Intranettet og den nye GDPR

23-05-2018 Den nye europæiske persondatalov, GDPR, er gældende lige om lidt, fra d. 25. maj 2018. Mange er allerede gået i gang med at tjekke deres hjemmesider efter i sømmene, men husk, at også intranettet er underlagt de nye regler. Her er 7 ting at kigge efter på jeres eget intranet.

General Data Protection Regulation (GDPR), som er den nye databeskyttelsesforordning fra EU, er lige om hjørnet (25. maj 2018)Du kan få en generel introduktion til GDPR her, men hvad betyder det i forhold til intranettet? 

Først og fremmest er intranet ikke bare én ting, men strækker sig over alt fra ren en-vejs kommunikation i form af nyhedsvisning, til en samlet digital arbejdsplads med samarbejdsrum, dokumenthåndtering og lignende. Derfor er der et bredt spænd af scenarier, man bør overveje. 

Det korte af det lange er, at når det gælder persondatamå I kun have de informationer, som I har brug for og I må kun vise det til de personer, som reelt har brug for det. 
Men
 hvad er persondata? I bund og grund er det alt det, der kan relateres til en person – og ja, det gælder også arbejdstelefonnummeret, profilbilledet osv. 

Her er 7 punkter I skal være opmærksomme på: 

1. Portrætfotos

Portrætfotos af jeres medarbejdere på intranettet må I ikke vise, uden at den enkelte medarbejder aktivt har givet samtykke dertil. Det kan fx gøres gennem en tilføjelse til kontrakten eller ved et aktivt tilvalg i systemet. Det må altså ikke være hverken tvungent for medarbejderne eller implicit forventet. Hvis brugeren selv uploader billedet, kan det også betragtes som en accept, såfremt det er klart hvor og hvordan billedet bruges, og om det kun er synligt for interne medarbejdere.   

2. HR nyheder

Særligt HR nyheder skal I være forsigtige med. Problemet er, at denne type data ikke er nævnt eksplicit i GDPR som et godkendt formål. Det betyder, at I formentlig er nødt til at spørge jeres medarbejdere om tilladelse til, at I deler data om dem på intranettet. Det kan enten være som et tilvalg i deres personlige profil, eller som en tjekboks i ansættelseskontrakten. 

3. Sletteregler

I bør have en generel sletteregel på alle nyheder, da de kan indeholde person-relaterede oplysninger. Faktisk bør alle data have en sletteregel. Det vil sige, at indholdet automatisk slettes efter et givent tidsrum, og hvis forud definerede forhold er opfyldt. 

4. Indholdsstyring

I bør oprette styrede og adskilte rum til projekter, teams, afdelinger, emne-teams osv. så I kan styre hvor længe disse skal leve. Det er nemlig ikke længere i orden at gemme alle data til evig tid, men det ville være super ærgerligt at komme til at slette medarbejderhåndbogen, fordi I ikke havde styret, at den var mere langtidsholdbar end julefrokost-planlægningen fra 2012. 

5. Privacy Notice

Intranettet skal indgå i jeres Privacy Notice – dvs. I skal fortælle medarbejderne hvordan data derfra anvendes, og hvilke formål de spiller. Evt. kan det også bare være en mere generel kommentar som også dækker intranettet – men det skal under alle omstændigheder håndteres.

6. Slet gamle medarbejdere

I skal sikre at medarbejdere bliver fjernet fra platformen når de stopper hos jer – både som brugere, der ikke længere skal have adgang, men også som individer, der måske ikke længere vil have deres data delt. Det betyder, at alle lister med medarbejdere, CV-databaser osv. skal tjekkes for indhold om medarbejderen. Det gøres selvfølgelig bedst ved at I laver en samlet off-boarding proces, hvor fjernelse af de data står nævnt.

7. Respektér ønsket om privatliv

I skal respektere og overholde tidligere og nuværende medarbejderes ønsker om privatliv. Hvis medarbejderen beder om at få sine data fjernet, skal ønsket respekteres, med mindre I kan argumentere for, at I har brug for dem til noget forretningskritisk, som opvejer medarbejderens ret til privatliv. Vi fortolker det sådan, at det vil være ok at gemme hvem der har rettet et dokument, så længe dokumentet overhovedet har nogen relevans, hvorimod indhold om en person konkret skal vurderes i henhold til behovets udløb (fx bogføringslov eller lignende).

 

Ovenstående er langt fra en udtømmende liste over forhold I bør overveje. Der er masser af andre scenarier, men specielt scenarierne omkring billeder vil nok give en del af jer grå hår. 

Vær opmærksom på, at vi ikke tager juridisk ansvar for ovenstående, da der kan være unikke omstændigheder i den enkelte organisation, som spiller ind. Se det blot som en rettesnor, der viser, at intranettet ikke kan ignoreres i persondata-sammenhæng. 

Hvis I vil have rådgivning om, hvordan GDPR påvirker lige præcis jer, så kontakt os på info@proactive.dk