I denne artikel gennemgår CRECEAs compliance manager, Frederik Hjorth nogle af de situationer, hvor det er nødvendigt, at man som medlem af arbejdsmiljøorganisationen (AMO) forholder sig til GDPR.
GDPR er EU-lovgivning, som alle danske organisationer og virksomheder skal forholde sig til. Reglerne handler om beskyttelse af dine, mine og andres personlige oplysninger.
Fælles for GDPR og arbejdsmiljølovgivningen er, at de begge har til formål at beskytte fysiske personer.
Hvor kan AMO behandle personlige oplysninger?
I AMOs arbejde er det nærliggende, at der opstår situationer hvor, man skal behandle personlige oplysninger for at udføre en opgave. Dette kan f.eks. være i forbindelse med udarbejdelse af APV, udarbejdelse af trivselsmålinger, opbevaring af pårørendelister, opbevaring af kursusbeviser og indberetning af arbejdsskadessager.
Hvad er personlige oplysninger?
Personlige oplysninger, også kaldet ”Personoplysninger”, er enhver oplysning, der kan henføres til en bestemt person. Hver gang man behandler en personoplysning, f.eks. opbevarer den, så gælder GDPR. Personoplysninger kan være navne på medarbejdere, der udfylder et spørgeskema i forbindelse med APV, eller navne og telefonnumre, der fremgår af en pårørendeliste.
”Pga. GDPR må vi ingenting i AMO” Tænker du måske?
Dette er en ofte hørt men forkert opfattelse af GDPR.
GDPR sætter begrænsninger, men er ikke ensbetydende med, at personoplysninger, og brugen heraf, er forbudt.
I AMO er der nogle opgaver, der skal udføres, og hvor behandling af personoplysninger kan være en nødvendig del af opgavens udførelse.
Overordnet set, er der to forhold, der skal være opfyldt, før man må behandle personoplysninger:
1. En ret til behandling af personoplysninger
2. Et formål med behandling af personoplysninger
I forbindelse med AMOs arbejde vil retten og formålet oftest findes i arbejdsmiljølovgivningen.
Eksempel på ret og formål - APV
I forbindelse med udarbejdelsen af en APV, er det nærliggende, at I skal bruge personoplysninger, så i kan sende spørgeskemaer ud til medarbejderne. Her følger det af arbejdsmiljølovgivningen, at der skal laves en APV, og for at APV’en, kan give et retvisende billede, skal medarbejdernes input bringes i spil, hvorfor det kan være nødvendigt at indkalde medarbejderne ved brug af deres mailadresse og navn (personoplysninger).
I har således en retlig forpligtelse til at lave APV (retten) og formålet med behandlingen med personoplysninger er at inddrage medarbejderne i udarbejdelsen af APV’en.
Husk dog at I udelukkende må indsamle de personoplysninger, der er nødvendige for formålet (”need-to-know” og ikke ”nice-to-know”).
Har du brug for flere konkrete eksempler på ret og formål?
Frederik har udarbejdet en oversigt med yderligere 4 konkrete eksempler på ret og formål i opgaver, hvor det er meget sandsynligt, at AMO behandler personoplysninger. Det er:
- Pårørendelister
- Arbejdsbetingede vacciner
- Sygefraværsstatistik
- Håndtering af arbejdsskadesager
Når Ret og formål er på plads er næste skridt at have styr på følgende:
- Oplysningspligten
- Sikker opbevaring
- Sletning
- Fortegnelsen over brugen af personoplysninger
Oplysningspligten - hvordan gør man?
I skal sikre, at alle relevante personer oplyses om, at deres personoplysninger bliver brugt, til hvilket formål de bliver brugt, og hvornår de bliver slettet igen.
Dette skal som udgangspunkt gøres INDEN, I bruger personoplysningerne. Dette er for at sikre, at personerne ikke indgår i sammenhænge, som de ikke er bevidste om og dermed ikke har kontrol over deres egne oplysninger.
Sikker opbevaring - Skal vi gemme personoplysningerne i en brandsikret bankboks?
Når man opbevarer eller bruger personoplysninger, siger GDPR, at dette skal gøres på en sikker måde. Men hvad betyder "en sikker måde"?
Det betyder, at både fysiske og digitale dokumenter skal sikres ved:
- At, dokumenterne kun kan tilgås af relevante medarbejdere
- At, dokumenterne er beskyttet mod brand, vandskade mv.
- Dokumenterne er beskyttet mod forkerte ændringer – vi skal kunne opdage, at et dokument er blevet ændret.
- At, dokumenterne er sikret mod utilsigtet sletning eller tilintetgørelse
- Dokumenterne er beskyttet mod indbrud og andre personer med lange fingre.
Frederik har også udarbejdet en guide med 9 gode råd til, hvordan man sikrer sine personoplysninger.
Sletning - hvornår?
Den enkle rettesnor er: "Man skal slette, når behovet forsvinder"
Den lidt mere detaljerede forklaring er: Når I ikke har en ret, eller et formål med behandlingen af personoplysninger, skal I slette dem. Ift. AMOs arbejde, vil I ofte skulle slette personoplysninger, når en medarbejder stopper. Der kan dog være situationer hvor, I skal slette personoplysningerne før eller senere end dette.
Fortegnelse over bruger af personoplysninger
For alle virksomheder eller organisationer, der behandler personoplysninger, er det et krav, at disse fører en fortegnelse over behandlingen. Herudover skal der laves et overblik over:
- Retten til at behandle personoplysninger
- Formålet med at behandle personoplysninger
- Hvilke personoplysninger I behandler
- Hvor længe I vil opbevare dem (slettepolitik)
- Hvad I har gjort for at beskytte personoplysningerne
AMO kan hjælpe med at udfylde dele af den samlede GDPR-fortegnelse ved at lave en fortegnelse over de personoplysninger, som bruges i AMOs arbejde.
Har du spørgsmål til Frederik Hjorth, så kan du kontakte ham her:
Compliance manager, Frederik Hjorth
Mobil: 29114675
Mail: fh@crecea.dk