Persondatapolitik for medarbejdere
PERSONDATAPOLITIK FOR MEDARBEJDERE
[Virksomhedens navn] — CVR-nr. [CVR-nummer]
Ikrafttrædelsesdato: [Ikrafttrædelsesdato]
1. Dataansvarlig
Den dataansvarlige for behandlingen af medarbejdernes personoplysninger er [Virksomhedens navn], [Virksomhedens adresse], CVR-nr. [CVR-nummer]. Spørgsmål om behandling af personoplysninger rettes til [Databeskyttelseskontakt].
2. Retsgrundlag
Behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (GDPR, EU-forordning 2016/679) og databeskyttelsesloven (lov nr. 502 af 23/05/2018) under tilsyn af Datatilsynet. Behandlingsgrundlaget er primært opfyldelse af ansættelseskontrakten (GDPR art. 6, stk. 1, litra b), opfyldelse af retlige forpligtelser som arbejdsgiver (litra c) og i nødvendigt omfang legitime interesser (litra f). CPR-nummer behandles på grundlag af databeskyttelseslovens § 11. Oplysninger om fagforeningsmedlemskab og sundhedsoplysninger (særlige kategorier, GDPR art. 9) behandles kun på grundlag af udtrykkeligt samtykke eller hjemmel i art. 9, stk. 2.
3. Kategorier af personoplysninger og formål
Kategorier: [Kategorier af oplysninger]
Formål: [Formål]
Opbevaring: [Opbevaringsperiode]
Modtagere: [Modtagere]
4. Medarbejdernes rettigheder
Medarbejderne har efter GDPR ret til: (i) indsigt i de oplysninger, der behandles om dem (art. 15), (ii) berigtigelse af urigtige oplysninger (art. 16), (iii) sletning under visse betingelser (art. 17), (iv) begrænsning af behandlingen (art. 18), (v) dataportabilitet (art. 20) og (vi) indsigelse mod behandlingen (art. 21). Anmodninger rettes til [Databeskyttelseskontakt] og besvares senest inden 1 måned. Medarbejderne kan klage til [Tilsynsmyndighed].
5. Datasikkerhed og brud
[Virksomhedens navn] har truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger mod uautoriseret adgang, ændring, videregivelse, tab eller tilintetgørelse. Brud på persondatasikkerheden anmeldes til Datatilsynet inden 72 timer efter konstatering, jf. GDPR art. 33. Berørte medarbejdere underrettes, hvis bruddet indebærer høj risiko for dem.
6. Ikrafttrædelse og ændringer
Persondatapolitikken er godkendt af [Godkendt af] og træder i kraft den [Ikrafttrædelsesdato]. Politikken opdateres ved ændringer i lovgivningen eller i virksomhedens behandlingsaktiviteter. Ændringer meddeles medarbejderne.
Underskrift: _________________________
[Godkendt af], på vegne af [Virksomhedens navn]
Dataansvarlig (direktionen / HR)
________________
Signature
Hvad er Persondatapolitik for medarbejdere?
Persondatapolitik for medarbejdere i Danmark er et dokument, hvori arbejdsgiveren som dataansvarlig oplyser medarbejderne om, hvilke personoplysninger der behandles, til hvilke formål, med hvilke retsgrundlag og med hvilke rettigheder medarbejderne har. Persondatapolitik medarbejder Danmark er et lovkrav efter databeskyttelsesforordningen (GDPR, EU-forordning 2016/679) og databeskyttelsesloven (lov nr. 502 af 23/05/2018), der tilsammen regulerer behandling af personoplysninger i Danmark under tilsyn af Datatilsynet. En klar og opdateret persondatapolitik for medarbejdere er et af de mest konkrete og lettilgængelige tiltag, virksomheden kan tage for at vise medarbejderne, at den respekterer deres privatlivsbeskyttelse og tager sine juridiske forpligtelser alvorligt. Politikken er tillige et vigtigt og konkret signal i rekrutteringsprocessen og over for alle nye og eksisterende medarbejdere: den, der ved jobskifte ser en veldokumenteret og aktuelt opdateret persondatapolitik, ved med det samme, at virksomheden er professionel og klart ansvarlig i sin systematiske, lovpligtige behandling af medarbejdernes personoplysninger.
GDPR art. 13 og 14 pålægger den dataansvarlige (arbejdsgiveren) en oplysningspligt: medarbejderne skal informeres om behandlingen af deres personoplysninger ved indsamlingen (art. 13) eller senest 1 måned efter indsamlingen (art. 14). Oplysningspligten er ikke blot en formalitet; den er et grundlæggende GDPR-princip om gennemsigtighed og giver medarbejderne mulighed for at udøve deres rettigheder.
En arbejdsgiver behandler typisk en bred vifte af medarbejderes personoplysninger, herunder navn, adresse og CPR-nummer til skatteindberetning, løn- og bankoplysninger til lønudbetaling, ansættelsesoplysninger (titel, afdeling, anciennitet), sygefraværsdata, sundhedsoplysninger (mulighedserklæringer, graviditet), fagforeningsmedlemskab (i visse tilfælde), evaluerings- og præstationsdata, og IT-aktivitetslogfiler. Mange af disse kategorier er reguleret af særlige regler: CPR-numre kræver en hjemmel efter databeskyttelseslovens § 11, sundhedsoplysninger og fagforeningsmedlemskab er særlige kategorier (GDPR art. 9) der kun må behandles med udtrykkeligt samtykke eller anden specifik hjemmel.
Databeskyttelsesloven (lov nr. 502/2018), der implementerer GDPR i dansk ret med supplerende nationale bestemmelser, fastsætter bl.a., at alderen for samtykke er 15 år (§ 6), og giver Datatilsynet beføjelse til at behandle klager, pålægge bøder og udstede påbud. Datatilsynets tilsyn er risikobaseret, og store arbejdsgivere med mange medarbejdere er særligt i fokus. Persondatapolitikken er et centralt instrument til at dokumentere, at virksomheden overholder sine forpligtelser.
Hvornår har du brug for Persondatapolitik for medarbejdere?
Persondatapolitik for medarbejdere i Danmark er nødvendig i en lang række situationer, og arbejdsgivere bør ikke afvente et krav fra Datatilsynet.
Når virksomheden ansætter sine første medarbejdere. Oplysningspligten efter GDPR art. 13 skal opfyldes ved indsamlingen af medarbejderens personoplysninger, dvs. normalt ved ansættelsesstart. En skriftlig persondatapolitik er den mest strukturerede og dokumenterbare måde at opfylde denne pligt på og sikrer, at alle nye medarbejdere modtager de samme informationer.
Når GDPR stiller krav om dokumentation og accountability. Under Datatilsynets tilsyn og risikobaserede undersøgelser skal arbejdsgiveren kunne dokumentere, at medarbejderne er informeret om behandlingen af deres personoplysninger, og at en behandlingsprotokol (GDPR art. 30) er udarbejdet. En skriftlig persondatapolitik er den naturlige, verificerbare dokumentation.
Når virksomheden behandler særlige kategorier. Virksomheder, der behandler sundhedsoplysninger (sygemeldinger, graviditet, mulighedserklæringer), fagforeningsmedlemskab eller biometriske data (GDPR art. 9), har et skærpet behov for en klar politik, der præcist beskriver behandlingsgrundlaget (typisk GDPR art. 9, stk. 2) og de tilhørende sikkerhedsforanstaltninger.
Når der er et databrud. Hvis en virksomhed opdager et brud på persondatasikkerheden, der kompromitterer medarbejderes personoplysninger, er en klar politik vigtig for at følge anmeldelsesproceduren til Datatilsynet (72-timers frist, GDPR art. 33), informere de berørte medarbejdere og dokumentere de foranstaltninger, der var truffet.
Når medarbejdere udøver deres rettigheder. Medarbejdere kan anmode om indsigt (GDPR art. 15), berigtigelse (art. 16), sletning (art. 17) og portabilitet (art. 20). En persondatapolitik, der informerer om disse rettigheder og procedurerne for at anmode om dem, forhindrer misforståelser og letter smidig behandling af anmodninger inden for fristen på 1 måned.
Når personalehåndbogen udarbejdes eller opdateres. Persondatapolitikken for medarbejdere er et naturligt afsnit i personalehåndbogen og bør inkluderes ved udarbejdelse eller opdatering heraf.
Når ansættelsesbevisloven stiller krav. Ansættelsesbevisloven (lov nr. 501/2023) kræver, at medarbejdere informeres om relevante ansættelsevilkår. Persondatapolitikken supplerer dette ved at give den lovpligtige GDPR-oplysning om personoplysningsbehandlingen.
Når virksomheden indfører kunstig intelligens eller automatiserede processer. AI-drevne HR-tools, algoritmisk screening af jobansøgere eller automatiserede præstationsvurderinger skaber nye GDPR-udfordringer (GDPR art. 22 om automatiserede afgørelser) og kræver opdatering af persondatapolitikken for at afspejle de nye behandlingsaktiviteter.
Hvad skal Persondatapolitik for medarbejdere indeholde
Persondatapolitik for medarbejdere i Danmark bør indeholde en række elementer, der opfylder GDPR art. 13 og dansk databeskyttelseslovgivning.
Dataansvarlig identifikation. Virksomhedens fulde navn, CVR-nummer og adresse. Kontaktoplysninger for databeskyttelse (DPO eller HR-ansvarlig med e-mail). Erhvervsstyrelsen registrerer CVR-numre på virk.dk.
Kategorier af personoplysninger. En præcis oversigt over de kategorier af personoplysninger, der faktisk behandles: navn, adresse, CPR-nummer (kræver hjemmel i databeskyttelseslovens § 11), løn- og skatteoplysninger, bankoplysninger (NemKonto), ansættelsesoplysninger (stilling, afdeling, anciennitet), sygefraværsdata, sundhedsoplysninger ved sygeopfølgning (særlig kategori, GDPR art. 9), fagforeningsmedlemskab (særlig kategori), og eventuelle IT-aktivitetslogfiler og adgangskontroldata.
Formål og retsgrundlag. En klar beskrivelse af de specifikke formål med behandlingen (lønudbetaling, skatteindberetning til Skattestyrelsen, HR-administration, APV, sygeopfølgning, adgangskontrol) og det tilsvarende retsgrundlag (GDPR art. 6: opfyldelse af kontrakt (litra b), retlig forpligtelse (litra c), eller legitime interesser (litra f); for særlige kategorier GDPR art. 9, stk. 2).
Opbevaringsperiode. En specifik beskrivelse af, hvor længe de forskellige kategorier opbevares. Regnskabsdata og lønoplysninger opbevares typisk 5 år efter fratræden (bogføringsloven). Sundhedsoplysninger slettes straks efter at formålet er opnået. IT-logfiler slettes typisk efter 6-12 måneder. Opbevaringsbegrænsning er et GDPR-grundprincip. Find skabeloner til relaterede HR-dokumenter på forms-legal.com.
Modtagere og videregivelse. En oversigt over, hvilke tredjeparter der modtager oplysningerne: Skattestyrelsen (skatteindberetning), Udbetaling Danmark (ydelser under barsel, dagpenge), fagforening (kun ved samtykke), pengeinstitut (lønudbetaling), og eventuelle lønbureauer eller IT-leverandører der fungerer som databehandlere (DPA krævet, GDPR art. 28). Eventuelle overførsler til tredjelande (USA, Indien for cloud-tjenester) skal beskrives med overførselsgrundlag (GDPR art. 44-49).
Medarbejdernes rettigheder. En klar oversigt over medarbejdernes rettigheder med praktisk vejledning: indsigt (art. 15 — kopi af data), berigtigelse (art. 16 — rettelse af fejl), sletning (art. 17 — ret til at blive glemt), begrænsning (art. 18 — begrænset behandling), portabilitet (art. 20 — overflytning af data), og indsigelse (art. 21 — mod behandling). Oplysning om at anmodninger besvares inden 1 måned og at Datatilsynet kan klages til.
Datatilsynet. Klageadgang til Datatilsynet (Carl Jacobsens Vej 35, 2500 Valby, [email protected], datatilsynet.dk). Datatilsynet behandler klager gratis og kan pålægge bøder og udstede påbud.
Sikkerhedsforanstaltninger og håndtering af brud. En beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger (kryptering, adgangskontrol, backup) og en klar angivelse af, at brud på persondatasikkerheden anmeldes til Datatilsynet inden 72 timer (GDPR art. 33) og at berørte medarbejdere underrettes ved høj risiko (art. 34).
Sådan udfylder du Persondatapolitik for medarbejdere
Persondatapolitik for medarbejdere i Danmark udfyldes trin for trin for at opfylde GDPR's oplysningspligt og dokumentationskrav.
Trin 1 — Angiv virksomhedsoplysninger. Skriv virksomhedens fulde navn, CVR-nummer fra Erhvervsstyrelsen (virk.dk) og adresse. Angiv kontaktoplysninger for databeskyttelse, fx HR-chefen eller den databeskyttelsesansvarlige (DPO), med direkte e-mail.
Trin 2 — Oplist kategorier af personoplysninger. Gennemgå grundigt, hvilke personoplysninger virksomheden faktisk behandler om medarbejdere: navn, adresse, CPR-nummer, løn, bankoplysninger, sygefravær, sundhedsoplysninger, fagforeningsmedlemskab, IT-logfiler mv. Vær præcis; for bred en oplistning er vildledende, og for smal en oplistning kan betyde, at oplysningspligten ikke er opfyldt.
Trin 3 — Beskriv formål præcist. Angiv de specifikke, afgrænsede formål med behandlingen: lønudbetaling og skatteindberetning til Skattestyrelsen, HR-administration (ansættelsesbeslutninger, præstationsudvikling), sygdomsopfølgning og APV, IT-sikkerhed og adgangskontrol.
Trin 4 — Fastlæg retsgrundlag. For hvert formål: angiv det specifikke GDPR-retsgrundlag (litra b: kontrakt, litra c: retlig forpligtelse, litra f: legitime interesser). For særlige kategorier: angiv GDPR art. 9-hjemmel.
Trin 5 — Angiv opbevaringsperioder. Fastsæt specifikke perioder for hvert datatype: regnskabsdata 5 år (bogføringsloven), sundhedsoplysninger slettes ved fratrædelse, IT-logfiler 6-12 måneder. Opbevaringsbegrænsning er et GDPR-grundprincip.
Trin 6 — Angiv modtagere og databehandlere. Oplist tredjeparter (Skattestyrelsen, Udbetaling Danmark, lønbureau, bank) og databehandlere (IT-leverandører, HR-software). Indgå DPA med alle databehandlere (GDPR art. 28). Ved overførsler til tredjelande: angiv overførselsgrundlag.
Trin 7 — Beskriv medarbejdernes rettigheder og klageadgang. Inkluder en klar oversigt over rettighederne (indsigt, berigtigelse, sletning, begrænsning, portabilitet, indsigelse) og oplys om 1-måneds-fristen og Datatilsynets klageadgang ([email protected]).
Trin 8 — Beskriv sikkerhedsforanstaltninger og brudprocedure. Angiv de tekniske og organisatoriske sikkerhedsforanstaltninger og processen for håndtering af databrud (72-timers anmeldelse til Datatilsynet, underretning af berørte medarbejdere).
Trin 9 — Angiv ikrafttrædelse og godkendelse. Skriv ikrafttrædelsesdato og hvem der har godkendt politikken (typisk direktionen).
Trin 10 — Kommuniker, dokumenter og vedligehold. Udlever politikken til alle ansatte ved ansættelsesstart og indhent kvittering. Opdater politikken ved ændringer i behandlingsaktiviteterne, nye databehandlere eller lovændringer. Gennemgå politikken mindst en gang om året.
Juridiske krav til Persondatapolitik for medarbejdere
Persondatapolitik for medarbejdere i Danmark er reguleret af GDPR og dansk databeskyttelseslovgivning.
Databeskyttelsesforordningen (GDPR, EU-forordning 2016/679). GDPR er direkte gældende i Danmark og pålægger arbejdsgiveren som dataansvarlig en oplysningspligt ved indsamling af personoplysninger (art. 13: ved direkte indsamling; art. 14: ved indirekte indsamling). Oplysningerne skal gives i klart og forståeligt sprog. GDPR art. 5 fastsætter grundprincipper: lovlighed, rimelighed, gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.
Databeskyttelsesloven (lov nr. 502 af 23/05/2018). Loven supplerer GDPR med nationale særregler, herunder: alderen for samtykke (15 år, § 6), behandling af CPR-numre kræver særskilt hjemmel (§ 11), og Datatilsynets beføjelser til tilsyn, klagebehandling og sanktioner (§§ 27-42). Datatilsynet (datatilsynet.dk) er tilsynsmyndighed.
Særlige kategorier (GDPR art. 9). Sundhedsoplysninger, fagforeningsmedlemskab, biometriske data og lignende særlige kategorier kræver eksplicit samtykke eller en specifik hjemmel for behandling. Mange arbejdsgivere behandler sundhedsoplysninger (sygemeldinger, mulighedserklæringer, graviditet) og skal have en klar hjemmel.
Brud på persondatasikkerheden (GDPR art. 33-34). Brud skal anmeldes til Datatilsynet inden 72 timer. Berørte medarbejdere skal underrettes, hvis bruddet indebærer høj risiko. En klar persondatapolitik beskriver sikkerhedsforanstaltningerne og beredskabsprocedurerne.
Sanktioner. GDPR-bøder kan udgøre op til 20 mio. EUR eller 4 % af global omsætning, jf. GDPR art. 83. Datatilsynet har i Danmark udstedt bøder til arbejdsgivere for manglende GDPR-overholdelse, herunder manglende oplysningspligt og ulovlig behandling af særlige kategorier.
Art. 30-fortegnelse. Alle dataansvarlige (med undtagelse af virksomheder med under 250 ansatte og ingen behandling af særlige kategorier) skal føre en fortegnelse over behandlingsaktiviteter (GDPR art. 30). Fortegnelsen dokumenterer alle behandlingsaktiviteter, formål, kategorier, modtagere og opbevaringsperioder. Datatilsynet kan kræve at se fortegnelsen ved tilsyn. En persondatapolitik og art. 30-fortegnelse supplerer hinanden og bør holdes opdaterede simultant.
Almindelige fejl i Persondatapolitik for medarbejdere
Persondatapolitik for medarbejdere i Danmark indeholder ofte fejl, der kan udgøre overtrædelser af GDPR og databeskyttelsesloven.
Fejl 1 — Ingen persondatapolitik. Den hyppigste fejl er, at arbejdsgiveren slet ikke har en persondatapolitik for medarbejdere og dermed ikke opfylder GDPR's oplysningspligt (art. 13). Datatilsynet kan reagere herpå og udstede påbud.
Fejl 2 — For bredt formål. En persondatapolitik, der beskriver formålet med behandlingen for bredt (fx »til administrationsformål«), opfylder ikke GDPR's krav om specifikke og klare formål. Formålene skal beskrives præcist og konkret.
Fejl 3 — Manglende retsgrundlag. Politikken angiver ikke, hvilken GDPR-artikel (art. 6 eller art. 9) behandlingen hviler på. Manglende angivelse af retsgrundlag er en hyppig fejl og kan udløse Datatilsynets opmærksomhed.
Fejl 4 — CPR-nummer behandles uden hjemmel. CPR-numre kræver en særskilt hjemmel efter databeskyttelseslovens § 11 (lovpligtig behandling, samtykke eller overenskomst). Mange virksomheder behandler CPR-numre uden at have identificeret hjemmlen.
Fejl 5 — Sundhedsoplysninger behandles for bredt. Sundhedsoplysninger er særlige kategorier (GDPR art. 9) og må kun behandles til det specifikke formål. Deling af en medarbejders sygemelding med kolleger uden saglig grund er i strid med loven.
Fejl 6 — Manglende oplysning om Datatilsynet. Politikken glemmer at oplyse om medarbejdernes ret til at klage til Datatilsynet ([email protected]). GDPR art. 13 kræver eksplicit oplysning om klageadgangen.
Fejl 7 — Aldrig opdateret. En persondatapolitik, der ikke er opdateret til at afspejle de aktuelle behandlingsaktiviteter og lovændringer, er ikke i overensstemmelse med GDPR's krav om gennemsigtighed og rigtighed.
Fejl 8 — Ingen DPA med databehandlere. Mange virksomheder benytter lønbureauer, HR-software eller IT-leverandører, der behandler medarbejderdata, uden at have indgået en skriftlig databehandleraftale (DPA), jf. GDPR art. 28. Manglende DPA er en hyppig overtrædelse, Datatilsynet konstaterer ved tilsyn.
Fejl 9 — Politikken er kun på dansk. I virksomheder med udenlandske medarbejdere bør persondatapolitikken oversættes til de relevante sprog (engelsk, polsk, rumænsk mv.), da oplysningspligten kræver, at medarbejderne faktisk kan forstå informationen. En politik, der ikke forstås, opfylder ikke GDPR's krav om transparent information.
Fejl 10 — Manglende sletningsprocedure. Mange virksomheder opbevarer medarbejderdata langt ud over det nødvendige uden en klar sletningsprocedure. En fratrådende medarbejders lønsedler opbevares korrekt i 5 år pga. bogføringsloven, men sundhedsoplysninger og evalueringsrapporter bør slettes langt hurtigere. Manglende sletning er en overtrædelse af opbevaringsbegrænsningsprincippet i GDPR art. 5, stk. 1, litra e, og kan give Datatilsynets opmærksomhed ved tilsyn.
Citér denne side
Henvis til denne gratis skabelon i en artikel, et pensum eller en forskningsnote:
Forms Legal. (2026). Persondatapolitik for medarbejdere (Danmark) [Legal document template]. Forms Legal. https://forms-legal.com/da/danmark/employment/hr-forms/persondatapolitik-medarbejder
"Persondatapolitik for medarbejdere (Danmark)." Forms Legal, 2026, https://forms-legal.com/da/danmark/employment/hr-forms/persondatapolitik-medarbejder.
@misc{formslegal-persondatapolitik-medarbejder,
author = {{Forms Legal}},
title = {Persondatapolitik for medarbejdere (Danmark)},
year = {2026},
howpublished = {\url{https://forms-legal.com/da/danmark/employment/hr-forms/persondatapolitik-medarbejder}},
note = {Free legal document template}
}Ofte stillede spørgsmål
Ja. GDPR art. 13 og databeskyttelsesloven (lov nr. 502/2018) pålægger arbejdsgiveren som dataansvarlig en oplysningspligt over for medarbejderne om behandlingen af deres personoplysninger. Oplysningerne skal gives ved indsamlingen og skal mindst indeholde: identiteten på den dataansvarlige, formålene og retsgrundlaget for behandlingen, eventuelle modtagere af oplysningerne, opbevaringsperioderne, og medarbejdernes rettigheder (indsigt, berigtigelse, sletning, portabilitet, indsigelse, klage til Datatilsynet). En skriftlig persondatapolitik er den mest hensigtsmæssige måde at opfylde denne pligt på. Manglende opfyldelse af oplysningspligten kan udløse påbud og bøder fra Datatilsynet.
Datatilsynet er den danske statslige tilsynsmyndighed for databeskyttelse og er oprettet i henhold til databeskyttelsesloven og GDPR. Datatilsynet fører tilsyn med, at myndigheder, virksomheder og øvrige dataansvarlige overholder databeskyttelsesreglerne, behandler klager fra registrerede, udsteder vejledninger og kan pålægge bøder, tvangsbøder og udstede påbud. Medarbejdere kan klage til Datatilsynet, hvis de mener, at deres personoplysninger behandles i strid med loven, fx manglende oplysning, ulovlig videregivelse, afslag på indsigt eller brud på fortrolighed. Datatilsynet har adresse på Carl Jacobsens Vej 35, 2500 Valby, og kan kontaktes via [email protected] eller datatilsynet.dk.
Arbejdsgiveren kan under visse betingelser overvåge medarbejdernes brug af virksomhedens IT-systemer, men overvågningen skal have et lovligt formål, et retsgrundlag og stå i et rimeligt forhold til formålet (proportionalitetsprincippet). Medarbejderne skal informeres om overvågningen og dens formål, jf. GDPR's oplysningspligt. Rutinemæssig gennemgang af private e-mails eller privat browsing-historik uden konkret begrundelse vil normalt ikke overholde GDPR's krav om proportionalitet og formålsbegrænsning. Overvågning af mistanke om misbrug kan i visse tilfælde være lovlig, men kræver en konkret vurdering og typisk HR's og eventuel AMO's involvering. Datatilsynets vejledning om medarbejderovervågning kan konsulteres på datatilsynet.dk.
Et brud på persondatasikkerheden skal anmeldes til Datatilsynet senest 72 timer efter, at arbejdsgiveren er blevet opmærksom på bruddet, hvis bruddet indebærer en risiko for de registreredes rettigheder og frihedsrettigheder (GDPR art. 33). Eksempler på brud er: utilsigtet videregivelse af medarbejderlønoplysninger, hackerangreb der kompromitterer HR-systemet, eller fortabelse af en bærbar computer med medarbejderdata. Hvis bruddet indebærer høj risiko for de registrerede, skal de berørte medarbejdere tillige underrettes direkte (GDPR art. 34). Alle brud bør dokumenteres internt, uanset om de anmeldes. En persondatapolitik med klare procedurer for brud hjælper virksomheden med at handle hurtigt og korrekt.
Ja. Medarbejdere har en vid indsigtsret i de personoplysninger, arbejdsgiveren behandler om dem, jf. GDPR art. 15. Retten til indsigt giver medarbejderen adgang til at få bekræftet, om der behandles oplysninger om vedkommende, og i givet fald at modtage en kopi. Arbejdsgiveren skal besvare en indsigtsanmodning uden unødig forsinkelse og senest inden 1 måned. Indsigtsretten kan kun begrænses i tilfælde, der er fastsat i loven, fx hensyn til andres rettigheder, igangværende politiefterforskning eller virksomhedens legitime interesser. Medarbejdere kan indgive en anmodning til den kontaktperson, der er angivet i persondatapolitikken, og eventuelt klage til Datatilsynet, hvis anmodningen ikke imødekommes.
Ja. CPR-nummer er en særlig kategori af personoplysninger i dansk ret og kræver en selvstændig hjemmel efter databeskyttelseslovens § 11. Hjemlen kan være: (1) lovpligtig behandling (fx skatteindberetning til Skattestyrelsen, lønudbetaling via NemKonto), (2) udtrykkelig samtykke fra medarbejderen, eller (3) overenskomstbestemmelse. CPR-numre i HR-systemet er i de fleste tilfælde lovlige, fordi de bruges til lønindberetning og skat, men virksomheden bør sikre, at CPR-nummeret kun er tilgængeligt for de medarbejdere, der har brug for det (fx HR og lønadministration), og at det opbevares sikkert og krypteret. CPR-nummer bør ikke inkluderes i e-mails, mødereferater eller andre dokumenter uden et konkret formål og en klar hjemmel.
En databehandleraftale (DPA) er en skriftlig aftale, som en virksomhed (den dataansvarlige) er forpligtet til at indgå med en leverandør (databehandleren), der behandler personoplysninger på vegne af virksomheden, jf. GDPR art. 28. Pligten til DPA gælder, uanset om leverandøren er dansk eller udenlandsk, og uanset om der er tale om en stor cloudleverandør eller et lille lokalt lønbureau. DPAen skal mindst indeholde: en beskrivelse af behandlingens formål og varighed, typen af personoplysninger der behandles, databehandlerens forpligtelser til at følge instrukser og opretholde sikkerhedsforanstaltninger, regler for brug af underdatabehandlere, og bestemmelser om sletning eller tilbagelevering af oplysninger ved aftalens udløb. Datatilsynet har udgivet en vejledende DPA-skabelon på datatilsynet.dk, som virksomheder kan tage udgangspunkt i. For HR-software og lønsystemer er en DPA obligatorisk, da disse leverandører typisk har adgang til lønoplysninger, CPR-numre og ansættelsesdata. Manglende DPA er en hyppig overtrædelse, som Datatilsynet regelmæssigt konstaterer ved tilsyn og tematiske undersøgelser.
Denne skabelon stilles kun til rådighed til informationsformål og udgør ikke juridisk rådgivning. Love varierer fra jurisdiktion til jurisdiktion og ændrer sig over tid. Kontakt en kvalificeret advokat for rådgivning, der er specifik for din situation.Fuld ansvarsfraskrivelse
Fandt du en fejl? Sig tilRelated Documents
You may also find these documents useful:
Personalehåndbog
Personalehåndbog, der samler virksomhedens ansættelses- og arbejdsvilkår, interne politikker, ferieregler og databeskyttelse i ét dokument. Et grundlag for en klar og konsistent personalepolitik i overensstemmelse med dansk ansættelsesret.
Ansættelseskontrakt for funktionær
Skriftlig ansættelseskontrakt for funktionærer omfattet af funktionærloven (LBK nr. 1002 af 24/08/2017) og ansættelsesbevisloven (lov nr. 501 af 11. maj 2023). Sikrer fuld løn under sygdom, opsigelsesvarsler efter § 2 og oplysningspligt om alle væsentlige vilkår.
Indsigtsbegæring efter GDPR Danmark
Skriftlig indsigtsbegæring efter databeskyttelsesforordningen (GDPR) art. 15 og databeskyttelsesloven (LOV nr. 502 af 23-05-2018). Dækker omfang, format, månedsfristen, gratis behandling og adgangen til at klage til Datatilsynet.
Databehandleraftale Danmark — GDPR art. 28 og databeskyttelsesloven
Databehandleraftale til Danmark efter GDPR art. 28 og databeskyttelsesloven (lov nr. 502/2018). Regulerer formål, sikkerhedsforanstaltninger, underdatabehandlere, 72-timers anmeldepligt og sletning. Gratis skabelon PDF/Word.