Nu skal du redegøre for hvilke persondatatyper du har i hver enkelt proces. Det vil sige, at hvis du for eksempel har emailadresser på dine medarbejdere, skal du i HR processen skrive e-mail. Som tidligere nævnt hører persontyper som medarbejdere og jobansøgere under HR processen. Så nu skal du tage stilling til om du opbevarer emails på medarbejdere og jobansøgere, og hvis ja, så skal du skrive ned hvor (IT systemer og dataarkiver) du opbevarer dem. Et godt bud er den email-service din virksomhed bruger, eksempelvis Gmail eller Outlook. Det kan også være i systemer som Mailchimp, Dropbox og i papirarkiver du opbevarer lister med deres emails.
Andre typer af persondata du opbevarer i HR processen kan, for eksempel, også være:
- Navne
- Adresser
- CV
- Telefonnumre
- Billeder
- Ferie
- Sygedage
- Løninformationer
Du skal redegøre for om du har modtaget emails direkte fra personen, fra en tredjepart eller gennem profilering på andre data. Du har formentlig modtaget emailadresse direkte fra personen både af dine medarbejdere, og eksempelvis gennem en jobansøgers CV.
Når du har tilføjet de systemer du bruger til at opbevare emails, så skal du vælge hvilke formål du har med opbevaringen af emails. I HR processen er personaleadministration formentlig et formål med emails på dine medarbejdere, og rekruttering er formentlig et formål, når det kommer til jobansøgere.
Er du dataansvarlig eller databehandler af persondata? Altså er du ansvarlig for den indsamlede persondata? Eller opbevarer du den på vegne af en tredjepart (fx en anden virksomhed), for så er du databehandler. Du er kun databehandler, hvis du udelukkende agerer på instruktion fra en anden dataansvarlig/behandler. Hvis du selv bestemmer hvad du anvender data til, er du dataansvarlig.
Du skal ligeledes specificere om du overfører data til tredjeparter. En overførsel til tredjepart er, når du giver persondata til en anden dataansvarlig. Eksempelvis overfører du data til SKAT og formentligt til pensionsselskaber for dine medarbejdere. Dette er overførsel til tredjeparter og ikke databehandlere, da SKAT og pensionsselskaberne ikke bruger data på din instruktion, men til deres egne formål - og du kan heller ikke ringe til dem og bede dem om at slette data.
Derefter skal du tage stilling til hvor længe du vil opbevare denne persondata. Hvis det er et CV og en ansøgning fra en jobansøger, skal du angive hvor længe efter du har modtaget disse eller ikke skal bruge dem længere, at du sletter dem. Altså hvis det er en jobansøger som du ikke giver stillingen, så kan du vælge at sige, at du sletter ansøgning og CV seks måneder efter modtagelse eller færdig behandling. Du må ikke beholde personers CV og ansøgninger til potentielle fremtidige stillinger, medmindre du har modtaget et aktivt samtykke fra ansøgeren. Ved opsigelse af kontrakt med medarbejder, kan en virksomhed skrive i persondatapolitikken, at den sletter personoplysninger på medarbejdere, eksempelvis, en måned efter endt kontrakt.
Husk dog, at information som bruges til eksempelvis lønbogføringen kan (og skal) opbevares i 5 år i henhold til bogføringsloven. Såfremt du har flere formål med behandlingen af persondatatypen, kan du selvfølgelig vælge mere end et formål og også have forskellige opbevaringsperioder, som svarer til formålet.