Tidsregistrering og GDPR: hvad må du registrere?
Tidsregistreringer handler om personer — hvornår de mødte, hvor længe de arbejdede, hvad de arbejdede med. Det gør dem til persondata, og dermed gælder GDPR. Her er reglerne i praksis, og hvordan du gør compliance let for dig selv.
Tidsdata er persondata — men de er «almindelige»
En tidsregistrering knyttet til en medarbejder er en personoplysning i GDPR's forstand. Den gode nyhed: det er almindelige personoplysninger (ikke følsomme), og du har et solidt lovligt grundlag for at behandle dem:
- Retlig forpligtelse: arbejdstidsloven kræver, at du registrerer medarbejdernes daglige arbejdstid og gemmer den i 5 år.
- Kontrakt: løn og afregning af overarbejde forudsætter, at tiden er registreret.
- Legitim interesse: fakturering af klienter pr. time og dokumentation af tidsforbrug.
Du behøver altså ikke samtykke — og bør faktisk ikke basere registreringen på samtykke, da et samtykke i et ansættelsesforhold sjældent anses for frivilligt.
Grænsen: tidsregistrering er ikke overvågning
GDPR's princip om dataminimering sætter grænsen: registrér det, formålet kræver — og ikke mere. Til lovpligtig registrering er formålet at måle daglig arbejdstid. Til fakturering er det at måle tid pr. sag. Ingen af delene kræver skærmbilleder, tastetryk-logning, webcam eller GPS — den slags er kontrolforanstaltninger med et helt andet (og langt strengere) regelsæt og vil ofte være ude af proportion.
Husk også oplysningspligten: medarbejdere skal vide, at der registreres tid, hvad der registreres, hvorfor, og hvor længe det gemmes. En halv side i personalehåndbogen er typisk nok.
Opbevaring: hvor længe — og hvor?
Hvor længe er let: arbejdstidsloven kræver 5 års opbevaring, og derefter bør registreringerne slettes, medmindre du har et andet sagligt formål (fx en verserende tvist).
Hvor er det spørgsmål, de fleste overser. Ligger dine tidsdata i en cloud-tjeneste, er leverandøren databehandler, og så skal du have:
- en databehandleraftale med leverandøren,
- styr på underdatabehandlere (hvem hoster egentlig serverne?),
- og dokumentation for tredjelandsoverførsler, hvis data eller support ligger uden for EU/EØS.
Det er ikke uoverkommeligt — men det er administration, der skal vedligeholdes, og et ansvar, du bærer som dataansvarlig.
Den enkle genvej: behold data lokalt
Kører tidsregistreringen lokalt på maskinen, falder hele det apparat bort: ingen databehandler, ingen databehandleraftale, ingen tredjelandsproblematik og ingen cloud-konto der kan lækkes. Datasikkerheden følger den sikkerhed, du allerede har på din pc (BitLocker, backup, adgangskode).
Det er sådan, CaseTrace er bygget: al registrering gemmes i en lokal database på din egen maskine, intet sendes til skyen, og der er ingen telemetri. For advokater og revisorer har det en ekstra bonus — sagsnavne og klientnavne (som i sig selv kan være fortrolige) forlader aldrig kontoret. Se også tidsregistrering for advokater.
Tjekliste: GDPR-klar tidsregistrering
- Lovligt grundlag på plads (retlig forpligtelse / kontrakt / legitim interesse) — ikke samtykke.
- Registrér kun tid og opgave/sag — ikke skærmindhold, tastetryk eller lokation.
- Informér medarbejderne om hvad, hvorfor og hvor længe.
- Gem i 5 år (arbejdstidsloven) — og slet derefter.
- Cloud-løsning? Hav databehandleraftale og styr på tredjelande. Lokal løsning? Sørg for backup.
Mere om tidsregistrering.
GDPR-venlig by design: dine data bliver hos dig.
Download CaseTrace — lokal, automatisk tidsregistrering uden cloud og uden telemetri. Helt gratis.