Om persondata

Behandling af personoplysninger til statistik

DA udgiver løbende forskellige løn- og personalestatistikker baseret på virksomheders statistikindberetninger til DA. Statistikindberetninger består typisk af oplysninger for hver enkelt medarbejder på virksomheden, og er derfor at betragte som personoplysninger i datalovgivningens forstand.
Virksomheder, der er medlem af en af DA’s medlemsorganisationer, er vedtægtsmæssigt forpligtet til at indberette de nødvendige data til DA, når de bliver anmodet herom, jf. DA’s vedtægter §17 og vedtægterne for DA's medlemsorganisationer.
Virksomhederne er derudover ved lov forpligtet til at indberette statistikdata til Danmarks Statistik. DA har en aftale om at videresende virksomhedernes statistikdata til Danmarks Statistik, så har virksomheden indberettet til DA, er forpligtigelsen overfor Danmarks Statistik også opfyldt.

Formål og retsgrundlag

Hovedformålet er at producere aggregeret statistik om løn- og personaleforhold på DA-området, som er nyttig for DA’s medlemsorganisationer, deres medlemsvirksomheder og offentlighedens forståelse af arbejdsmarkedsforhold. Særlig tjener statistikken til at understøtte DA’s rolle i den danske arbejdsmarkedsmodel og de partsinteresser, som DA repræsenterer her. I dataforordningens forstand er hjemlen således, at behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse (artikel 6, stk. 1e og databeskyttelseslovens § 10).

Derudover anvendes statistikgrundlaget til en række supplerende formål:

• Service til de indberettende virksomheder, hvor de kan se virksomhedens
  statistikdata sat i forhold til en benchmarkgruppe af lignende virksomheder. Servicen stilles til rådighed i digital form på websitet www.NetStat.dk. Hjemlen i dataforordningen er her, at behandlingen er nødvendig for at den dataansvarlige eller tredjemand kan forfølge en legitim interesse (artikel 6, stk. 1f).
• Statistik- og analysevirksomhed hos medlemsorganisationerne på baggrund af udsnit af datagrundlaget, som omhandler de givne medlemsorganisationers medlemsvirksomheder. Hjemlen er her sammenfaldende med hovedformålet, idet det også handler om nødvendige behandlinger til udførelse af opgaver i samfundets interesse (artikel 6, stk. 1e).
• Analyser af arbejdsmarkedsforhold foretaget af DA eller af betroede samarbejdsparter. Hjemlen er her sammenfaldende med hovedformålet, idet det også handler om nødvendige behandlinger til udførelse af opgaver i samfundets interesse (artikel 6, stk. 1e).
• Videregivelse af statistikdata til Danmarks Statistik for at DA kan hjælpe virksomhederne til at opfylde virksomhedernes lovgivne forpligtelse til også at indberette oplysninger om løn, medarbejderomkostninger og fravær til Danmarks Statistik. Ved at DA videregiver oplysninger, som DA i forvejen har modtaget fra virksomhederne til det ovenfor beskrevne hovedformål, kan DA reducere virksomhedernes administrative byrder, hvilket også er formål for DA. Fordi DA i forvejen er dataansvarlig i relation til de øvrige formål, er DA også dataansvarlig i relation til videregivelsen til Danmarks Statistik. Hjemmelsgrundlaget er, at DA forfølger en legitim interesse, nemlig at reducere virksomhedernes byrder, ved at videregive oplysningerne (artikel 6, stk. 1f).

Typer af personoplysninger

Virksomhedernes statistikindberetninger indeholder personoplysninger som person- og medarbejdernummer, ansættelses- og aflønningsforhold, arbejdsfunktion, fraværsperioder og fraværstimer. Se evt. vejledningerne for indberetning under menupunktet ”Hjælp”.
Derudover beriges statistikindberetningerne med personoplysninger fra registre om uddannelse, offentlige overførsler, arbejdsulykker, elevaftaler samt bidrag og refusioner fra barselsfonde. Registeroplysningerne er alle almindelige personoplysninger i datalovgivningens forstand, bortset
fra nogle oplysninger om arbejdsulykker, som er følsomme.

Behandling af personoplysninger

Behandlingen af personoplysninger til statistikkerne sker på flere måder.

Oplysningerne indsamles ved, at virksomheder eller virksomhedernes lønsystembureauer indberetter statistikdata digitalt ved at logge på indberetning.da.dk eller via en ftp-løsning. De indberettede oplysninger gennemgår en automatisk fejlkontrol, og virksomhedens statistikdata samt tilknyttede fejlkoder vises kort tid efter på indberetning.da.dk.
Oplysninger gennemgår en validering i DA’s interne statistiksystemer, som også kan omfatte dialog med de indberettende virksomheder, og hvor data evt. korrigeres, kasseres eller erstattes af mere korrekte oplysninger.

Oplysningerne beriges med eller kvalitetssikres i forhold til personoplysninger fra:

• Tidligere års statistikindberetninger.
• Danmarks Statistiks uddannelsesregister.
• Styrelsen for Arbejdsmarked og Rekrutterings DREAM-register.
• Arbejdstilsynets EASY-register.
• Arbejdsmarkedets Uddannelsesbidragsregister over elever.
• DA-Barsels register over bidrag og refusioner.

Det færdige statistikgrundlag pseudonymiseres med unikke nøgler for hver person og hvert ansættelsesforhold, således at det ikke fremgår, hvem personen er.
Statistikgrundlaget med psedonymiserede persondata anvendes til at udarbejde en række faste aggregerede statistikker samt til en række ad hoc analyser. De faste statistikker har form af nyhedsbreve, publikationer og webbaserede statistikker, mens ad hoc analyserne kan antage forskellige former.

Videregivelse af personoplysninger

Statistikdata med personoplysninger videregives til de samme virksomheder, som indberetningerne stammer fra, på to måder:

• På indberetning.da.dk som et værktøj til, at virksomheden kan se, hvad de har indberettet til statistikkerne, hvilke fejl der måtte være i indberetningen samt til at understøtte en dialog omkring indberetningerne mellem virksomheden og DA.
• På www.NetStat.dk, hvor virksomhederne kan se egne statistikdata sat i forhold til en benchmarkgruppe af lignende virksomheder. Benchmarkdataene vil altid blive vist i aggregeret form, men virksomhedens egne statistikdata vil for nogle grupper blive vist for én enkelt person.

Statistikgrundlaget med pseudonymiserede personoplysninger kan videregives til DA’s medlemsorganisationer for det udsnit af personer, der er ansat på den givne organisations medlemsvirksomheder.
Statistikgrundlaget med pseudonymiserede personoplysninger videregives endvidere til forsknings- og analyseformål på bl.a. Danmarks Statistiks forsker- og ministerieordning.

Statistikdata med personoplysninger videregives til Danmarks Statistik i ubehandlet form for at indgå i Danmarks Statistiks selvstændige statistikker om løn, medarbejderomkostninger og fravær.
Statistikdata med personoplysninger overlades til eksterne parter i forbindelse med DA’s løbende backup af systemer.

Slettepolitik

De indberettede filer og det færdige statistikgrundlag med personoplysninger slettes ikke, så længe DA er statistikproducent. Statistikgrundlag med personoplysninger er nødvendigt for at imødekomme en fleksibel anvendelse af statistikken.
Persondata ud over de indberettede filer og det færdige statistikgrundlag opbevares i op til 5 år af hensyn til mulighed for at revidere det færdige statistikgrundlag.

Behandlingssikkerhed

Behandlingen af personoplysninger til statistik sker i overensstemmelse med DA’s IT-sikkerhedspolitik, som følger ISO-standard 27001/27002.
Virksomhedernes indberetning af statistikdata med personoplysninger på indberetning.da.dk, hvor virksomhederne også kan se deres indberettede data, foregår på en sikker side, som kræver login. Brugerne kan udelukkende se data for de virksomheder, som brugerne er tilknyttet.
Login til siden er personlig, og brugernavn og password sendes adskilt som hhv. e-mail og fysisk brev.
DA’s medarbejderes adgang til personoplysningerne er begrænset ved adgangsstyring med personlig adgang, og anvendelsen logges. Kun medarbejdere med opgaver i relation til statistikproduktionen har adgang til oplysningerne. Medarbejderne er forpligtet til at overholde retningslinjer for behandling af personoplysninger givet ved skriftlige instrukser.
Der foretages årlig stikprøvebaseret kontrol med medarbejdernes opslag i personoplysninger og overholdelse af retningslinjer for behandling af personoplysninger i øvrigt.
Data opbevares fysisk på servere placeret i aflåst serverum i DA med backup på to fysiske placeringer i DK.
Data udveksles via krypterede ftp-linjer, krypterede USB-stik, krypterede filer og sikre websider.

Håndtering af brud på datasikkerhed

Bliver DA opmærksom på brud på datasikkerheden, sørger DA for hurtigst muligt at identificere kilden til bruddet, således at yderligere brud kan forebygges ved at iværksætte tiltag, der forhindrer lignende hændelser fremadrettet.
Derudover anmelder DA bruddet til Datatilsynet senest 72 timer efter, at DA er blevet opmærksom på bruddet, med beskrivelser af bruddets karakter og omfang, konsekvenser og foranstaltninger for at håndtere og inddæmme bruddets skadevirkninger, jf. dataforordningens artikel 33.
DA vurderer i hvert enkelt tilfælde, om bruddet er af en sådan karakter, at de registrerede skal underrettes herom, jf. dataforordningens artikel 34, herunder hvordan underretningen når de registrerede bedst muligt.

De registreredes rettigheder

De registreredes rettigheder til at blive oplyst om behandlingen, til indsigt i oplysningerne, til berigtigelse og sletning mv. er generelt begrænset af, at hovedformålet er statistikproduktion, som persondatalovgivningen undtager for disse rettigheder jf. databeskyttelseslovens § 22, stk. 5.
Virksomhedsservicen, hvor betroede virksomhedsbrugere kan se virksomhedens egne statistikdata med personoplysninger sat i forhold til en benchmarkgruppe af lignende virksomheder, er ikke undtaget, da behandlingen her ikke sker i statistisk øjemed. Virksomhederne har af den grund en oplysningspligt overfor egne medarbejdere. Virksomhederne skal efter lovgivningen beskrive denne behandling og svare på evt. henvendelser fra de registrerede i relation til disse rettigheder.
Henvendelser med afsæt i de registreredes rettigheder om behandlinger, som DA foretager, kan du læse om på Indsigtsret GDPR.

Opdateret 14. februar 2020