Stöd i GDPR-frågor
Dataskyddsförordningen GDPR påverkar hur du som är förtroendevald i Unionen får hantera personuppgifter. Här finns viktig information som du behöver vara medveten om när du agerar i ditt uppdrag.
Därför är GDPR viktigt för Unionen
En personuppgift som avslöjar medlemskap i fackförening betraktas i GDPR som en känslig personuppgift, vilket innebär att den har samma skyddsnivå som till exempel hälsouppgifter och uppgifter om en individs sexualliv och sexuella läggning. Unionens dagliga verksamhet innebär alltså behandling av stora mängder känsliga personuppgifter.
En personuppgift är varje upplysning som kan kopplas till en identifierad eller identifierbar fysisk person. Det kan alltså röra sig om både objektiva och subjektiva upplysningar. En personuppgift behöver varken vara sann eller bekräftad. Det spelar ingen roll om uppgiften finns på papper eller digitalt. Även bilder och ljudupptagningar kan räknas som personuppgifter.
Några exempel på personuppgifter är: namn, personnummer, registreringsnummer för bil, kundnummer, kontonummer, telefonnummer, e-postadress, postadress, medborgarskap, medlemskap i förening, anställning i bolag, lön och sexuell läggning
Inom Unionen hanterar vi alltså dagligen stora mängder känsliga personuppgifter. Om du gör något med en personuppgift, till exempel samlar in, registrerar, lagrar, bearbetar, använder, lämnar ut eller sprider, kallas det en personuppgiftsbehandling och regleras därför av GDPR.
GDPR är tydlig med att myndigheter, företag och organisationer endast får samla in och behandla personuppgifter om det verkligen är berättigat och man är öppen med att det sker. Lagstiftningen sätter också upp principer för att minimera mängden och tiden som personuppgifterna behandlas samt ställer krav på rutiner och tekniska lösningar för att personuppgifterna behandlas säkert.
Unionen strävar efter en hög nivå av skydd när det gäller personuppgifter som rör medlemmar eller andra personer som finns i våra register. Det är därför helt avgörande att såväl anställda som förtroendevalda är medvetna om lagstiftningen och de rutiner Unionen har för behandling av personuppgifter.
GDPR är en EU-rättslig lagstiftning som gäller i samtliga EU:s medlemsstater. GDPR syftar till att skydda enskilda individers grundläggande rättigheter och friheter när det kommer till personuppgifter och infördes i maj 2018. I Sverige ersatte lagstiftningen den tidigare personuppgiftslagen (PUL). Som komplement till GDPR finns en nationell lagstiftning, den så kallade dataskyddslagen.
GDPR påverkar dig som förtroendevald inom en klubb eller som arbetsplatsombud ur två perspektiv. Dels utifrån hur Unionen behandlar dina personuppgifter, dels utifrån hur du själv får behandla personuppgifter i ditt uppdrag.
- Utöver att Unionen har vissa grundläggande personuppgifter om dig vårt register, finns också uppgifter om din roll som förtroendevald . Syftet är bland annat att du ska kunna få personligt stöd och erbjudanden om utbildningar som underlättar ditt uppdrag. På www.unionen.se/personuppgifter har vi mer utförligt beskrivit hur Unionen behandlar dina uppgifter som medlem och förtroendevald.
- Unionen är ansvarig för de personuppgifter som förbundet behandlar. Personuppgiftsansvaret ligger alltså på Unionen som förbund, inte på dig eller någon annan enskild individ. När du utför arbete och får tillgång till personuppgifter måste du därför behandla dessa enligt de instruktioner du har fått från Unionen.
När du behandlar personuppgifter under Unionens överinseende kallas det att du är medhjälpare till Unionen (den personuppgiftsansvarige). Ett typexempel på medhjälpare är anställda.
Som förtroendevald är du anställd hos din arbetsgivare. De personuppgiftsbehandlingar som du utför för din arbetsgivares räkning tillräknas alltså din arbetsgivare. Ditt förtroendeuppdrag inom en klubb eller som arbetsplatsombud utför du dock inte för din arbetsgivares räkning. För de personuppgiftsbehandlingar som du utför i din egenskap av förtroendevald i Unionen är Unionen personuppgiftsansvarig. Med GDPR-språk är du alltså medhjälpare till Unionen.
Att du eller någon annan har valt att vara förtroendevald i en facklig organisation förutsätter att du vill arbeta öppet för organisationen och dess ändamål. En förtroendevald kan alltså inte vara hemlig. Redan den omständigheten att du kandiderar till ett förtroendeuppdrag innebär att du tydligt offentliggjort ditt fackliga medlemskap, eftersom detta är en förutsättning för att bli vald. Behandling av personuppgifter för att hålla de förtroendevalda tillgängliga för medlemmarna kan därför göras av förbundet med stöd av undantaget i artikel 9.2 e i dataskyddsförordningen. Slutsatsen förutsätter att kandidaten tydligt har informerats om att uppgiften om fackligt medlemskap kan komma att publiceras av förbundet för ändamålet att hen ska hållas tillgänglig för medlemmarna.
Som har framgått ovan är definitionen av såväl personuppgifter som personuppgiftsbehandling väldigt bred. Inom ramen för ditt uppdrag kommer det alltså att dyka upp en mängd sammanhang då du behandlar personuppgifter.
GDPR gör att du som förtroendevald måste tänka över och justera arbetssätt kring exempelvis hur du hanterar medlemslistor, var du lagrar dokumentation och hur du kommunicerar personuppgifter med anställda, andra förtroendevalda och externt gentemot till exempel arbetsgivare.
Ett bra förhållningssätt är att alltid utgå från tankesättet att det är medlemmen (eller annan registrerad) som äger sina egna personuppgifter – vi som fackförbund har endast fått låna personuppgifterna med ändamålet att bedriva vår verksamhet.
Du kommer långt genom att alltid ställa några frågor till sig själv:
- Behöver jag behandla dessa uppgifter för att uppnå mitt mål?
- Kan jag uppnå målet genom att använda färre eller mindre känsliga personuppgifter?
- Finns det skäl att tro att den vars personuppgifter jag behandlar kan känna sig kränkt om jag genomför behandlingen?
Endast den som har behov av att behandla en viss personuppgift i sitt uppdrag ska göra detta, och få tillgång till personuppgiften i fråga. Tänk också på att inte behandla uppgifterna under en längre period än vad som krävs för det avsedda ändamålet.
Utöver dessa allmänna utgångspunkter förväntas du som förtroendevald följa de riktlinjer och instruktioner som Unionen har tagit fram och löpande uppdaterar, samt använda de verktyg och system som Unionen tillhandahåller och att följa de rutiner som framgår nedan.
Använd riktlinjerna och instruktionerna under Mitt uppdrag
För att du på rätt sätt ska kunna hantera personuppgifter i ditt uppdrag behöver du få tydliga riktlinjer och instruktioner från Unionen. Unionens riktlinjer för behandling av personuppgifter finner du under Mitt Uppdrag (inloggat läge). Där kan du även se hur du hanterar personuppgiftsincidenter. Unionen arbetar löpande med GDPR, vilket innebär att kompletterande instruktioner tas fram allteftersom.
Använd MedlemsAdmin för personuppgifter
GDPR ställer krav på hur du som förtroendevald hanterar medlemslistor och innebär att du måste använda systemet för medlemsadministration, MedlemsAdmin, varje gång du behöver en relevant personuppgift. Samtidigt skärps behörigheterna för MedlemsAdmin. De personer som fortsättningsvis har tillgång till samtliga personuppgifter i systemet är: ordförande, vice ordförande, medlemsadministrativt ombud och löneinsamlingsansvarig i klubb samt arbetsplatsombud med förhandlingsmandat.
Mer information finner du i instruktioner till förtroendevalda för behandling av personuppgifter under Mitt Uppdrag (inloggat läge).
Lagra dokument på klubbwebben eller i grupprum
För klubbar gäller att dokumentation inom ramen för förtroendeuppdraget lagras på Klubbwebben.
Arbetsplatsombud lagrar dokumentation i tilldelat grupprum. Om du inte har tillgång till ett sådant kan du ansöka om ett här.
Mer information finner du i instruktioner till förtroendevalda för behandling av personuppgifter under Mitt Uppdrag (inloggat läge).
Säkerställ att behandlingen är laglig
Inför införandet av GDPR genomförde Unionen en omfattande kartläggning av de personuppgiftsbehandlingar som anställda och förtroendevalda genomför i sitt dagliga arbete, och säkerställt att dessa är lagliga. Ta gärna en titt på www.unionen.se/personuppgifter för att få en överblick över vilka behandlingar som Unionen är medvetna om genomförs inom förbundet.
Om du ska påbörja en ny personuppgiftsbehandling som Unionen inte fångat upp sedan tidigare ska du följa rutinen som du finner under Mitt Uppdrag (inloggat läge).
Se till att kommunicera säkert
Unionen arbetar aktivt för att ta fram ett system där förbundet och klubbar har möjlighet att kommunicera sinsemellan och med medlemmar på ett säkrare sätt.
Kontakta dataskyddsombudet om du behöver råd
Unionen har utsett dataskyddsombud, som fungerar rådgivande i dataskyddsfrågor. Kontaktuppgifter till dataskyddsombuden hittar du nedan.
Utbilda dig om GDPR
Alla förtroendevalda erbjuds en e-kurs om GDPR. Kursen är framtagen av TCO och justerade för Unionens behov. Du hittar kursen under Mitt Uppdrag (inloggat läge).
En personuppgiftsincident kan vara något av följande:
- Obehörigt röjande: Personuppgifter har spridits på ett felaktigt sätt.
- Obehörig åtkomst: Någon inom eller utanför organisationen har tagit del av information som den saknade behörighet till.
- Förlust: Information har gått förlorad på något sätt, till exempel genom att en dator blivit stulen.
- Förstöring: Någon eller något har förstört information, till exempel genom att en dator har fått sönder.
Unionen måste i vissa fall anmäla personuppgiftsincidenten inom 72 timmar efter det att överträdelsen har upptäckts till Datainspektionen. Därför är det viktigt att alla följer rutinen för hur man hanterar en incident. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. Det räknas ändå som personuppgiftsincidenter.
Om det har inträffat en incident – följ rutinen som du finner under Mitt Uppdrag (inloggat läge) på www.unionen.se.
En uppgift som avslöjar om en person är med i facket är en känslig personuppgift enligt GDPR. Det är ändå lagligt för arbetsgivare och fackföreningar att behandla sådana uppgifter då uppgifterna ofta är nödvändiga för att fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten eller för att driva rättsliga anspråk. Fackförbund har dessutom rätt att inom organisationen behandla medlemmars personuppgifter om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder.
Det finns alltså tillfällen då det är tillåtet att arbetsgivare och fackföreningar lämnar ut samt tar emot uppgifter som avslöjar anställdas fackliga medlemskap mellan sig. Överföringen kräver inte något personuppgiftsbiträdesavtal. Vardera parten anses personuppgiftsansvarig för sin behandling. Unionen anser att de förtroendevalda som agerar inom och utanför förbundets klubbar normalt sett är så kallade medhjälpare till Unionen, vilket innebär att även deras behandling faller under Unionens personuppgiftsansvar. Ett utlämnande från till exempel en arbetsgivare till en av Unionens förtroendevalda innebär alltså ett utlämnande till Unionen. Mer information om GDPR:s påverkan på utväxling av underlag i förhandling m.m. finns i A-cirkulär A18.02.
Unionens löneavtal gäller endast för Unionens medlemmar. I samband med lönerevisionen är det därför nödvändigt att du som förtroendevald känner till vilka medlemmar som finns på arbetsplatsen, så att du vet vilka du företräder och på vilka personer potten ska beräknas och fördelas.
Då fackligt medlemskap är en känslig personuppgift är det av största vikt att vi hanterar detta på ett sätt som är förenligt med GDPR. Arbetsgivaren har ingen rätt att hålla löpande listor på fackligt medlemskap, vilket innebär att ni behöver utbyta uppgifter varje år inför lönerevisionen.
Löneavtalen ser olika ut på olika avtalsområden men som generella utgångspunkter gäller följande. Om du som förtroendevald ska ha rätt att skicka en lista på fackliga medlemmar till arbetsgivaren krävs som ett minimum att du säkerställt att listan är korrekt och uppdaterad. Det är till exempel viktigt att den lista du överlämnar till arbetsgivaren inte innehåller uppgifter om personer som inte längre arbetar hos den aktuella arbetsgivaren.
I de fall varken arbetsgivare eller klubben har tillgång till uppdaterad information om vilka medlemmar som finns på arbetsplatsen kan arbetsgivarens register över anställda behöva matchas mot klubbens/förbundets register över medlemmar. Unionens uppfattning är att en sådan matchning bör inledas med att arbetsgivaren skickar över en lista på samtliga anställda (namn och personnummer) till Unionen, som i sin tur stämmer av detta mot medlemsregistret. Detta är den ordning som bäst överensstämmer med GDPR, i och med att uppgiften om att någon är medlem i Unionen är en känslig personuppgift, medan uppgiften om att någon är anställd inte är det.
Om du som förtroendevald stöter på problem med genomförandet av lönerevisionen kan du kontakta avtalsansvarig ombudsman eller Unionens dataskyddsombud (se kontaktuppgifter nedan).
Frågor kopplat till Unionens behandling av medlemmens personuppgifter
Det kommer att dyka upp många frågor från medlemmar om GDPR framöver. Svar på frågor som rör Unionens behandlingar av medlemmens personuppgift kan du många gånger hitta på www.unionen.se/personuppgifter. Om du inte själv kan besvara frågan kan du hänvisa medlemmen till kontaktuppgifterna på www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter eller till facklig rådgivning /medlemsrådgivningen.
Rätt att få tillgång till egna personuppgifter
GDPR ger en registrerad individ rätt att begära att få tillgång till de personuppgifter som Unionen behandlar om hen. En medlem som vill se sina personuppgifter hänvisar du i första hand till att logga in med bank-id på Mitt Unionen på www.unionen.se. Om en medlem saknar bank-id eller lösenord, eller om en icke-medlem (till exempel en före detta medlem) begär ut uppgifter görs detta skriftligt.
Rätt till radering och rättelse och andra rättigheter
Enligt GDPR har en registrerad individ rätt att få sina uppgifter raderade eller rättade om särskilda förutsättningar är uppfyllda. Om du får in en begäran om radering eller rättelse, hänvisa medlemmen till kontaktuppgifterna på www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter .
Läs mer om vilka övriga rättigheter registrerade har på ”Dina rättigheter” www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter .
Frågor kopplat till medlemmens relation till arbetsgivaren
Medlemmars frågor som gäller hur deras arbetsgivare hanterar deras personuppgifter är normalt sett en arbetsrättslig fråga som alla andra. För stöd vänder du dig enklast till Unionens fackliga rådgivning. Mer information om hur Unionen kan företräda medlemmar i arbetsrättsliga tvister vid brott mot GDPR finns i A-cirkulär A18.04. Information om hantering när arbetsgivare kallar till förhandlingar med anledning av GDPR finns i A-cirkulär A18.01.
Unionens dataskyddsombud
GDPR uppställer ett krav för vissa organisationer och myndigheter att utse så kallade dataskyddsombud. Unionen är en sådan organisation.
Dataskyddsombudet har som uppgift att dels informera och ge råd och rekommendationer för att hjälpa Unionen att följa bestämmelserna i GDPR, dels övervaka att Unionen efterlever bestämmelserna. Dataskyddsombudet har en oberoende roll och är inte beslutande i dataskyddsfrågor.
Dataskyddsombudet kan nås på dataskyddsombud@unionen.se.
Läs mer
På www.unionen.se/personuppgifter finner du information om hur Unionen behandlar personuppgifter om bland annat medlemmar och förtroendevalda.
Datainspektionen är tillsynsmyndighet i Sverige för dataskyddsfrågor. På www.datainspektionen.se finns värdefull information om GDPR för dig som vill läsa mer.
Alla förtroendevalda erbjuds en e-kurs om GDPR. Kursen är framtagen av TCO och justerad för Unionens behov. Du hittar kursen under Mitt Uppdrag (inloggat läge) på www.unionen.se.
FAQ för förtroendevalda – finner du under Mitt Uppdrag (inloggat läge) på www.unionen.se.
