Gå till Innehållet

GDPR för dig som är förtroendevald i kommunal sektor

Innehåll på sidan

Skaffa dig en övergripande koll på vad du som förtroendevald inom ett sacoförbund behöver tänka på när det gäller GDPR.
Per-Olof Persson (jurist Akavia) och Jenny Rosenbaum (förbundsjurist Sveriges Ingenjörer) guidar dig inom området.

Behandling av medlemmars personuppgifter

Akavia som förbund och du som lokalt förtroendevald för Akavia måste följa GDPR som är tillämpligt på behandling av våra medlemmars personuppgifter. En personuppgift kan vara namn, personnummer, E-postadresser, telefonnummer eller liknande uppgifter. Alla aktiviteter man kan vidta med en personuppgift, till exempel att spara, bearbeta, överföra, skicka vidare etcetera, räknas som behandling av personuppgift och omfattas således av GDPR.

Att en personuppgiftsbehandling omfattas av GDPR betyder inte att behandlingen är otillåten utan att det finns regler för hur och i vilka sammanhang sådan behandling får ske.

Generellt om ansvar och behandling av personuppgifter

Akavia är personuppgiftsansvarig för alla personuppgifter som rör förbundets medlemmar. Som förtroendevald för Akavia är du en del av Akavias organisation och du måste då agera i enlighet med de stadgar, instruktioner och förordnanden som du fått från förbundet.

Enligt GDPR är personuppgifter som avslöjar fackligt medlemskap känsliga vilket innebär att det är förbjudet att behandla dem om det inte går att stödja sig på något av de uppräknade undantagen i GDPR. Undantag får göras av en fackförening inom dess fackliga verksamhet och om det finns en skyldighet inom arbetsrätten att utföra en aktivitet som kräver behandling. Det är med stöd av dessa två undantag har rätt att behandla uppgifter om våra medlemmar. Uppgifter om medlemskap får inte spridas till obehöriga. All behandling måste ske på datorer som är säkra och informationen skyddad mot obehöriga intrång genom personliga inloggningsuppgifter. Om personuppgifter lagras i register eller i pärmar ska dessa hållas inlåsta och säkert förvarade.

De tre viktigaste sakerna du behöver tänka vid behandling av personuppgifter är:

  • Samla inte in mer personuppgifter än vad som behövs
  • Spara inte mer personuppgifter än vad som behövs
  • Använd inte personuppgifter till något annat än vad som var syftet när de samlades in.


I övrigt bör du tänka på att:

  • Inte använda personnummer slentrianmässigt utan bara när det verkligen behövs.
  • Inte lämna ut personuppgifter till någon förutom till medlemmen själv eller till arbetsgivaren om denne behöver personuppgifterna för att uppfylla krav i lag eller kollektivavtal.
  • Vid fråga om någon är medlem får man vare sig bekräfta eller förneka det såvida det inte är arbetsgivaren som frågar för att kunna uppfylla krav i lag eller kollektivavtal.
  • Akavia förser dig som förtroendevald med aktuella medlemslistor vid behov. När en ny lista har kommit ska den gamla raderas. Bara förtroendevalda som har ett verkligt behov ska ha tillgång till dessa medlemslistor.
  • Alla e-postutskick ska ske så att andra mottagares e-postadresser är dolda för mottagarna.
  • Om ni skickar listor på medlemmar i er förening eller uppgifter om facklig tillhörighet eller personnummer med e-post ska dessa alltid skickas krypterade och låsta så att det behövs lösenord för att öppna och läsa dem.
  • Mejllistor till samtliga medlemmar får bara sparas i e-postsystem om inga obehöriga har tillgång till dem. De måste uppdateras kontinuerligt.
  • Mejl-sändlistor till fackliga förtroendemän får sparas och är inte hemliga.
  • Inte skapa ärendehanteringssystem.
  • Digitala personuppgifter ska förvaras med lämpliga skyddsåtgärder. Personuppgifter på papper eller USB-minne förvaras i låst skåp eller tjänsterum. Inga obehöriga får ha tillgång till personuppgifter.
  • Radera mejl och dokument med personuppgifter löpande. Personuppgifter får sparas så länge som ett ärende pågår. Man får inte spara något för säkerhets skull. Förhandlingsprotokoll i individärenden lämnas över till Akavia.
  • Vid misstanke om personuppgiftsincident informera Akavia omedelbart. Frågor gällande GDPR riktas till Akavia.

Lagring av personuppgifter

Tänk på att dina mobiltelefoner och surfplattor innehåller personuppgifter, i form exempelvis av e-post och kontaktlistor, och kanske även känsliga personuppgifter. Även dessa måste vara spärrade och kan inte hållas tillgängliga för vem som helst.

Det kan finnas problem med att lagra personuppgifter och särskilt känsliga personuppgifter på arbetsgivarens dator. Så länge arbetsgivaren inte motsätter sig sådan lagring är den tillåten så länge kraven på säkerhet, behörighetsbegränsning och hemlighållande kan upprätthållas. Om en arbetsgivare kräver att ni ska ingå ett avtal om att vara personuppgiftsbiträde för att godkänna er lagring på sina servrar måste ni kontakta Akavia. Det är förbundet som är personuppgiftsansvarig.

Lagring på egna datorer, andra än arbetsgivarens, ska undvikas då detta innebär att personuppgifter riskerar att spridas och säkerheten inte kan garanteras. Lagring av personuppgifter får inte ske på servrar utanför EU/EES-området.

Din arbetsgivares hantering och utlämnande av medlemmars personuppgifter

Kommunala arbetsgivare behandlar personuppgifter i samband med bland annat löneöversyner, förhandlingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till lokal Akaviaförening eller till dig som lokalombud. I vissa fall har arbetsgivaren hävdat att de inte kan lämna ut personuppgifter på grund av GDPR. Akavia är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR. Känsliga personuppgifter får lämnas ut när det finns en skyldighet enligt arbetsrätten att göra det. En sådan skyldighet kan följa av en lag, exempelvis MBL, LAS, förtroendemannalagen eller av ett kollektivavtal. En arbetsgivare kan alltså inte vägra att lämna ut personuppgifter med hänvisning till GDPR.

Särskilt för dig som är representant för Akavia i ett Sacoråd

Sacoråden har bildats av AkademikerAlliansen och Akademikerförbundet SSR för att gemensamt samverka med arbetsgivaren. Representant för Akavias medlemmar i Sacoråden utses av Akavia eller lokal Akaviaförening. Det är därför Akavia som är personuppgiftsansvarig för behandling av Akavias medlemmars uppgifter och du får som förtroendevald för Akavia hämta uppgifter om medlemskap i Akavia från Akavias kansli, från arbetsgivaren, eller från medlemmarna själva.

Det betyder att när du som är ledamot i ett Sacoråd för Akavia numera inte får begära medlemsuppgifter från andra förbund eller i övrigt hantera sådana i Sacorådets namn. Gamla medlemslistor som finns kvar hos Sacoråden ska raderas.

Får ni frågor från medlemmar om hanteringen av deras personuppgifter ska de således hänvisas till Akavia.

Särskilt för dig som är ledamot i en AkademikerAlliansförening eller en Sacoförening

Akavia tillhör förhandlingskartellen AkademikerAlliansen som är en organisation i vilken 16 förbund samverkar både på central nivå men det finns möjlighet för förbunden att samverka även på lokal nivå inom ramen för lokala AkademikerAlliansföreningar.

Sacoföreningar är föreningar där medlemmar i Sacoförbund väljer styrelse för samverkan med arbetsgivare, ofta på lokal-lokal nivå inom stora kommuner och landsting.

Är du ledamot i någon av dessa föreningar och har frågor om GDPR kommer information att lämnas inom kort. Har du brådskande frågor kan du kontakta Akavias kansli.

Kontakt

Om du har frågor om förbundets personuppgiftsbehandling kan avtalsansvariga ge dig information av mer specifik karaktär och hänvisa dig till förbundets jurister för rättsliga frågor.

DATASKYDDSOMBUD
Akavia har utsett dataskyddsombud som ska övervaka hur förbundet efterlever GDPR. Kontaktuppgifter till dataskyddsombudet:

E-post: dataskydd.akavia@sweco.se

Frågor om GDPR för förtroendevalda