Udgivet i Arbejde og Karriereliv

Hvad betyder GDPR for HR og persondata?

Af Hvadbetyder.dk

GDPR er ikke bare paragrafrytteri for juridiske feinschmeckere. For HR-afdelingen er persondataforordningen selve fundamentet for, hvordan vi ansætter, udvikler og afvikler medarbejdere - fra første CV lander i indbakken, til den sidste lønseddel er bogført. Én fejl kan koste millionbøder, skabe dårlig presse og - værst af alt - underminere tilliden fra dem, det hele handler om: menneskerne i organisationen.

Alligevel er GDPR ofte pakket ind i teknisk jura, der kan få selv garvede HR-folk til at opgive på forhånd. Derfor stiller vi i denne guide skarpt på hvad reglerne rent faktisk betyder i praksis for dig, der arbejder med menneskelig kapital:

  • Hvilket behandlingsgrundlag må du læne dig op ad gennem medarbejderens livscyklus - og hvornår er samtykke ikke nok?
  • Hvordan indfrier du de voksende forventninger til indsigt, dataportabilitet og “retten til at blive glemt” uden at lamme driften?
  • Hvilke sikkerhedsforanstaltninger er must-have i HR-systemer, og hvor længe må du egentlig gemme gamle ansøgninger?
  • Hvordan håndterer du svære scenarier som sociale medietjek, kameraovervågning eller brug af AI og psykometriske tests - uden at overtræde reglerne?

I artiklen dykker vi ned i konkrete eksempler, tjeklister og quick-wins, så du kan omsætte GDPR fra tung lovtekst til daglig, håndgribelig HR-compliance. Klar til at få styr på persondata og beskytte både medarbejdere og bundlinje? Lad os begynde!

Lovlige behandlingsgrundlag gennem medarbejderens livscyklus

GDPR kræver, at HR kan pege på et lovligt behandlingsgrundlag for hver enkelt behandling af personoplysninger gennem hele medarbejderens ansættelses­forløb. Nedenfor får du et praktisk overblik over de typiske HR-processer, hvilke typer data der indsamles, samt hvilke behandlingsgrundlag der oftest er relevante.

1. Livscyklus og relevante behandlingsgrundlag

HR-proces Eksempler på data Primært behandlingsgrundlag Bemærkninger
Rekruttering CV, ansøgning, testresultater, referencer, evt. foto/video Legitim interesse (art. 6(1)(f))
Samtykke (begrænset)		 Balancetest skal dokumenteres. Samtykke kun til frivillige elementer (fx gemme ansøgning til fremtidige stillinger).
Onboarding CPR-nr., bankoplysninger, kontaktoplysninger på pårørende Kontrakt (art. 6(1)(b))
Retlig forpligtelse (art. 6(1)(c))		 CPR behandles efter databeskyttelsesloven § 11. Oplysninger til SKAT/ATP er lovkrav.
Løn & personale­administration Lønsedler, skatteoplysninger, pensions­data Retlig forpligtelse
Kontrakt		 Opbevaringspligt efter bogføringsloven (5 år) - skal fremgå af slettepolitik.
Performance & udvikling MUS-noter, målopfyldelse, uddannelses­historik Legitim interesse Vis proportionalitet: undgå irrelevante noter og gem ikke længere end nødvendigt.
Sygefravær & arbejdsmiljø Sundhedsoplysninger, fraværsårsag, arbejdsskader Særlige kategorier art. 9(2)(b) + arbejdsret
Retlig forpligtelse		 Kun nødvendige helbredsdata. Adgang kun for “need-to-know”.
Fratrædelse Opsigelsesbrev, fratrædelses­aftale, referencer Kontrakt
Legitim interesse		 Vurder om opbevaring af persondata efter fratrædelse er nødvendig (fx til afgørelse af retskrav - 5 års forældelse).

2. Vælg det rigtige grundlag - Sådan gør du

  1. Kontrakt (art. 6(1)(b))
    Bruges når behandlingen er nødvendig for at opfylde ansættelseskontrakten - fx udbetaling af løn, planlægning af arbejdstid. Dokumentér sammenhængen i fortegnelsen.
  2. Retlig forpligtelse (art. 6(1)(c))
    Dækker lovkrav til arbejdsgiver (skattelovgivning, arbejdsmiljø, ligebehandlings­statistik m.m.). Angiv den konkrete lovhjemmel i nødvendighedsvurderingen.
  3. Legitime interesser (art. 6(1)(f))
    Balancetest skal laves skriftligt og vise, at virksomhedens interesser (fx at finde den bedste kandidat eller forebygge svig) vejer tungere end den registreredes forventninger og rettigheder.
  4. Samtykke (art. 6(1)(a))
    Undgå som hovedregel i ansættelsesforhold pga. magtforholdet. Kan dog være passende til:
    • Brug af medarbejderfoto i ekstern markedsføring
    • Opbevaring af ansøgerdata til fremtidige stillinger (max 6 mdr., med mulighed for fornyet samtykke)
    Husk, at samtykke skal være frivilligt, informeret, specifikt og kan trækkes tilbage til enhver tid.

3. Særlige kategorier og oplysninger om strafbare forhold

  • Sundhedsdata, race, religion, fagforening m.v. (art. 9)
    Må kun behandles, hvis ét af undtagelserne i art. 9(2) er opfyldt. HR anvender oftest:
    • Art. 9(2)(b): Nødvendig for at overholde arbejds-, social- og sundhedsretlige forpligtelser
    • Art. 9(2)(h): Sundhedsbehandling (fx adgang til bedriftslæge)
  • Oplysninger om strafbare forhold (art. 10 + databeskyttelsesloven § 8)
    Kræver lovhjemmel eller udtrykkeligt samtykke. Typisk kun tilladt ved lovpligtige børne- eller straffeattester.

4. Dokumentation i fortegnelser og nødvendighedsvurderinger

Datatilsynet forventer, at HR kan demonstrere compliance:

  1. Opfør enhver HR-proces i virksomhedens fortegnelse over behandlingsaktiviteter (art. 30).
  2. Tilføj en kort nødvendighedsvurdering:
    • Formål med behandlingen
    • Hvilke data behandles?
    • Hvorfor er disse data nødvendige og proportionale?
  3. Ved legitim interesse: gem balancetesten sammen med fortegnelsen.
  4. Angiv opbevaringsperioder og oprydnings­trigger (fx 5 år + indeværende, eller “slette 12 mdr. efter seneste aktivitet”).

Ved at kortlægge behandlingsgrundlagene tidligt - helst allerede i en data­flow-workshop - kan HR-afdelingen sikre sig, at alle persondata har en tydelig hjemmel, at unødvendige data frasorteres og at grundlagene kan dokumenteres, hvis Datatilsynet banker på.

Medarbejderrettigheder og HR’s oplysningspligt

Når en arbejdsplads behandler personoplysninger om ansøgere og medarbejdere, udløser det en række rettigheder for den registrerede - og en tilsvarende oplysnings- og handlepligt for HR. Nedenfor gennemgår vi de vigtigste krav, så I kan sikre jer, at processen er både gennemsigtig og compliant.

Medarbejderens rettigheder

  1. Indsigt (art. 15)
    Ansatte og ansøgere kan få kopi af alle data, formål, kategorier, modtagere, opbevaringsperioder m.v. HR skal svare inden 1 måned (kan forlænges 2 måneder ved kompleksitet).
  2. Berigtigelse (art. 16)
    Urigtige eller ufuldstændige oplysninger skal rettes uden unødig forsinkelse. Husk at informere eventuelle databehandlere.
  3. Sletning (“retten til at blive glemt”, art. 17)
    Gælder, når …
    • oplysninger ikke længere er nødvendige,
    • samtykket trækkes tilbage,
    • der gøres indsigelse mod behandling baseret på legitim interesse, eller
    • behandlingen er ulovlig.
    Undtagelser: lovkrav (f.eks. bogføringsloven) og retskrav.
  4. Begrænsning (art. 18)
    Data “fryses”, så de kun må opbevares - ikke anvendes - mens uenigheder undersøges.
  5. Dataportabilitet (art. 20)
    Relevante, strukturerede personoplysninger leveres i et almindeligt anvendt, maskinlæsbart format (typisk CSV eller XML). Gælder kun behandling baseret på samtykke eller kontrakt.
  6. Indsigelse (art. 21)
    Medarbejderen kan modsætte sig behandling baseret på legitime interesser eller offentlige opgaver samt al direkte markedsføring. HR skal dokumentere tungtvejende grunde for at fortsætte.
  7. Retten til ikke at være genstand for automatiserede afgørelser (art. 22)
    Ved fuldautomatiske afgørelser, som har væsentlig indvirkning (fx automatisk frasortering i rekruttering), skal der tilbydes menneskelig indgriben, mulighed for at anfægte beslutningen og krav om at give en forståelig forklaring.
  8. Retten til at klage
    HR skal oplyse om retten til at klage til Datatilsynet og om muligheden for søgsmål.

Hr’s oplysningspligt (art. 13-14)

Hvornår?FristHvad skal oplyses?
Indsamling direkte fra ansøger/medarbejder (fx ansøgning, kontrakt, onboarding-formularer) Senest ved indsamling Identitet på dataansvarlig, formål, retsgrundlag, legitime interesser, modtagere, evt. tredjelande, opbevaringsperiode, rettigheder, klageadgang, kilde til data (ved ikke-obligatoriske felter) og autom. afgørelser.
Indsamling indirekte (fx referencer, baggrundstjek, sociale medier) Inden for 1 måned - eller senest første kommunikation / afsløring af data Samme punkter som ovenfor plus kildeangivelse.

Tip: Udarbejd separate privatlivspolitikker til hhv. ansøgere og medarbejdere, og hav et “just-in-time notice” ved overvågning (fx skiltning ved kameraer).

Gennemsigtighed ved overvågning og tracking

  • CCTV, adgangskort, GPS, e-mail-/IT-logning og biometriske tidsregistreringer kræver klar meddelelse om formål, opbevaring og rettigheder - ofte via skiltning og intranet.
  • HR skal kunne dokumentere proportionalitet (balancetest) og sikre adgangsbegrænsninger.
  • Ved kontinuerlig overvågning skal der foretages DPIA, hvis risikoen er høj.

Håndtering af anmodninger

  1. Bekræft modtagelse inden for få dage og verificér identitet, hvis nødvendigt.
  2. Fastsæt en 1-måneders tidslinje (kan forlænges 2 måneder).
  3. Vurder undtagelser (fx kollektive forhandlinger, forretningshemmeligheder eller andres rettigheder).
  4. Notér svaret i et anmodningsregister og vedligehold beviser på overholdelse.

Profilering og automatiserede afgørelser

  • Profilering er enhver form for automatisk behandling, der evaluerer personlige aspekter (performance, præferencer, helbred m.v.).
  • Der skal gives specifik information om logikken, betydningen og de forventede konsekvenser.
  • Ved fuldautomatiske afgørelser med væsentlig effekt (fx AI-screening af ansøgere) kræves:
    • Behandlingsgrundlag: samtykke eller kontrakt.
    • Menneskelig indgriben og mulighed for at udtrykke egne synspunkter.
    • DPIA, hvis høj risiko.

Konklusion: En gennemtænkt rettigheds- og oplysningsproces er ikke blot et GDPR-krav - det bygger også tillid hos nuværende og kommende medarbejdere. Sørg for klare politikker, faste procedurer og løbende træning, så HR kan reagere korrekt og rettidigt hver eneste gang.

Sikkerhed, dataminimering, opbevaring og sletning i praksis

GDPR kræver, at HR både planlægger og dokumenterer passende sikkerhedsforanstaltninger. Nedenfor er de mest centrale for HR-data:

  1. Adgangsstyring & least privilege - HR-systemer bør segmenteres, så kun relevante roller (HR, løn, ledere) har adgang. Brug role-based access control (RBAC) og regelmæssig access-review hvert kvartal.
  2. Kryptering - Beskyttelse af såvel data i transit (TLS/SSL) som i hvile (disk- og databasekryptering). Personnummer, helbredsoplysninger og fagforeningsdata bør krypteres felt-for-felt.
  3. MFA (Multi-Factor Authentication) - Aktiveres altid for HR- og lønsystemer, fjernadgang samt cloud-tjenester, inkl. Office 365/Google Workspace.
  4. Logning & revisionsspor - Log alle læse-, ændrings- og eksporthændelser. Gem logfiler separat og begræns adgang. Brug alarmer på masseeksport eller usædvanlig aktivitet.
  5. Hjemmearbejde & BYOD - Krypterede harddiske, VPN, skærmlås, MDM-løsning til mobile enheder og klar politik for lokale print/notesblokke.
  6. Leverandør- og databehandlerstyring
    • Lav due diligence, herunder spørgeskema, SOC-rapporter eller ISO-certifikat.
    • Indgå databehandleraftale (DPA) med klare instrukser om underdatabehandlere, underretning ved databrud og slettefrister.

2. Dataminimering og formålsbegrænsning

Indsamle kun de oplysninger, der objektivt er nødvendige til et givent HR-formål:

  • Ansøgningsskemaer: Udelad CPR-nummer, køn, alder og billede medmindre det er juridisk påkrævet.
  • Onboarding: Indhent bankoplysninger og skattekort først når kontrakten er underskrevet, ikke allerede under samtaler.
  • Performance- og trivselsmålinger: Pseudonymiser resultater, hvis analyser ikke kræver personhenførbarhed.
  • Systemdesign: Skjul felter i bruger-UI (role masking) og indfør automatisk sletning/arkivering af bilag.

3. Opbevaringsfrister og slettepolitikker

HR-kategoriTypisk fristRetsgrundlag
Ansøgninger (afviste)6 mdr. efter afslag (med kandidataccept op til 12 mdr.)Legitim interesse
Kontrakt & lønoplysninger5 år + indeværende regnskabsårBogføringsloven
APV, arbejdsmiljø & ulykker5 år (skader kan kræve længere)Retlig forpligtelse
Disciplinærsager2-3 år efter afslutningLegitim interesse
Fratrædelsesbrev m.v.3 år (forældelsesloven)Legitim interesse

Backups: Slettepolitikken skal også omfatte backup-sæt. Implementér “legal delete” - markerede data fjernes ved over-skrivning af næste cyklus (typisk 30-90 dage).

4. Fortegnelser og nødvendighedsdokumentation

HR-afdelingen skal have et artikel 30-fortegnelse, hvor hver behandlingsaktivitet beskriver formål, datatyper, modtagere, tekniske og organisatoriske foranstaltninger, frister og overførsler. Tilføj gerne link til sletteplan og balancetest.

5. Databrudshåndtering

  1. Identificér & begræns - Afbryd uhensigtsmæssig adgang, behold logs.
  2. Analyse - Dokumentér fakta, kategorier af berørte ansatte og risikoniveau.
  3. Anmeldelse inden 72 timer til Datatilsynet hvis bruddet kan medføre risiko for de ansattes rettigheder.
  4. Underret de ansatte hvis “høj risiko” (f.eks. læk af CPR-nummer eller helbredsdata).
  5. Lær & forebyg - Opdater politikker og udfør awareness-træning.

6. Tredjelands-overførsler

  • SCC (Standard Contractual Clauses): Bruges til USA-baserede HR-systemer eller supportleverandører.
  • TIA (Transfer Impact Assessment): Dokumentér risikoen ved modtagerlandets lovgivning og tekniske beskyttelser (f.eks. kryptering med kundestyret nøgle).
  • Supplemental measures: Pseudonymisering, split-oplagring eller gateway-løsning.

7. Praktiske trin for hr-teams

  1. Etabler sikkerhedspolitik og rollebeskrivelser.
  2. Integrér sletteplanen i HR-systemerne (automatiske job).
  3. Lav halvårlig gennemgang af fortegnelser og adgangsrettigheder.
  4. Test databruds-beredskabet med tabletop-øvelser.
  5. Indsaml databehandleraftaler og SCC’er i ét centralt register.

Ved at kombinere disse tekniske og organisatoriske greb sikrer HR-funktionen, at medarbejdernes persondata beskyttes i praksis - ikke kun på papiret.

Særlige HR-scenarier og praktisk compliance-roadmap

Scenarie Hvad må du? Hvad skal du huske? Gode praksisser
Referencer & baggrundstjek Indhente oplysninger hos tidligere arbejdsgivere, uddannelsessteder, straffeattest mv.
  • Behandlingsgrundlag: Legitim interesse (balancetest) eller kontraktforpligtelse.
  • Særlige kategorier kræver arbejdsretlig forpligtelse eller lovkrav.
  • Indhent kun efter samtykke fra kandidaten, hvis lovkrav mangler.
  • Notér kilde, formål og sletningsfrist i fortegnelsen.
Sociale medier Tjekke offentlige profiler (LinkedIn, Facebook, Instagram).
  • Må kun se offentligt tilgængelige data.
  • Undgå følsomme oplysninger (religion, helbred osv.).
  • Dokumentér proces og kriterier.
  • Informér kandidaten i privatlivspolitikken.
Video­interviews/optagelser Optage jobsamtaler eller præsentationsvideoer.
  • Klar information om formål, lagringstid og adgang.
  • Visuel og auditiv biometrisk data = særlige kategorier ved automatisk identifikation.
  • Opbevar krypteret, slet efter endt rekrutteringsforløb.
  • Overvej DPIA ved brug af AI-analyse på video.
Psykometriske tests Personligheds- og færdighedstests.
  • Behandlingsgrundlag: Legitim interesse (balancetest) eller kontrakt.
  • Automatiserede afgørelser kræver menneskelig indgriben.
  • Oplys om testens metode, scoringsmodel og datalagring.
  • Indhent kun relevante datapunkter → dataminimering.
Kamera­overvågning & IT/e-mail-logning Drifts- og sikkerhedsformål.
  • Særskilt skiltning og privatlivspolitik.
  • Balancetest & proportionalitet (arbejdsgiverens kontrolpligt versus medarbejdernes privatliv).
  • Begræns visning/adgang til få betroede personer.
  • Slet video efter 30 dage, logfiler efter 6-12 mdr. med mindre længere opbevaring er nødvendig.
Tidsregistrering / GPS Sporing af kørsel, timeregistrering, ruteoptimering.
  • Kun aktiv sporing i arbejdstid.
  • Giver ofte høj risiko → DPIA anbefalet.
  • Tydelige retningslinjer om hvornår sporing er slået til/fra.
  • Slet detaljerede koordinater efter fx 90 dage - behold kun aggregerede data.
Whistleblower-ordning Anonym indberetning af forseelser.
  • Overvåges af eksternt eller internt uafhængigt team.
  • Håndtering af særlige kategorier og strafbare forhold.
  • Databehandleraftale med leverandør.
  • Sletning 2 år efter afsluttet sag jf. bekendtgørelse.
Opbevaring af ansøgerdata Beholde CV’er i talentbank.
  • Kræver samtykke (maks. 6 mdr. uden samtykke).
  • Ret til tilbagetrækning.
  • Automatisk sletteworkflow.
  • Sender påmindelse om fornyet samtykke inden udløb.
Brug af AI i HR Screening, matching, prædiktion af performance.
  • Transparens: Forklar formål, algoritmens logik og betydning.
  • Overhold AI-forordningen (når vedtaget) + krav om menneskelig indgriben.
  • Test for bias og diskrimination.
  • DPIA + eventuel eksternt audit af modellen.

Praktisk compliance-roadmap i 8 trin

  1. Dataflow-kortlægning
    Identificér alle HR-systemer, Excel-ark, papirmapper og integrationer. Tegn et simpelt diagram (kan gøres i Visio, Lucidchart eller bare på whiteboard).
  2. Gap-analyse
    Sammenlign nuværende praksis med GDPR-krav og virksomhedens risikotolerance. Prioritér huller efter konsekvens og sandsynlighed.
  3. DPIA ved høj risiko
    Udfør en konsekvens- og risikovurdering for GPS-sporing, kameraovervågning, AI-screening osv. Involver Datatilsynet hvis tvivl om rest-risiko.
  4. Politikker & instrukser
    Opdatér eller udarbejd:
    • Privatlivspolitik for medarbejdere & ansøgere
    • IT- og overvågningspolitik
    • Slette- og opbevaringspolitik
    • Databrudshåndbog
    • Databehandlerinstrukser
  5. Træning & awareness
    Micro-learning, e-learning og on-boarding-sessioner for HR, ledere og IT. Brug case-baseret undervisning (f.eks. “Må jeg tjekke kandidatens Facebook?”).
  6. Implementér årshjul & audit
    Planlæg faste kontroller: log-review, slettekørsler, kontraktgenforhandling med databehandlere, øvelse af databrud-beredskab.
  7. KPI’er & reporting
    Mål fx antal rettighedsanmodninger, gennemsnitlig svartid, andel gennemførte awareness-kurser, antal overskredne opbevaringsfrister.
  8. Opdatering & forbedring
    Brug KPI’er og audit-fund til løbende at opdatere politikker, processer og tekniske kontroller. Documentér alt - noter er billigere end bøder.

Nyttige skabeloner (download-checkliste)

  • Privatlivspolitik (ansøgere & medarbejdere) - inkl. video- og AI-behandling
  • Sletteplan - HR-specifikke frister & automatiske job i HR-systemet
  • Databehandleraftale + instruks - med annex om sub-processorer og logningskrav
  • DPIA-skema - standardiseret 10-trins-template
  • Balancetest-skabelon - én side per behandlingsaktivitet

Ved at kombinere scenarie-best practice med det trinvise roadmap kan HR-afdelingen demonstrere “accountability”, minimere risikoen for bøder og styrke medarbejdernes tillid.