Når en virksomhed indsamler og opbevarer oplysninger om personer, der er ansat i virksomheden, eller som har været ansat, eller som søger job i virksomheden, gælder persondataloven. I forbindelse med personaleadministration skal persondatalovens regler således i det hele iagttages. Det indebærer blandt andet, at den dataansvarlige virksomhed skal leve op til lovens krav om datasikkerhed.

Det følger af loven, at virksomheden skal træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Med persondataloven er der indført en ordning, hvor private virksomheder skal anmelde deres behandling af følsomme personoplysninger om medarbejdere til Datatilsynet. Anmeldelsespligten er typisk aktuel i forbindelse med registrering af helbredsoplysninger, indhentelse af straffeattester, opbevaring af resultater af personlighedstest og andre følsomme eller semifølsomme oplysninger om medarbejdere.

Datatilsynet har nu formuleret nye specifikke minimumskrav for datasikkerhed i forbindelse med personaleadministration. Det betyder, at Datatilsynets tilladelser til personaleadministration i den private sektor, med virkning fra januar 2015, fremover vil indeholde vilkår om, at minimumskravene skal iagttages.

Virksomhederne skal implementere minimumskravene i interne retningslinjer, it-sikkerhedspolitik eller lignende.

Konkret stilles der krav om, at adgang til de relevante oplysninger begrænses til personer, der har sagligt behov for adgang hertil, og til så få personer som muligt. Endvidere skal disse personer instrueres og oplæres i håndtering af oplysningerne.

Minimumskravene indeholder derudover krav om, at virksomhederne skal træffe visse foranstaltninger i forbindelse med opbevaring samt destruering af personaleoplysningerne. Endvidere stilles der krav til adgangskoder og til beskyttelse af elektronisk udstyr med personoplysninger samt anvendelse af kryptering ved brug af hjemmesideformularer og emails. Endelig stilles krav om overholdelse af persondatalovens regler i forbindelse med brug af ekstern databehandler. 

Da de fleste danske virksomheder behandler følsomme oplysninger som led i deres personaleadministration, er det vigtigt, at private virksomheder er opmærksomme på Datatilsynets nye minimumskrav hertil.