GDPR för dig som är förtroendevald i kommunal sektor

Den 25 maj 2018 trädde Dataskyddsförordningen (GDPR) i kraft. GDPR innehåller bestämmelser om personuppgiftsbehandling. Dataskyddsförordningen är en EU-förordning som är direkt tillämplig i nationell lagstiftning.

Akavia som förbund och du som lokalt förtroendevald för Akavia måste följa GDPR som är tillämpligt på behandling av våra medlemmars personuppgifter. En personuppgift kan vara namn, personnummer, E-postadresser, telefonnummer eller liknande uppgifter. Alla aktiviteter man kan vidta med en personuppgift, till exempel att spara, bearbeta, överföra, skicka vidare etcetera, räknas som behandling av personuppgift och omfattas således av GDPR.

Att en personuppgiftsbehandling omfattas av GDPR betyder inte att behandlingen är otillåten utan att det finns regler för hur och i vilka sammanhang sådan behandling får ske.

Generellt om ansvar och behandling av personuppgifter 

Akavia är personuppgiftsansvarig för alla personuppgifter som rör förbundets medlemmar. Som förtroendevald för Akavia är du en del av Akavias organisation och du måste då agera i enlighet med de stadgar, instruktioner och förordnanden som du fått från förbundet.

Enligt GDPR är personuppgifter som avslöjar fackligt medlemskap känsliga vilket innebär att det är förbjudet att behandla dem om det inte går att stödja sig på något av de uppräknade undantagen i GDPR. Undantag får göras av en fackförening inom dess fackliga verksamhet och om det finns en skyldighet inom arbetsrätten att utföra en aktivitet som kräver behandling. Det är med stöd av dessa två undantag har rätt att behandla uppgifter om våra medlemmar. Uppgifter om medlemskap får inte spridas till obehöriga. All behandling måste ske på datorer som är säkra och informationen skyddad mot obehöriga intrång genom personliga inloggningsuppgifter. Om personuppgifter lagras i register eller i pärmar ska dessa hållas inlåsta och säkert förvarade.

De tre viktigaste sakerna du behöver tänka vid behandling av personuppgifter är:

  • Samla inte in mer personuppgifter än vad som behövs
  • Spara inte mer personuppgifter än vad som behövs
  • Använd inte personuppgifter till något annat än vad som var syftet när de samlades in.

I övrigt bör du tänka på att:

  • Inte använda personnummer slentrianmässigt utan bara när det verkligen behövs.
  • Inte lämna ut personuppgifter till någon förutom till medlemmen själv eller till arbetsgivaren om denne behöver personuppgifterna för att uppfylla krav i lag eller kollektivavtal.
  • Vid fråga om någon är medlem får man vare sig bekräfta eller förneka det såvida det inte är arbetsgivaren som frågar för att kunna uppfylla krav i lag eller kollektivavtal.
  • Akavia förser dig som förtroendevald med aktuella medlemslistor vid behov. När en ny lista har kommit ska den gamla raderas. Bara förtroendevalda som har ett verkligt behov ska ha tillgång till dessa medlemslistor.
  • Alla e-postutskick ska ske så att andra mottagares e-postadresser är dolda för mottagarna.
  • Om ni skickar listor på medlemmar i er förening eller uppgifter om facklig tillhörighet eller personnummer med e-post ska dessa alltid skickas krypterade och låsta så att det behövs lösenord för att öppna och läsa dem.
  • Mejllistor till samtliga medlemmar får bara sparas i e-postsystem om inga obehöriga har tillgång till dem. De måste uppdateras kontinuerligt.
  • Mejl-sändlistor till fackliga förtroendemän får sparas och är inte hemliga.
  • Inte skapa ärendehanteringssystem.
  • Digitala personuppgifter ska förvaras med lämpliga skyddsåtgärder. Personuppgifter på papper eller USB-minne förvaras i låst skåp eller tjänsterum. Inga obehöriga får ha tillgång till personuppgifter.
  • Radera mejl och dokument med personuppgifter löpande. Personuppgifter får sparas så länge som ett ärende pågår. Man får inte spara något för säkerhets skull. Förhandlingsprotokoll i individärenden lämnas över till Akavia.
  • Vid misstanke om personuppgiftsincident informera Jusek omedelbart. Frågor gällande GDPR riktas till Akavia.

Lagring av personuppgifter

Tänk på att dina mobiltelefoner och surfplattor innehåller personuppgifter, i form exempelvis av e-post och kontaktlistor, och kanske även känsliga personuppgifter. Även dessa måste vara spärrade och kan inte hållas tillgängliga för vem som helst.

Det kan finnas problem med att lagra personuppgifter och särskilt känsliga personuppgifter på arbetsgivarens dator. Så länge arbetsgivaren inte motsätter sig sådan lagring är den tillåten så länge kraven på säkerhet, behörighetsbegränsning och hemlighållande kan upprätthållas. Om en arbetsgivare kräver att ni ska ingå ett avtal om att vara personuppgiftsbiträde för att godkänna er lagring på sina servrar måste ni kontakta Akavia. Det är förbundet som är personuppgiftsansvarig.

Lagring på egna datorer, andra än arbetsgivarens, ska undvikas då detta innebär att personuppgifter riskerar att spridas och säkerheten inte kan garanteras. Lagring av personuppgifter får inte ske på servrar utanför EU/EES-området.

Din arbetsgivares hantering och utlämnande av medlemmars personuppgifter

Kommunala arbetsgivare behandlar personuppgifter i samband med bland annat löneöversyner, förhandlingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till lokal Akaviaförening eller till dig som lokalombud. I vissa fall har arbetsgivaren hävdat att de inte kan lämna ut personuppgifter på grund av GDPR. Akavia är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR. Känsliga personuppgifter får lämnas ut när det finns en skyldighet enligt arbetsrätten att göra det. En sådan skyldighet kan följa av en lag, exempelvis MBL, LAS, förtroendemannalagen eller av ett kollektivavtal. En arbetsgivare kan alltså inte vägra att lämna ut personuppgifter med hänvisning till GDPR.

Särskilt för dig som är representant för Akavia i ett Sacoråd

Sacoråden har bildats av AkademikerAlliansen och Akademikerförbundet SSR för att gemensamt samverka med arbetsgivaren. Representant för Akavias medlemmar i Sacoråden utses av Akavia eller lokal Akaviaförening. Det är därför Akavia som är personuppgiftsansvarig för behandling av Akavias medlemmars uppgifter och du får som förtroendevald för Akavia hämta uppgifter om medlemskap i Akavia från Akavias kansli, från arbetsgivaren, eller från medlemmarna själva.

Det betyder att när du som är ledamot i ett Sacoråd för Akavia numera inte får begära medlemsuppgifter från andra förbund eller i övrigt hantera sådana i Sacorådets namn. Gamla medlemslistor som finns kvar hos Sacoråden ska raderas.

Får ni frågor från medlemmar om hanteringen av deras personuppgifter ska de således hänvisas till Akavia.

Särskilt för dig som är ledamot i en AkademikerAlliansförening eller en Sacoförening

Akavia tillhör förhandlingskartellen AkademikerAlliansen som är en organisation i vilken 16 förbund samverkar både på central nivå men det finns möjlighet för förbunden att samverka även på lokal nivå inom ramen för lokala AkademikerAlliansföreningar.

Sacoföreningar är föreningar där medlemmar i Sacoförbund väljer styrelse för samverkan med arbetsgivare, ofta på lokal-lokal nivå inom stora kommuner och landsting.

Är du ledamot i någon av dessa föreningar och har frågor om GDPR kommer information att lämnas inom kort. Har du brådskande frågor kan du kontakta Akavias kansli.

Kontakt

Om du har frågor om förbundets personuppgiftsbehandling kan avtalsansvariga ge dig information av mer specifik karaktär och hänvisa dig till förbundets jurister för rättsliga frågor.

DATASKYDDSOMBUD

Akavia har utsett dataskyddsombud som ska övervaka hur förbundet efterlever GDPR. Kontaktuppgifter till dataskyddsombudet är:

E-post: dataskyddsombud@akavia.se
Telefon: 072 326 12 32
Postadress: Akavia, Att: Dataskyddsombudet, Box 5167, 102 44 Stockholm

FAQ
GDPR för förtroendevalda

Hur ska förtroendevalda få ta del av medlemsinformation?

Akavia samarbetar med andra fackförbund inom Saco, när vi ska tillvarata medlemmarnas intressen inom de olika sektorerna på arbetsmarknaden. Det pågår fortfarande ett arbete med att se över befintliga överenskommelser mellan förbunden så att de ska vara förenliga med GDPR.

Utöver de juridiska övervägandena så pågår det en översyn av de IT-lösningar som finns för att du som förtroendevald ska kunna kommunicera med medlemmarna på arbetsplatsen, utan att använda arbetsgivarens e-post.

GDPR-utbildning för dig som förtroendevald?

Inom Saco pågår det ett arbete med att ta fram en utbildning för förtroendevalda.

Tanken är att genomförd utbildning ska leda till att den förtroendevalda får kunskaper att hantera medlemsinformation från förbundet.

Vad kan du som förtroendevald förbereda?

För att förenkla förbundets GDPR-arbete kan du ta fram en enkel förteckning med vilka personuppgifter som föreningen hanterar – se exempel?

  • Vilka personuppgifter?
  • Hur sparas uppgifterna – i word, excel, annat?
  • Varför sparar ni uppgifterna
  • Var sparas uppgifterna – hos arbetsgivaren?
  • Vilka kan ta del av uppgifterna

En medlem vill ha ett registerutdrag - vad innebär det?

Ett registerutdrag för i dagligt tal tanken till en myndighet som för register, exempelvis belastningsregister, misstankeregister och dylikt.

Med registerutdrag i GDPR:s mening avses en sammanställning av den personuppgiftsbehandling som förbundet vidtagit, enligt punkten ovan. Registerutdrag eller information ska lämnas så snart det är möjligt och som längst får det ta en månad att lämna ut informationen.

Om en medlem vill ha ut flera registerutdrag med kort mellanrum har förbundet rätt att ta betalt för det.

Vad innebär det att en medlem vill bli glömd och hur gör jag då?

Enligt GDPR har medlemmar rätt att bli "glömda". Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Akavias kansli.

Kan jag som förtroendevald dela information till min arbetsgivare?

Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller en arbetsbristförhandling. Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen. Det bör, ur ett GDPR-perspektiv, vara möjligt att vara ”hemlig medlem” i lokalföreningen, men det innebär att medlemmen inte kan bli företrädd i förhandlingar eller lönerevisioner och även att arbetsgivaren inte är skyldig att tillämpa Akavias kollektivavtal på medlemmen.

Kan arbetsgivare ge oss information, till exempel listor på anställda?

GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.

Hur får vi skicka personuppgifter mellan lokalföreningen och förbundet?

Akavia är personuppgiftsansvariga och lokalföreningen utgör ett personuppgiftsbiträde. Det föreligger ett avtalsmässigt förhållande mellan lokalföreningen och förbundet. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas ska det göras med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.

Får man spara gamla medlemslistor och andra Excel- eller Wordfiler i sin dator med personuppgifter? Eller när måste man gallra bort dem?

Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om Excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.

Kan vi spara information på arbetsgivarens server?

Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar som tillhandahålls på arbetsplatsen. Tillsvidare gör Akavia ingen annan bedömning än att det går att fortsätta att använda arbetsgivarens servrar och e-post för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget.

Vad ska jag tänka på när jag skickar e-post?

All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas. Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.

Hur hanterar vi bilder från sammankomster?

Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det.
Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.