Som arbetsgivare är det viktigt att lagra dina anställdas data ordentligt. Därvid är du skyldig att föra personalregister över anställdas personuppgifter. Vid lagring av sådana uppgifter ska integritetslagen General Data Protection Regulation (AVG) och Implementation Act General Data Protection Regulation (UAVG) beaktas. AVG ålägger arbetsgivaren skyldigheter i samband med behandling av personuppgifter. Genom denna checklista kommer du att veta om dina personalhandlingar uppfyller kraven.
- Vilka uppgifter får behandlas i en personalakt?
Huvudregeln som följs är att endast uppgifter som är nödvändiga för ändamålet med personalakten får ingå: korrekt fullgörande av anställningsavtalet med arbetstagaren.
I alla fall kommer "vanliga" personuppgifter att bevaras såsom:
- Namn;
- Adress;
- Födelsedatum;
- Kopia av pass/id-kort;
- BSN-nummer
- Undertecknat anställningsavtal inklusive anställningsvillkor och bilagor;
- Anställdas prestations- och utvecklingsdata, såsom utvärderingsrapporter.
Arbetsgivare kan välja att utöka personalakten till att inkludera andra uppgifter såsom personliga anteckningar om arbetsgivaren, en registrering av frånvaro, klagomål, varningar, register över intervjuer etcetera.
Som arbetsgivare är det viktigt att uppdatera dessa uppgifter regelbundet för att eftersträva riktighet och noggrannhet i förhållande till lagliga lagringstider.
- När får "vanliga" personuppgifter behandlas i en personalakt?
En arbetsgivare ska överväga när och vilka ”vanliga” personuppgifter som får lagras i personalakten. Enligt artikel 6 AVG kan arbetsgivare lagra "vanliga" personuppgifter i personalakten av sex skäl. Dessa skäl inkluderar:
- Arbetstagaren har gett sitt samtycke till behandlingen;
- Behandling är nödvändig för verkställande av anställningsavtal;
- Behandlingen är nödvändig på grund av en rättslig skyldighet som åligger arbetsgivaren (såsom att betala skatter och avgifter);
- Behandlingen är nödvändig för att skydda den anställdes eller en annan fysisk persons vitala intressen (ett exempel är när akut fara är överhängande men den anställde är mentalt oförmögen att ge samtycke);
- Behandlingen är nödvändig för allmänt intresse/allmän ordning;
- Behandlingen är nödvändig för att tillgodose arbetsgivarens eller tredje parts legitima intressen (förutom när arbetstagarens intressen väger tyngre än arbetsgivarens legitima intressen).
- Vilka uppgifter ska inte behandlas i en personalakt?
Förutom de "normala" uppgifterna som ingår i filen, finns det även data som (normalt) inte bör inkluderas eftersom de är särskilt känsliga till sin natur. Dessa är de "särskilda" uppgifterna och inkluderar:
- övertygelser;
- Sexuell läggning;
- Ras eller etnicitet;
- Medicinska data (inklusive när den tillhandahålls frivilligt av anställd).
"Special" data får endast lagras under AVG i 10 undantag. De tre huvudsakliga undantagen är följande:
- Arbetstagaren har gett uttryckligt samtycke till behandlingen;
- Du behandlar personuppgifter som den anställde själv avsiktligt har lämnat ut;
- Behandlingen är nödvändig för ett övervägande allmänintresse (en holländsk rättslig grund krävs för att åberopa detta).
- Säkerhetsåtgärder för personalarkiv
Vem får se personalakten?
Personalakten får endast ses av personer för vilka tillgång är nödvändig för att utföra arbete. Dessa personer inkluderar till exempel arbetsgivaren och anställda på HR-avdelningen. Arbetstagaren har även själv rätt att ta del av sin personalakt och ändra felaktiga uppgifter.
Säkerhetskrav för filen
Utöver detta är det viktigt att ta hänsyn till att AVG ställer krav på digital eller papperslagring av personalfiler. Som arbetsgivare är du skyldig att vidta åtgärder för att skydda anställdas integritet. Filen måste därför skyddas mot cyberbrottslighet, obehörig åtkomst, ändring eller radering.
- Bevarandetid för personalen
AVG anger att personuppgifter kan sparas under en begränsad period. Vissa uppgifter är föremål för en lagstadgad lagringstid. För andra uppgifter är arbetsgivaren skyldig att sätta tidsgränser för radering eller periodisk granskning av uppgifternas riktighet. AVG anger att rimliga åtgärder måste vidtas för att säkerställa att felaktiga uppgifter sparas.
Vill du veta mer om lagringstider för personalen? Läs då vår blogg lagringsperioder för anställdas arkiv.
Uppfyller din personalakt de krav som anges ovan? Då är chansen stor att den är AVG-kompatibel.
Om du efter att ha läst den här bloggen fortfarande har frågor om en personalfil eller om AVG, vänligen kontakta oss. Vår anställningsadvokater hjälper dig gärna!