Bli medlem

Stöd i GDPR-frågor

Dataskyddsförordningen (GDPR) påverkar hur du som är förtroendevald i Unionen får hantera medlemmars personuppgifter. Här finns viktig information som du behöver vara medveten om när du agerar i ditt uppdrag.

Därför är GDPR viktigt för Unionen

En personuppgift som avslöjar medlemskap i fackförening betraktas enligt lag som en känslig personuppgift, vilket innebär att den är lika känslig som uppgifterna i en läkarjournal.

En personuppgift är varje upplysning som kan kopplas till en identifierad eller identifierbar fysisk person. All information som direkt eller indirekt tillsammans med annan information går att härleda till en person är en personuppgift.

Unionen strävar efter en hög nivå av skydd när det gäller personuppgifter som rör medlemmar eller andra personer som finns i våra register. Det är därför helt avgörande att såväl anställda som förtroendevalda är medvetna om lagstiftningen och de rutiner Unionen har för behandling av personuppgifter. För det fall Unionen agerar i strid med lagstiftningen riskerar förbundet böter på upp till 20 miljoner euro

Hanteringen av medlemmarnas uppgifter är dessutom mycket viktig för att bibehålla medlemmarnas förtroende för Unionen. En incident kan medföra mycket stora förtroendeskador och resultera i medlemsutträden.

Vi måste därför behandla medlemsuppgifterna med den respekt de förtjänar.

Info icon Shape info icon

 Några exempel på personuppgifter är: namn, personnummer, registreringsnummer för bil, kundnummer, kontonummer, telefonnummer, e-postadress, postadress, medborgarskap, medlemskap i förening, anställning i bolag, lön och sexuell läggning

Att tänka på som förtroendevald

Gå Unionens GDPR-kurs för förtroendevalda

Det absolut bästa tipset för att få koll på GDPR är att gå Unionens e-kurs för förtroendevalda. Efter avklarad kurs kommer du att vara en fena på att hantera medlemmarnas personuppgifter.

E-kurs: GDPR för förtroendevalda

E-kursen innehåller allt du som förtroendevald behöver veta för att klara av GDPR i ditt uppdrag.

Hemligt medlemskap – var hemlig!

  • Medlemskapet i Unionen är en hemlighet som inte får avslöjas hur som helst, och det är som utgångspunkt upp till medlemmen att välja om den vill avslöja sitt medlemskap eller inte.
  • Utskick till medlemmar ska i första hand ske via Mitt Uppdrag.
  • Om du ändå använder e-post, använd alltid dold kopia när du gör utskick till medlemmar eller skickar ut mötesinbjudningar. Annars får samtliga medlemmar ta del av medlemsförteckningen eftersom medlemmarna blir synliga på sändlistan vid ett vanligt mejlutskick. I Outlook är det inte möjligt att använda funktionen dold kopia vid kalenderbokningar så skicka då mötesinbjudan per e-post. Sker mötet i Teams är det möjligt att klistra in länken till mötet i mejlet.
  • När ni håller digitala möten bör ni komma ihåg att det är stora skillnader på fysiska och digitala mötesrum. Förutom att verkligheten sällan bjuder på uppkopplingsproblem och strulande skärmdelningar så finns det en stor skillnad ni bör vara uppmärksamma på. Nämligen att i princip all aktivitet i ett digitalt mötesrum sparas. Så, använder ni er av arbetsgivarens digitala verktyg bör ni vara medvetna om att arbetsgivaren kan få tillgång till den information som hör till mötet.


    Det är därför viktigt att vi avstår från att skriva känslig information i chatten eller t.ex. spela in mötet.

Med det sagt, vi måste fortfarande kunna utföra vårt fackliga uppdrag. Väljer en medlem att gå på ett medlemsmöte går det naturligtvis inte att hemlighålla sin identitet eller sitt fackliga medlemskap för andra på mötet.

Om olyckan är framme – hojta till!

Ibland blir det inte riktigt som man tänkt sig och olyckan dyker upp. Det är okej att det blir fel, men då måste man anmäla incidenten till Unionen för att avgöra om vi ska anmäla oss själva till tillsynsmyndigheten IMY. 

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. De vanligaste exemplen på personuppgiftsincidenter är när personuppgifter hamnar i orätta händer eller raderas så att de går förlorade. 

Enligt IMY är följande vanliga exempel på personuppgiftsincidenterna:

  • E-post till hemliga mottagare skickas utan dold kopia, vilket innebär att mottagarlistan blir synlig för alla mottagarna, 

  • Gamla personuppgifter står kvar i ett word-dokument som återanvänds för att spara tid  och hamnar av misstag hos fel mottagare, samt 

  • Mailen fyller i fel mottagare per automatik och meddelandet hamnar hos en obehörig mottagare. 

Om du upptäcker en personuppgiftsincident ska den skyndsamt anmälas Unionen. Du gör det genom att använda formuläret: Personuppgiftsincident. 

Frågor på det?

Det här med dataskydd är inte alltid helt lätt. Vi förstår att ni har många järn i elden och sparsmakat med tid för att förkovra er i dataskyddsfrågor.

Så om ni har några som helst frågor kan ni i första hand titta på våra FAQ nedan, och känner ni därefter att ni inte fått svar så är det bara att höra av sig till dataskyddsombud@unionen.se så ska vi besvara era frågor så snart det går.

 

GDPR påverkar dig som  förtroendevald  inom en  klubb  eller som  arbetsplatsombud  ur två perspektiv. Dels utifrån hur Unionen behandlar dina personuppgifter, dels utifrån hur du själv får behandla personuppgifter i ditt uppdrag.

  1. Utöver att Unionen har vissa grundläggande personuppgifter om dig i vårt register, finns också uppgifter om din roll som  förtroendevald . Syftet är bland annat att du ska kunna få personligt stöd och erbjudanden om utbildningar som underlättar ditt uppdrag. På www.unionen.se/personuppgifter har vi mer utförligt beskrivit hur Unionen behandlar dina uppgifter som medlem och förtroendevald.
  2. Unionen är ansvarig för de personuppgifter som förbundet behandlar.  Personuppgiftsansvaret ligger alltså på Unionen som förbund, inte på dig eller någon annan enskild individ. När du utför arbete och får tillgång till personuppgifter måste du därför behandla dessa enligt de instruktioner du har fått från Unionen.

Som förtroendevald är du anställd hos din arbetsgivare. De personuppgiftsbehandlingar som du utför för din arbetsgivares räkning tillräknas alltså din arbetsgivare. Ditt  förtroendeuppdrag  inom en klubb eller som arbetsplatsombud utför du dock inte för din arbetsgivares räkning. För de personuppgiftsbehandlingar som du utför i din egenskap av förtroendevald i Unionen är Unionen personuppgiftsansvarig. På GDPR-språk är du alltså medhjälpare till Unionen.

Att du eller någon annan har valt att vara  förtroendevald  i en facklig organisation förutsätter att du vill arbeta öppet för organisationen och dess ändamål. En  förtroendevald  kan alltså inte vara hemlig. Redan den omständigheten att du kandiderar till ett  förtroendeuppdrag  innebär att du tydligt offentliggjort ditt fackliga medlemskap, eftersom detta är en förutsättning för att bli vald. Detta förutsätter att kandidaten tydligt har informerats om att uppgiften om fackligt medlemskap kan komma att publiceras av förbundet för ändamålet att hen ska hållas tillgänglig för medlemmarna.

Som har framgått ovan är definitionen av såväl personuppgifter som personuppgiftsbehandling väldigt bred. Inom ramen för ditt uppdrag kommer det alltså att dyka upp en mängd sammanhang då du behandlar personuppgifter.

GDPR gör att du som  förtroendevald  måste tänka över och justera arbetssätt kring exempelvis hur du hanterar medlemslistor, var du lagrar dokumentation och hur du kommunicerar personuppgifter med anställda, andra förtroendevalda och externt gentemot till exempel arbetsgivare.

Ett bra förhållningssätt är att alltid utgå från tankesättet att det är medlemmen (eller annan registrerad) som äger sina egna personuppgifter – vi som fackförbund har endast fått låna personuppgifterna med ändamålet att bedriva vår verksamhet.

Du kommer långt genom att alltid ställa några frågor till sig själv:

  • Behöver jag behandla dessa uppgifter för att uppnå mitt mål?
  • Kan jag uppnå målet genom att använda färre eller mindre känsliga personuppgifter?
  • Finns det skäl att tro att den vars personuppgifter jag behandlar kan känna sig kränkt om jag genomför behandlingen?

Endast den som har behov av att använda en viss personuppgift i sitt uppdrag ska göra detta, och få tillgång till personuppgiften i fråga. Tänk också på att inte behandla uppgifterna under en längre period än vad som krävs för det avsedda ändamålet.

Utöver dessa allmänna utgångspunkter förväntas du som förtroendevald följa de riktlinjer och instruktioner som Unionen har tagit fram och löpande uppdaterar, samt använda de verktyg och system som Unionen tillhandahåller och att följa de rutiner som framgår nedan.

Använd MedlemsAdmin för personuppgifter

GDPR ställer krav på hur du som förtroendevald hanterar medlemslistor och innebär att du måste använda verktyget för medlemsadministration, MedlemsAdmin, varje gång du behöver en relevant personuppgift. De personer som av behörighetsskäl har tillgång till samtliga personuppgifter i systemet är: ordförande, vice ordförande, medlemsadministrativt  ombud  och löneinsamlingsansvarig i  klubb  samt  arbetsplatsombud  med förhandlingsmandat.

Lagra dokument på klubbwebben eller i grupprum

För klubbar gäller att dokumentation inom ramen för förtroendeuppdraget lagras på Klubbwebben.

Arbetsplatsombud lagrar dokumentation i tilldelat grupprum. Om du inte har tillgång till ett sådant kan du ansöka om ett här.

En personuppgiftsincident kan vara något av följande:

  • Obehörigt röjande: Personuppgifter har spridits på ett felaktigt sätt.
  • Obehörig åtkomst: Någon inom eller utanför organisationen har tagit del av information som den saknade behörighet till.
  • Förlust: Information har gått förlorad på något sätt, till exempel genom att en dator blivit stulen.
  • Förstöring: Någon eller något har förstört information, till exempel genom att en dator har fått sönder.

Unionen måste i vissa fall anmäla personuppgiftsincidenten inom 72 timmar efter det att överträdelsen har upptäckts till Integritetsskyddsmyndigheten. Därför är det viktigt att alla följer rutinen för hur man hanterar en incident. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. Det räknas ändå som personuppgiftsincidenter.

Om det har inträffat en incident – följ rutinen som du finner under Mitt Uppdrag (inloggat läge) på www.unionen.se.

En uppgift som avslöjar om en person är med i facket är en känslig personuppgift enligt GDPR. Det är ändå lagligt för arbetsgivare och fackföreningar att behandla sådana uppgifter då uppgifterna ofta är nödvändiga för att fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten eller för att driva rättsliga anspråk. Fackförbund har dessutom rätt att inom organisationen behandla medlemmars personuppgifter om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder. 

Det finns alltså tillfällen då det är tillåtet att arbetsgivare och fackföreningar lämnar ut samt tar emot uppgifter som avslöjar anställdas fackliga medlemskap mellan sig. Överföringen kräver inte något personuppgiftsbiträdesavtal. Vardera parten anses personuppgiftsansvarig för sin behandling. Unionen anser att de förtroendevalda som agerar inom och utanför förbundets klubbar normalt sett är så kallade medhjälpare till Unionen, vilket innebär att även deras behandling faller under Unionens personuppgiftsansvar. Ett utlämnande från till exempel en arbetsgivare till en av Unionens förtroendevalda innebär alltså ett utlämnande till Unionen. Mer information om GDPR:s påverkan på utväxling av underlag i  förhandling  m.m. finns i A-cirkulär A18.02.

Unionens  löneavtal  gäller endast för Unionens medlemmar. I samband med lönerevisionen är det därför nödvändigt att du som  förtroendevald  känner till vilka medlemmar som finns på arbetsplatsen, så att du vet vilka du företräder och på vilka personer potten ska beräknas och fördelas.

Eftersom fackligt medlemskap är en känslig personuppgift är det av största vikt att vi hanterar detta på ett sätt som är förenligt med GDPR. Arbetsgivaren har ingen rätt att hålla löpande listor på fackligt medlemskap, vilket innebär att ni behöver utbyta uppgifter varje år inför lönerevisionen.

Löneavtalen ser olika ut på olika avtalsområden men som generella utgångspunkter gäller följande. Om du som  förtroendevald  ska ha rätt att skicka en lista på fackliga medlemmar till arbetsgivaren krävs som ett minimum att du säkerställt att listan är korrekt och uppdaterad. Det är till exempel viktigt att den lista du överlämnar till arbetsgivaren inte innehåller uppgifter om personer som inte längre arbetar hos den aktuella arbetsgivaren.

I de fall varken arbetsgivare eller klubben har tillgång till uppdaterad information om vilka medlemmar som finns på arbetsplatsen kan arbetsgivarens register över anställda behöva matchas mot klubbens/förbundets register över medlemmar. Unionens uppfattning är att en sådan matchning bör inledas med att arbetsgivaren skickar över en lista på samtliga anställda (namn och personnummer) till Unionen, som i sin tur stämmer av detta mot medlemsregistret. Detta är den ordning som bäst överensstämmer med GDPR, i och med att uppgiften om att någon är medlem i Unionen är en känslig personuppgift, medan uppgiften om att någon är anställd inte är det.

Om du som förtroendevald stöter på problem med genomförandet av lönerevisionen kan du kontakta avtalsansvarig  ombudsman  eller Unionens dataskyddsombud (se kontaktuppgifter nedan).

Frågor kopplat till Unionens behandling av medlemmens personuppgifter

Svar på frågor som rör Unionens behandlingar av medlemmens personuppgift kan du många gånger hitta på www.unionen.se/personuppgifter. Om du inte själv kan besvara frågan kan du hänvisa medlemmen till kontaktuppgifterna på www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter eller till  facklig rådgivning /medlemsrådgivningen.

Rätt att få tillgång till egna personuppgifter

GDPR ger en registrerad individ rätt att begära att få tillgång till de personuppgifter som Unionen behandlar om hen. En medlem som vill se sina personuppgifter hänvisar du i första hand till att logga in med bank-id på Mitt Unionen på www.unionen.se. Om en medlem saknar bank-id eller lösenord, eller om en icke-medlem (till exempel en före detta medlem) begär ut uppgifter görs detta skriftligt.

Rätt till radering och rättelse och andra rättigheter

Enligt GDPR har en registrerad individ rätt att få sina uppgifter raderade eller rättade om särskilda förutsättningar är uppfyllda. Om du får in en begäran om radering eller rättelse, hänvisa medlemmen till kontaktuppgifterna på www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter .

Läs mer om vilka övriga rättigheter registrerade har på ”Dina rättigheter” www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter.

Frågor kopplat till medlemmens relation till arbetsgivaren

Medlemmars frågor som gäller hur deras arbetsgivare hanterar deras personuppgifter är normalt sett en arbetsrättslig fråga som alla andra. För stöd vänder du dig enklast till Unionens fackliga rådgivning. Mer information om hur Unionen kan företräda medlemmar i arbetsrättsliga tvister vid brott mot GDPR finns i A-cirkulär A18.04. Information om hantering när arbetsgivare kallar till förhandlingar med anledning av GDPR finns i A-cirkulär A18.01.

Unionens dataskyddsombud

GDPR uppställer ett krav för vissa organisationer och myndigheter att utse så kallade dataskyddsombud. Unionen är en sådan organisation.

Dataskyddsombudet har som uppgift att dels informera och ge råd och rekommendationer för att hjälpa Unionen att följa bestämmelserna i GDPR, dels övervaka att Unionen efterlever bestämmelserna. Dataskyddsombudet har en oberoende roll och är inte beslutande i dataskyddsfrågor.

Dataskyddsombudet kan nås på dataskyddsombud@unionen.se.

Läs mer

På www.unionen.se/personuppgifter finner du information om hur Unionen behandlar personuppgifter om bland annat medlemmar och förtroendevalda.

Integritetsskyddsmyndigheten är tillsynsmyndighet i Sverige för dataskyddsfrågor. På  www.imy.se finns värdefull information om GDPR för dig som vill läsa mer.

Hjälp oss göra Unionen bättre

Hjälpte informationen på denna sida dig?

Betyg