Kernestof

Kurset giver en samlet gennemgang af databeskyttelsesreglernes betydning i ansættelsesforhold med fokus på private arbejdsgivere. Undervisningen kobler GDPR og dansk databeskyttelseslov til HR-praksis før, under og efter ansættelsen. Deltagerne arbejder med konkrete situationer, hvor juridiske krav skal omsættes til robuste procedurer. Der lægges vægt på lovlige, nødvendige og gennemsigtige løsninger.

Der arbejdes med centrale behandlingsgrundlag, herunder legitim interesse, retlig forpligtelse, kontraktopfyldelse og faldgruber ved samtykke i ansættelsesforhold. Kurset belyser dataminimering, opbevaringspolitik, slettefrister og dokumentationskrav, herunder fortegnelser og rollefordeling mellem dataansvarlig, fælles dataansvar og databehandler. Der arbejdes hands-on med at vælge og dokumentere det rette grundlag i typiske HR-processer.

Rekruttering behandles særskilt: indhentning af ansøgeroplysninger, referencer, brug af straffeattest og håndtering af følsomme oplysninger som helbredsdata og fagforeningsforhold. Deltagerne får redskaber til at formulere klare informationsmeddelelser, vurdere proportionalitet og fastlægge opbevaringsperioder for kandidatdata.

Kontrol og overvågning gennemgås i dybden, herunder e-mailkontrol, logning, adgangskontrol, tidsregistrering, lokationsdata og videoovervågning. Der fokuseres på hjemmelsgrundlag, nødvendighed, transparens, medarbejderinddragelse og praktisk udformning af politikker, herunder anvendelse af BYOD og it-regler i personalehåndbogen. Deltagerne får kriterier for proportionalitet og relevans ved kontroltiltag.

Koncernforhold belyses med fokus på intern deling af medarbejderdata, fælles behandlingsansvar, overførsel til tredjelande og brug af standardkontraktbestemmelser. Deltagerne lærer at afklare roller, etablere passende kontrakter og sikre konsekvent styring på tværs af selskaber.

Sikkerhed og hændelseshåndtering behandles med udgangspunkt i GDPR art. 32: passende foranstaltninger, kryptering, pseudonymisering, adgangsstyring og kontrolspor. Der gennemgås kriterier for anmeldelse af brud til Datatilsynet og underretning af medarbejdere samt praktisk koordinering mellem HR, it og ledelse. Eksempler viser, hvordan tekniske og organisatoriske foranstaltninger vælges ud fra risikovurderinger.

Rettigheder og oplysningspligter gennemgås med fokus på klare processer for indsigt, berigtigelse, sletning, indsigelse og begrænsning. Kurset viser, hvordan man udformer målrettede privatlivsmeddelelser for medarbejdere og jobansøgere, og hvordan man håndterer anmodninger effektivt og inden for fristerne.

Governance er et gennemgående tema: roller og kompetencer for databeskyttelsesrådgiver, ledelsesforankring af politikker, intern audit og løbende awareness. Kurset gennemgår krav til dokumentation, ansvarlighedsprincippet og forberedelse til tilsyn, samt hvordan processer tilpasses nationale særregler uden at kompromittere GDPR.

Udbytte og målgruppe

Efter kurset kan deltagerne identificere korrekt behandlingsgrundlag, udarbejde HR-rettede privatlivsmeddelelser, fastlægge slettefrister, opstille fortegnelser, gennemføre DPIA ved risikofyldte tiltag og sikre lovlige kontrolforanstaltninger. Deltagerne får konkrete skabeloner, tjeklister og beslutningskriterier, der kan implementeres umiddelbart i HR-processer. Derudover opnås sikkerhed i dialogen med Datatilsynet og eksterne databehandlere.

Kurset er målrettet jurister, advokater og HR-praktikere, der arbejder med medarbejderdata. Det forudsætter ingen specialiseret teknisk viden, men adresserer samarbejdet med it-sikkerhed, databeskyttelsesrådgiver og ledelse, så ansvar og roller er tydeligt fordelt.

Arbejdsform og materialer

Undervisningen kombinerer teori, praksis og cases, hvor deltagerne løser realistiske scenarier og får feedback på løsninger. Materialet omfatter præsentation, relevante skemaer til fortegnelser, eksempeltekster til oplysningspligt, udkast til databehandleraftale samt vejledning til procedurer for kontrolforanstaltninger og hændelseshåndtering.