninger. Alle medarbejdere er derfor forpligtet til at have gennemgået Persondatapolitikken og sikre, at enhver behandling af personoplysninger vedrørende medarbejdere, som de er ansvarlige for, sker i overensstemmelse med Persondatapolitikken. Persondatapolitikken findes på Intranettet under ”Medarbejderhåndbog – Politikker”.
9 82337_Slette- og behandlingspolitik_DFY_2018.indd 9
25/05/2018 10.36
5.2
Alle endelige og officielle dokumenter, der indeholder personoplysninger vedrørende medarbejdere, som skal gemmes, skal som udgangspunkt gemmes i medarbejderens digitale personalemappe i Danfysiks IT-system – og kun dér. Dokumenter indeholdende personoplysninger, der allerede er gemt på en medarbejders personalemappe, må således ikke gemmes andre steder – hverken elektronisk eller i papirform. Som eksempel på oplysninger og dokumenter, som typisk vil blive gemt på medarbejderens egen personalemappe kan nævnes følgende:
1) Identifikationsoplysninger, 2) oplysninger om uddannelsesmæssig baggrund og virke, 3) oplysninger om løn, sygefravær, sygdomsperioder, pensionsforhold, skatteoplysninger og kontonummer samt 4) oplysninger om andre tjenstlige forhold, herunder eventuelle påtaler og advarsler samt referater af medarbejderudviklingssamtaler, sygefraværssamtaler samt andre samtaler og møder.
Dokumenter og oplysninger i medarbejderens personalemappe er til enhver tid tilgængelige for medarbejderen selv. Derudover er dokumenter og oplysninger i en personalemappe alene tilgængelige for relevante medarbejdere i Personale og Udvikling samt i relevant omfang for medarbejderens direkte chef og/eller direktør.
Personale og Udvikling har – sammen med medarbejderen selv – ansvaret for at sikre, at personoplysninger og dokumenter i medarbejderens personalemappe til enhver tid opfylder de grundlæggende databehandlingsprincipper, herunder sikre at alle personoplysninger er korrekte og opdaterede.
10 82337_Slette- og behandlingspolitik_DFY_2018.indd 10
25/05/2018 10.36
5.3
Kun i de tilfælde, hvor et dokument indeholdende personoplysninger om en medarbejder ikke er egnet til at blive gemt i medarbejderens personalemappe, skal dokumentet gemmes i TI-folders i den direkte leder, chef eller direktørs ”Personal -GDPR”- mappe. Alle ”Personal-GDPR”-mapper skal være underopdelt, så der er en undermappe for hver medarbejder benævnt medarbejderens initialer og GDPR.
Dokumenter indeholdende personoplysninger, der er gemt på en chef eller direktørs ”Personal-GDPR”-mappe, må ikke gemmes andre steder – hverken elektronisk eller i papirform. Dokumenter indeholdende personoplysninger om medarbejdere må således altid kun gemmes ét sted.
Dokumenter indeholdende personoplysninger, som ikke er egnet til at blive gemt på medarbejderens egen personalemappe og som i stedet skal gemmes i en ”PersonalGDPR”-mappe, kan fx være interne arbejdsdokumenter af forskellig karakter, eller dokumenter, der ikke foreligger i endelig form.
Alle ledere, chefer og direktører har ansvaret for at sikre, at personoplysninger og dokumenter i deres ”Personal-GDPR”-mappe i TI-folders til enhver tid opfylder de grundlæggende databehandlingsprincipper, herunder sikre at alle personoplysninger er korrekte og opdaterede.
Når en medarbejder fratræder, er medarbejderens chef forpligtet til at gennemgå alle dokumenter vedrørende den pågældende medarbejder, som ligger på ”Personal-GDPR”mappen. Dokumenter, der ikke længere er relevante, skal slettes, og alt øvrigt materiale
11 82337_Slette- og behandlingspolitik_DFY_2018.indd 11
25/05/2018 10.36
skal sendes til Personale og Udvikling, der herefter har ansvaret for, at dokumenterne behandles i overensstemmelse med databeskyttelseslovgivningen. Alle dokumenter, der er gemt i ”PersonalGDPR”-mapper, vil således alene angå medarbejdere, der aktuelt er ansat på Danfysik. 5.4
Følsomme oplysninger om medarbejdere bør i videst muligt opfang begrænses i e-mails. E-mails, der indeholder følsomme personoplysninger vedrørende en medarbejder, skal snarest muligt efter brug slettes fra Outlook. Såfremt der er behov for at gemme en e-mail indeholdende følsomme personoplysninger om en medarbejder, skal dette ske på ”Personal-GDPR”-mappen efter samme retningslinjer som anført i pkt 5.3 ovenfor.
5.5
Kommunikation via SMS er som udgangspunkt ikke egnet i forbindelse med personaleadministration. Brug af SMS bør derfor kun anvendes i særlige tilfælde, hvor andre kommunikationsformer ikke er egnet.
5.6
Fysiske dokumenter, der indeholder personoplysninger om medarbejdere, bør ved arbejdstidsophør opbevares i aflåste eller aflukkede skuffer eller skabe.
12 82337_Slette- og behandlingspolitik_DFY_2018.indd 12
25/05/2018 10.36
6 Slettepolitik 6.1
Ansøgninger og andet materiale, der er indhentet eller modtaget fra ansøgere til stillinger på Danfysik skal slettes senest 180 dage efter modtagelsen. Der henvises i øvrigt til bilag 1 indeholdende en konkret oversigt over slettefrister for rekrutteringsforløbet.
6.2
Personoplysninger vedrørende medarbejdere vil som udgangspunkt blive opbevaret under hele medarbejderens ansættelsesforhold samt i op til 5 år efter ansættelsesforholdets ophør.
Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, holdes e-mailkontoen kun aktiv i en periode på op til 12 måneder efter endt ansættelse. Der henvises i øvrigt til bilag 1 indeholdende en konkret oversigt over slettefrister for personaleadministration.
13 82337_Slette- og behandlingspolitik_DFY_2018.indd 13
25/05/2018 10.36
6.3
Oplysninger om arbejdsskader på Danfysik behandles som udgangspunkt i EASY (offentligt system om arbejdsulykker via www.virk.dk), men opbevares ligeledes, på anbefaling af Arbejdsmarkedets Erhvervssikring (AES), på Danfysik i 5 år efter skadestidspunktet. Der henvises i øvrigt til bilag 1 indeholdende en konkret oversigt over slettefrister for arbejdsskader.
6.4
Uanset ovenstående procedurer og slettefrister mv., kan der være konkrete omstændigheder, som gør, at Danfysik er nødsaget til at opbevare personoplysningerne i længere tid end ellers angivet.
Dette kan fx være som følge af de konkrete omstændigheder, der er knyttet op på et bestemt projekt, hvor Kommissionen eller offentlige myndigheder fx kræver, at dokumentation for løn- og arbejdsvilkår opbevares i en bestemt periode. Der kan også være særlige EU-mæssige eller lovgivningsmæssige krav, der stilles i en bestemt situation.
Derudover kan konkrete omstændigheder indebære, at personoplysninger ikke er omfattet af nærværende retningslinjer, herunder fx:
• Behandling af personoplysninger om medarbejdere, hvor dette ikke sker i HR sammenhæng, men fordi medarbejderens navn fx fremgår af en kundekontrakt, som er indgået af Danfysik,
14 82337_Slette- og behandlingspolitik_DFY_2018.indd 14
25/05/2018 10.36
6.5
• Verserende retssager anlagt af eller mod Danfysik, hvor oplysningerne indgår i det materiale, der er nødvendigt for at føre sagen, • Verserende arbejdsskadesager, som pågår efter medarbejderen er fratrådt, • Andre verserende sager med myndigheder, herunder nævns- sager, tilsynssager, politianmeldelser mv., hvor det er nød vendigt at behandle medarbejderoplysninger Hvis man er i tvivl om, hvorvidt en situation er omfattet af undtagelserne, skal man kontakte Personale og Udvikling med henblik på at afdække de nærmere omstændigheder.
15 82337_Slette- og behandlingspolitik_DFY_2018.indd 15
25/05/2018 10.36
7 Sanktioner 7.1
Manglende overholdelse af denne Slette- og behandlingspolitik samt procedurerne i de bagvedliggende rekrutterings- og persondatapolitikker kan efter konkret vurdering af overtrĂŚdelsens karakter, grovhed eller gentagelser have ansĂŚttelsesretlige konsekvenser, herunder opsigelse eller bortvisning.
Denne Slette- og behandlingspolitik er senest opdateret den 24. maj 2018.
16 82337_Slette- og behandlingspolitik_DFY_2018.indd 16
25/05/2018 10.36
Slettefrister for rekrutteringsforløbet Genstand
FormĂĽl
System m.v.
Slettefrist
Ansøgning, CV, karakterer, etc.
Rekruttering
Online rekrutteringssystemet, indhentet materiale, fysisk printet materiale, e-mail
180 dage
Referencer
Rekruttering
Online rekrutteringssystemet, indhentet materiale, fysisk printet materiale, e-mail
180 dage
Diverse mails, herunder afvisning
Rekruttering
E-mails
180 dage
17 82337_Slette- og behandlingspolitik_DFY_2018.indd 17
25/05/2018 10.36
Slettefrister for personaleadministration Genstand
Formål
System m.v.
Slettefrist
Personalemappe/fil
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
MUS-referater
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
E-mail-indbakke efter medarbejders fratræden
Personaleadministration
Outlook
1 år efter endt ansættelse
Tids-/fraværsregistrering
Personaleadministration
Lønsystem, tidsregistreringssystem
5 år efter endt ansættelse
Sygdomshistorik og referater af sygefraværssamtaler
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
Pension/Gruppeliv/ Sundhedsforsikring
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
Advarsler, opsigelse, bortvisning og fratrædelsesaftale
Personaleadministration
HR-system, fysisk arkiv, e-mail
5 år efter endt ansættelse
18 82337_Slette- og behandlingspolitik_DFY_2018.indd 18
25/05/2018 10.36
Slettefrister for oplysninger om arbejdsskader Genstand
Formål
System m.v.
Arbejdsskader
Alm. og følsomme oplysninger HR-system, fysisk arkiv, e-mail
Slettefrist 5 år
Slettefrister for kontrol/overvågning af medarbejdere Genstand
Formål
TVovervågning
Kriminalitetsforebyggende øjemed
System m.v.
Slettefrist 30 dage
19 82337_Slette- og behandlingspolitik_DFY_2018.indd 19
25/05/2018 10.36
Slette- og behandlingspolitik REKRUTTERING OG PERSONALEADMINISTRATION – DANFYSIK
82337_Slette- og behandlingspolitik_DFY_2018.indd 20
25/05/2018 10.36