Dine forpligtigelser som dataansvarlig
Du skal være opmærksom på, at du som arbejdsgiver skal overholde følgende:
- Informere dine ansatte om brugen af deres personoplysninger
- Have en oversigt over databehandlingsaktiviteter i praksis
- Udlevere relevant dokumentation ved tilsyn
- Underrette Datatilsynet ved sikkerhedsbrud
- Have databehandleraftaler ved eksterne samarbejdspartner
Informationsforpligtelse overfor dine medarbejdere
Du er forpligtet til at oplyse dine medarbejdere om, hvilke data du har, hvad de anvendes til og med hvilken behandlingshjemmel, hvem de deles med, og medarbejderen har ret til at gøre indsigelser mod behandling af personoplysninger. Dette kan gøres på forskellige måder enten via jeres personalehåndbog eller ved udlevering af oplysninger som et tillæg til ansættelseskontakten. Ingen af måderne er mere rigtig eller forkert end den anden, men PLA anbefaler, at du får dine medarbejdere til at kvittere for modtagelsen af dokumentet.
PLA har sammen med Kromann Reumert udarbejderet en tekst, som du kan anvende. Sådan bruger vi dine personoplysninger.
Medarbejderne kan forlange at få indsigt i de registreringer, som du har foretaget på medarbejderen fx sygefraværsoversigter, andet fravær, referater mv., men også bevægelsesmønstre fx GPS sporing vil være omfattet af indsigtsretten fx ved kørsel ved sygebesøg.
Oversigt over databehandlingsaktiviteter
Du skal lave optegnelser over praksis databehandlingsaktiviteter. Dvs. skrive de databehandlinger I foretager ind i artikel 30 fortegnelsen. Optegnelserne skal løbende holdes a jour. Hvis du er PLO-medlem kan du også anvende den art. 30- fortegnelse, som PLO har udfyldt. Du finder mere information om art. 30. fortegnelse på PLO´s hjemmeside.
Du skal også sikre, at der er foretaget tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af medarbejderoplysninger i din klinik fx relevante firewalls, aflåste skabe til personalemapper, hyppige skift af adgangskoder og back-up. Læs mere i sikkerhedsguiden.
Ved tilsyn
Hvis Datatilsynet kommer på tilsyn, skal du udlevere relevant dokumentation. Det kunne være en informationsskrivelse, som er udleveret til dine medarbejdere, kopi af databehandleraftaler, kopi af samtykkeerklæring ved brug af følsomme oplysninger samt fortegnelser over databehandlingsaktiviteter.
Ved sikkerhedsbrud
Skulle uheldet være ude og der er sket et sikkerhedsbrud, der medfører, at personoplysninger er blevet lækket, skal du underrette Datatilsynet herom senest 72 timer efter, at du er blevet opmærksom på bruddet. Du skal også underrette dine medarbejdere om, at der er sket et sikkerhedsbrud. Læs mere om underretning på Datatilsynets hjemmeside.
Databehandleraftaler ved eksterne samarbejdspartner
Hvis du har eksterne samarbejdspartnere, der behandler medarbejdernes personlige oplysninger på vegne af dig fx. et lønabureau, skal du sikre dig en databehandleraftale mellem dig og behandleren af lønoplysninger. En databehandler behandler oplysninger på vegne af dig Databehandleraftaler skal sikre, at databehandleren dvs. lønfirmaet ikke anvender oplysningerne til egne formål eller til andre formål end dem, som du har angivet.
Databehandlingsaftalen skal sikre, at databehandleren opfylder de nødvendige sikkerhedsforanstaltninger, og den skal indeholde oplysning om, at databehandleren udelukkende er berettiget til at handle i overensstemmelse med indgåede aftale og formålet med aftalen. PLA har lavet en tjekliste, hvor du kan se, om din databehandleraftale opfylder forordningens krav.
En kommune er ikke databehandler men dataansvarlig, fordi kommunen bruger personoplysninger til et andet formål fx træffe afgørelse om sygedagpenge end dig. Ligeledes vil SKAT heller ikke være en databehandler, fordi SKAT bruger oplysningerne til at kontrollere om dine medarbejdere betaler det rigtige i skat. Derfor er det ikke nødvendigt med en databehandleraftale.
25.07.2024