Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Anmeldelse af behandlingen "Personaleadministration"

Hvornår er der anmeldelsespligt?

I forbindelse med offentlige myndigheders personaleadministration kan det være nødvendigt at behandle fortrolige og følsomme oplysninger.

Der kan f.eks. ske behandling af følsomme oplysninger, hvis der ved ansættelser indhentes en privat eller udvidet straffeattest, eller hvis der regelmæssigt registreres oplysninger om helbredsforhold, f.eks. ved ansættelser på særlige vilkår.

Behandling af følsomme oplysninger kan også vedrøre det, der i persondataloven kaldes oplysninger om andre rent private forhold. I Datatilsynets praksis er det fastlagt, at dette eksempelvis kan være resultatet af personlighedstests eller oplysninger om, at en medarbejder er bortvist. Udtalelser og bedømmelser af de ansatte samt disciplinære foranstaltninger vil typisk være oplysninger af fortrolig karakter.

Når der behandles fortrolige eller følsomme oplysninger, skal der som udgangspunkt ske anmeldelse til Datatilsynet. Tilsynet skal i en række tilfælde afgive udtalelse, inden behandlingen iværksættes. For at gøre arbejdet lettere for myndighederne har Datatilsynet udarbejdet en standard, som kan bruges som kladde for anmeldelse af personaleadministration.

Datatilsynets kladde til offentlige myndigheders anmeldelse af personaleadministration.

Vær opmærksom på, at der i visse tilfælde ikke skal ske anmeldelse, selv om der behandles fortrolige oplysninger:

  • I bekendtgørelse om undtagelser fra pligten til anmeldelse i den offentlige forvaltning (undtagelsesbekendtgørelsen) er der fastsat en række undtagelser til anmeldelsespligten.
  • Vedrørende personaleadministration er det i § 10 fastsat, at der uden anmeldelse kan behandles oplysninger om sygefravær og sygdomsperioder, oplysninger om begrundelsen for andet fravær fra arbejdet, pensionsforhold, kildeskatteoplysninger, oplysninger om kontonummer, hvortil løn skal anvises, lønindeholdelse (bortset fra oplysninger om begrundelsen for indeholdelsen) og oplysninger om fratrædelsesgrund.
  • Indhentelse af såkaldte børneattester er undtaget fra anmeldelsespligten, jf. § 4 i lov om indhentelse af børneattest i forbindelse med ansættelse af personale m.v.

Bemærk, at der for kommuner er udarbejdet såkaldte fællesanmeldelser, der kan benyttes. Der vil også blive udarbejdet fællesanmeldelser til politiet.

Hvis man ikke er en offentlig myndighed, men en privat virksomhed, er det en anden blanket, der skal anvendes.

Hvordan indsender man en anmeldelse?

Offentlige myndigheders anmeldelser modtager Datatilsynet efter eDag2 som udgangspunkt kun i elektronisk form.

Når man anmelder elektronisk, kan Datatilsynets kladde overføres til myndighedens anmeldelse, så man blot skal tilrette de felter, hvor tilsynet har skrevet "feltet udfyldes individuelt" og/eller hvor anmeldelsen skal have et andet indhold end kladden. Det er myndighedens ansvar, at anmeldelsen svarer til de behandlinger, som foretages.

Vedrørende kladdens punkt om sikkerhed (punkt 7) bemærkes det, at der altid skal svares "ja" til de to spørgsmål om overholdelse af sikkerhedsbekendtgørelsen. Alle sikkerhedsbekendtgørelsens regler gælder således, når myndigheder foretager elektronisk behandling af fortrolige eller følsomme oplysninger, som er omfattet af anmeldelsespligten. Sikkerhedsbekendtgørelsen indeholder bl.a. regler om autorisation af medarbejdere og maskinel registrering (logning) af anvendelser af personoplysninger.

Datatilsynet skal for god ordens skyld understrege, at anmeldelsen ikke er afgørende for de materielle betingelser for behandling af oplysninger. Selv om en behandling – f.eks. en videregivelse – er beskrevet i en anmeldelse, skal persondatalovens eller en eventuel særlovs betingelser være opfyldt for hver enkelt behandling, der foretages. Det forhold, at Datatilsynet ikke har bemærkninger til de i anmeldelsen beskrevne videregivelser, kan således ikke tages som udtryk for, at tilsynet har vurderet, at videregivelserne i alle tilfælde vil være i overensstemmelse med persondatalovens regler. Det er den dataansvarlige myndighed, som har ansvaret for denne vurdering.

Gå direkte til Datatilsynets kladde med henblik på udfyldelse.

Når kladden er kaldt frem, er det nemmest at vælge Genbrug hele blanketten som kladde.

Hvad sker der, når Datatilsynet har modtaget anmeldelsen?

Når en anmeldelse er modtaget hos Datatilsynet, vil der blive sendt en kvittering til den e-postadresse, der er anført i anmeldelsen. I kvitteringen er angivet en internetadresse og et password, så myndigheden kan rette anmeldelsen via internet. Man skal ikke foretage rettelser, før man har hørt fra Datatilsynet. Hvis der viser sig behov for yderligere oplysninger, eller hvis der skal ændres i anmeldelsen, vil Datatilsynet kontakte myndigheden.

Når Datatilsynet har færdigbehandlet anmeldelsen, sender tilsynet en udtalelse til myndigheden. Herefter vil anmeldelsen blive offentliggjort i fortegnelsen over anmeldte behandlinger. Fortegnelsen findes på tilsynets hjemmeside. Klik her for at gå til fortegnelsen over anmeldte behandlinger.

Hvor længe må elektroniske personalesager gemmes?

Datatilsynet bliver ofte mødt med spørgsmålet om, hvor længe oplysninger i personalesager må gemmes, efter at medarbejderen er fratrådt.

Behandling af personoplysninger skal ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5. Dette indebærer bl.a., at der skal være et specifikt sagligt formål med den fortsatte opbevaring af oplysninger.

De indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Det er ikke muligt generelt at beskrive, hvor længe opbevaring af identificerbare oplysninger kan ske. Det må afgøres i den enkelte situation. Den dataansvarlige kan dog i medfør af anden lovgivning være forpligtet til at opbevare visse oplysninger i en længere periode.

Den dataansvarlige må således overveje, hvilket behov der konkret er hos den pågældende myndighed for at gemme oplysninger efter medarbejderens fratræden. Eksempler på forhold, der kan inddrages i denne sammenhæng, er verserende arbejdsskadesager, uafsluttede retssager eller arbejdsretlige tvister mellem medarbejderen og myndigheden, pensionsforpligtelser, dagpengerefusion og udbetaling af tilgodehavender. Det kan også indgå i overvejelserne, i hvilket omfang oplysningerne overføres til arkiv efter reglerne på dette område og således vil kunne indhentes derfra, hvis det viser sig nødvendigt.

Den dataansvarlige må ud fra sådanne forhold overveje, hvor længe det generelt vil være nødvendigt for myndigheden at gemme oplysningerne.

I Datatilsynets kladde til offentlige myndigheders anmeldelse af personaleadministration har tilsynet foreslået en sletningsfrist på maksimalt 20 år for personalesager.

Fristen regnes først fra afslutningen af den journalperiode, hvor personalesagen er afsluttet.

Det anførte indebærer også, at der efter persondatalovens regler ikke er grundlag for at slette oplysninger fra personalesager, før medarbejderen er fratrådt. Datatilsynet har således i praksis lagt til grund, at hensynet til at kunne opbevare dokumentation for historikken i en personalesag må anses for et sagligt formål i personaleadministrativ sammenhæng.