GDPR för dig som är förtroendevald i privat sektor

Den 25 maj 2018 trädde Dataskyddsförordningen (GDPR) i kraft. GDPR innehåller bestämmelser om personuppgiftsbehandling. Dataskyddsförordningen är en EU-förordning. Denna är direkt tillämplig i nationell lagstiftning.

Förordningens tillämpningsområde

GDPR är tillämpligt på behandling av personuppgifter. För att man ska kunna veta om en aktivitet omfattas av GDPR behöver man veta om informationen man behandlar är att anse som en personuppgift och om aktiviteten man utför är att anse som en behandling. Vissa organisationer är undantagna bestämmelserna i GDPR, men förbund och dess lokalföreningar omfattas och måste organisera verksamheten utifrån det.

Det första man oftast tänker på när man tänker på vad som är en personuppgift är personnummer. Personnummer är helt klart en personuppgift men även många andra uppgifter kan vara en personuppgift. En personuppgift är information som ensamt eller tillsammans med annan information kan identifiera en fysiskt levande person. Det finns därför mycket information som man normalt inte tänker på som en personuppgift men som ändå omfattas av GDPR. Exempelvis är uttrycket "vd för Akavia” en personuppgift eftersom det bara finns en vd på Akavia och det går då att identifiera vilken person som avses.

  • Namnuppgifter
  • E-postadresser
  • Telefonnummer
  • Registreringsnummer
  • Medlemsnummer

är exempel på information man ofta behandlar och som är att anses som en personuppgift och därför omfattas av GDPR. En person vars personuppgifter behandlas kallas för den registrerade i GDPR och även i denna instruktion.

En behandling av en personuppgift är all typ av aktivitet man kan vidta med en personuppgift, till exempel spara, bearbeta, överföra, skicka vidare etcetera. Allting man gör med en personuppgift räknas alltså som en behandling och omfattas således av GDPR.

Att en personuppgiftsbehandling omfattas av GDPR betyder inte att behandlingen är otillåten utan att det finns regler för hur och i vilka sammanhang sådan behandling får ske.

Instruktionens innehåll

Du som förtroendevald behandlar personuppgifter i din lokalfackliga verksamhet. Detta betyder att du måste ta hänsyn till regleringen i GDPR när du arbetar fackligt. Nedan följer information för dig som förtroendevald om vad som är en tillåten och vad som är en otillåten personuppgiftsbehandling. Det är en instruktion kring hur du måste hantera personuppgifter i din roll som förtroendevald och information kring vilken ansvarsfördelning som gäller mellan er lokala förening och förbundet centralt respektive er arbetsgivare.

Vid frågor

Har du som förtroendevald frågor om GDPR och personuppgiftsbehandling ska du kontakta kontaktförbundet för din arbetsplats. Det finns också till varje förbund ett personuppgiftsombud som du kan kontakta. Akavias Dataskyddsombud, se under rubriken kontakt nedan.

Generellt om behandling av personuppgifter

Inledning

För att en personuppgiftsbehandling ska vara laglig krävs det att visa krav är uppfyllda. Dels måste behandlingen följa vissa principer och dessutom måste behandlingen vila på en laglig grund. Vilka principer som ska följas och vilka lagliga grunder som finns att vila en personuppgiftsbehandling på regleras i GDPR art 5 och 6. Nedan kommer principerna och de aktuella lagliga grunderna för den verksamheten vi bedriver att gås igenom.

Det finns också några kategorier av extra känsliga personuppgifter som enligt huvudregeln är förbjudna att behandla. Det finns dock ett antal undantag för behandling av dessa känsliga uppgifter och förutsättningarna för att tillämpa dessa undantag är uppfyllda är behandling tillåten. Detta framgår av art 9 i GDPR.

Personuppgifter som avslöjar fackligt medlemskap är en sådan känslig personuppgift som faller in under denna kategori och är alltså som utgångspunkt förbjudet att behandla om det inte går att stödja sig på något av de uppräknade undantagen. Undantag från förbudet får göras av en fackförening inom dess fackliga verksamhet (art 9.2 d) och om det finns en skyldighet inom arbetsrätten att utföra en aktivitet som kräver behandling (art 9.2 b). Det är med stöd av dessa två undantag ni har rätt att behandla era medlemmars känsliga personuppgifter. Eftersom de flesta av de personuppgifter du som förtroendevald hanterar avslöjar fackligt medlemskap kommer denna instruktion också behandla delen av GDPR som handlar om behandling av känsliga personuppgifter.

Ansvar

För all form av personuppgiftsbehandling ska det finnas en personuppgiftsansvarig organisation eller fysisk person. Som anställd eller förtroendevald är du att anse som osjälvständig medhjälpare till den personuppgiftsansvariga. Inom Akavia är det förbundet på central nivå som är personuppgiftsansvarig. Detta gäller så länge den lokala föreningen agerar i enlighet med de stadgar, instruktioner och förordnanden som den fått från förbundet.

Om en lokal förening bedriver sidoverksamhet som faller utanför syftet eller ändamålet med en fackförening är lokalföreningen ansvarig i de delarna. Det kan exempelvis vara fråga om sociala aktiviteter som inte har någon anknytning till förbundet centralt såsom ett vinlotteri, gemensamma semesterresor, tipsbolag, konstföreningar och dylikt.

För behandling av personuppgifter i den fackliga verksamheten är den lokala akademikerföreningen ett personuppgiftsbiträde till det kontaktförbund som utsetts av Sacoförbunden gemensamt. Kontaktförbunden avgörs i allmänhet av vilket förbund som är part i kollektivavtal och om det är flera parter i kollektivavtalet så har dessa förbund fördelat arbetsplatser emellan sig. Kontakta Akavia eller annat Saco-förbund som är part i det kollektivavtal som gäller på din arbetsplats för att få reda på vilket förbund som är ert kontaktförbund.

Principer för behandling av personuppgifter
För att en personuppgiftsbehandling ska vara tillåten krävs det att vissa principer efterlevs av den som behandlar personuppgifterna. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Uppgifterna ska dessutom samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandlas på något sätt som är oförenligt med dessa ändamål. Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen. De ska dessutom vara uppdaterade.

Dessa principer tar sikte på att den som behandlar personuppgifter enbart gör det för ett berättigat ändamål och bara behandlar personuppgifter som är nödvändiga för ändamålet. Man får alltså inte samla på sig massor av information om en per-son som man inte behöver och man får heller inte använda information om en person för andra saker än det ursprungliga ändamålet.

I vår verksamhet är ändamålet med personuppgiftsbehandlingen, som sker hos er lokala företrädare, att vi ska kunna tillvarata våra medlemmars arbetsrättsliga intressen hos sin arbetsgivare. Er lokala förening får därför bara behandla de personuppgifter ni får ta del av i egenskap av fackliga företrädare till den fackliga verksamheten och med ett fackligt ändamål.

Det är heller inte tillåtet att samla på sig information man inte behöver. Som exempel behöver en facklig företrädare inte känna till vad en medlem har för fritidsintressen och då är det information som heller inte ska behandlas. När medlemmar slutar på er arbetsplats har ni heller inget berättigat ändamål att fortsätta behandla personuppgifter om dessa eftersom ni inte längre företräder dem i fackliga frågor, förutsatt att ni inte har haft något ärende och behöver arkivera exempelvis förhandlingsprotokoll och liknande.

Lagliga grunder

För att en personuppgiftsbehandling ska vara tillåten krävs det att behandlingen vilar på en laglig grund. Det finns sex olika lagliga grunder i GDPR. Den lagliga grund behandlingen av personuppgifter ni som lokalfackliga vilar på är avtalsgrunden (art 6.1 b). En laglig grund för personuppgiftsbehandling är nämligen att behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.

I detta fall handlar det om avtalet medlemmen ingår med Akavia. I medlemskapet ingår att bli företrädd lokalt på arbetsplatsen och därför är personuppgiftsbehandlingen som ni som lokalfackliga utför tillåten under denna lagliga grund.

Behandling av känsliga uppgifter

Huvudregeln är att behandling av personuppgifter som avslöjar fackligt medlemskap är förbjudet. Det finns dock en del undantag som gör det möjligt att behandla den kategorin av personuppgifter. Ett sådant undantag är att behandlingen sker inom ramen för berättigad verksamhet hos en förening med fackligt syfte. Eftersom Akavia är en förening med fackligt syfte får vi lov att behandla personuppgifter på våra medlemmar.

Uppgifter om hälsa är också en sådan känslig personuppgift som det finns restriktioner kring att behandla. Denna typ av uppgifter angående våra medlemmar kan ni komma i kontakt med i exempelvis rehabärenden.

Eftersom det mesta av de personuppgifter ni behandlar i er fackliga roll är känsliga uppgifter enligt GDPR är det viktigt att ni hela tiden är uppmärksamma på det och är noga med att inte sprida dessa uppgifter till obehöriga. Ni är också skyldiga att se till att all behandling sker på datorer som har ett fullgott skydd mot obehöriga intrång och att informationen skyddas mot obehöriga intrång genom personliga inloggningsuppgifter. Om personuppgifter lagras i register eller i pärmar ska dessa hållas inlåsta och säkert förvarade.

Tänk på att era mobiltelefoner och surfplattor innehåller personuppgifter, i form exempelvis av e-post och kontaktlistor, och kanske även känsliga personuppgifter. Även dessa måste vara spärrade och kan inte hållas tillgängliga för vem som helst.

Personuppgiftsbehandling för lokalföreningar

Inledning

Följande avsnitt är en instruktion för personuppgiftsbehandling som ni som lokalfacklig förening måste följa. Detta är den instruktion som hänger ihop med själva förordnandet om personuppgiftsbiträde. Det är viktigt att denna instruktion efterlevs för att ni som lokalförening ska ses som biträde till Akavia och inte anses ha eget personuppgiftsansvar. Ni får inte behandla personuppgifter för något annat ändamål än det lokalfackliga syftet.

Insamling av personuppgifter

Akademikerföreningarnas insamling av personuppgifter sker löpande från att en medlem ansöker om medlemskap tills det att den går ur förbundet eller avslutar sin anställning. All insamling måste ha en laglig grund i GDPR. Så länge insamlingen har anknytning till facklig verksamhet är den lagliga grunden medlemskapet. När insamling sker ska ändamålet med användningen av personuppgifterna alltid anges tydligt. Insamling kan ske direkt från medlemmen eller ibland från ett register eller andra källor.

När ni samlar in personuppgifter från medlemmar eller arbetstagare bör ni alltid fundera på hur mycket info som behövs för att fullgöra ändamålet. Utgå ifrån vad ni behöver för att bedriva lokal fackligt arbete. Fundera på hur ni formulerar anmälningsformulär, förteckningar över medlemmar. Utgångspunkten är att inte samla in och lagra på mer än vad som är nödvändigt. Försök alltid att minimera insamlandet. Ändamålen ska alltid anges i samband med insamlingen. Om ni tar fram eget material för rekrytering eller ansökningsblanketter måste information om personuppgiftsbehandling och en hänvisning till Akavias webbplats finnas på materialet. Sådant material bör alltid stämmas av med förbundet centralt för att säkerställa att samma och korrekt information går ut till alla medlemmar, kontakta er avtalsansvariga ombudsman.

Hantering

All hantering ska ske lagligt, korrekt och öppet i förhållande till den registrerade, GDPR art 5. Hanteringen får aldrig innebära att personuppgifter används för andra ändamål än för det som angavs när insamlingen skedde, ändamålsbegränsning. Personuppgifter ska vara korrekta och uppdatering ska ske om det behövs i förhållande till ändamålet med att hantera uppgifterna.

Delning

De personuppgifter vi behandlar innebär i stort sätt alltid uppgifter om facklig tillhörighet, eftersom det ofta framgår att det är fråga om medlemmar i något förbund. Då sådana personuppgifter är särskilt känsliga ska de delas med andra endast om det är nödvändigt och särskild försiktighet ska vidtas. Alla e-postutskick ska ske så att andra mottagares e-postadresser är dolda för mottagarna. Om ni skickar listor på medlemmar i er förening eller uppgifter om facklig tillhörighet eller personnummer med e-post ska dessa alltid skickas krypterade och låsta så att det behövs lösenord för att öppna och läsa dem. Dela inte personuppgifter om det inte är nödvändig för att fullgöra ändamålen och ert fackliga arbete och försök att undvika att ange de fyra sista sifforna om det är möjligt.

Lagring

All lagring av personuppgifter i såväl elektronisk som annan form, pärmar och pappersregister, måsta förvaras på ett sådant sätt att inte fler än nödvändigt har tillgång till de. Pärmar och pappersregister måste hållas avskilda och inlåsta. Elektroniskt lagrade uppgifter måste hållas bakom säkra inloggningar och reglerade med strikta behörigheter. All lagring ska ske på ett sådant strukturerat sätt att det ska gå att radera och överföra personuppgifterna till annan på den registrerades begäran. Undvik därför att spara personuppgifter på flera ställen parallellt.

Det kan finnas problem med att lagra personuppgifter och särskilt känsliga personuppgifter på arbetsgivarens dator. Så länge arbetsgivaren inte motsätter sig sådan lagring är den tillåten så länge kraven på säkerhet, behörighetsbegränsning och hemlighållande kan upprätthållas. Om en arbetsgivare kräver att ni ska ingå ett avtal om att vara personuppgiftsbiträde för att godkänna er lagring på sina servrar måste ni kontakta Akavia då ni som personuppgiftsbiträde till förbundet inte har behörighet att biträda er den rollen. Det är inte ni som är personuppgiftsansvariga utan förbundet centralt.

Lagring på egna datorer, andra än arbetsgivarens, ska undvikas då detta innebär att personuppgifter riskerar att spridas och säkerheten inte kan garanteras. Om ni som lokalförening vill använda er av någon molntjänst måste ni vara säkra på att den uppfyller de stränga krav på säkerhet som ställs och att servrarna inte är placerade utanför EU/EES-området.

Lagring av personuppgifter får inte ske på servrar utanför EU/EES-området. Samma regler gäller för arbetsgivaren egen behandling, men kontrollera att arbetsgivaren inte har sina servrar utanför EU.

Gallring

Allt material som inte behövs ska ni göra er av med. Medlemslistor ska hållas uppdaterade och utträdda medlemmar eller medlemmar som slutat hos arbetsgivaren ska inte finnas med i något register. Lönelistor får bara sparas om de ska användas för statistik eller lönekartläggningsarbete. Då ska de avidentifieras eller pseudonymiseras.

Om en medlem haft ett ärende hos er ska ni spara personuppgifter i detta ärende under den tid medlemmen kan rikta ett rättsligt krav mot förbundet, genom en reklamation eller ett skadeståndskrav. Den tiden avgörs av allmänna preskriptionslagen och lyder på tio år. Under den tiden har ni rätt att spara personuppgifter även om medlemmen motsätter sig detta. Medlemmen har inte heller rätt att kräva att ni raderar sådan information.

Ni ska löpande gå igenom gammal e-post och gamla dokument och fundera på vad ni ska radera. Det är inte tillåtet att spara gamla e-postmeddelanden som innehåller personuppgifter, till exempel e-postadressen, om det inte finns en orsak till det. Ni bör löpande lagra viktig e-post på ett strukturerat sätt och radera sådant ni bedömt att ni inte behöver lagra.

Incident

Om personuppgifter genom en olycka eller genom ett sabotage eller liknande ofrivilligt förstörs, ändras, obehörigen röjs eller blir tillgängligt för obehörig kan det utgöra en så kallad personuppgiftsincident. Exempel på personuppgiftsincidenter är att en mobil enhet innehållande medlemsförteckningen i föreningen tappas bort eller stjäls. Det kan också vara fråga om virus som raderar eller skadar innehåll på en dator som innebär att det inte går att komma åt personuppgifterna. Om en sådan incident inträffar ska ni omedelbart rapportera detta till förbundet. Skicka e-post till dataskyddsombud@saco.se och förklara vad som hänt. Det finns korta tidsfrister för att agera vid en sådan personuppgiftsincident varför omedelbarhetskravet är särskilt viktigt.

Relationen till förbundet centralt

Du som förtroendevald agerar å förbundets vägnar lokalt på din arbetsplats. Alla medlemmar i din lokala förening är i första hand medlem i ett centralt Sacoförbund och du som lokal förtroendevald företräder Akavia och övriga Sacoförbund. Detta innebär att er lokala förening behandlar personuppgifter för ert kontaktförbunds räkning. Det är inte du som enskild person som ansvarar för behandlingen av personuppgifterna utan det är den lokala föreningen som utför själva behandlingen. Detta innebär att er lokala förening blir personuppgiftsbiträde åt kontaktförbundet centralt då all personuppgiftsbehandling ni utför genomförs för det förbundets räkning. Det är kontaktförbundet som är personuppgiftsansvarig för den personuppgiftsbehandling ni som lokalförening måste utföra för att kunna bedriva lokala förhandlingar.

För att ni ska kunna bedriva lokalfacklig verksamhet är det ett krav att föreningen accepterar sin roll som personuppgiftsbiträde och följer instruktionen och förordnandet från sitt kontaktförbund.

Om en lokalförening behandlar personuppgifter i strid med förordnandet och instruktionen riskerar den att ses som självständigt personuppgiftsansvariga.

Relationen till din arbetsgivare

När du som lokalfacklig sparar ner information om våra medlemmar på arbetsgivarnas datorer gör du det i syfte att kunna bedriva sin fackliga verksamhet och företräda medlemmarna lokalt.

Arbetsgivare behandlar personuppgifter i samband med bland annat förhandlingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till er som lokalförening. I vissa fall har arbetsgivaren hävdat att de inte kan lämna ut personuppgifter på grund av GDPR. Akavia är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR art 6 c. Känsliga personuppgifter får lämnas ut med stöd av art 9.2 b, när det finns en skyldighet enligt arbetsrätten att göra det. En sådan skyldighet kan följa av en lag, exempelvis MBL, LAS eller förtroendemannalagen, eller av ett kollektivavtal. En arbetsgivare kan alltså inte kategoriskt vägra att lämna ut personuppgifter med stöd av GDPR. Det är i och för sig inte samma sak som att arbetsgivaren måste lämna ut personuppgiften till föreningen, men följer det av lag eller kollektivavtal att arbetsgivaren ska lämna ut personuppgifter så är GDPR inget hinder för det.

Vissa arbetsgivare har uppfattningen att de behandlar personuppgifter genom att tillhandahålla serverutrymme till lokalfackliga föreningar. Det har förekommit att arbetsgivare därför vägrat att tillhandahålla serverutrymme för fackligt arbete om föreningen inte undertecknat ett avtal där arbetsgivaren är personuppgiftsbiträde åt föreningen lokalt. Ni kan inte som lokalförening teckna ett sådant avtal eftersom det är förbundet centralt som är personuppgiftsansvarigt och därmed äger frågan om vilka personuppgiftsbiträdesavta som ska tecknas. Hör av er till kontaktförbundet om denna situation uppstår.

Särskilt för centralt förtroendevalda

Om du kandiderar som förtroendevald i förbundet har du i någon mån accepterat att din fackliga tillhörighet inte behöver hållas hemlig, trotts att det är en känslig personuppgift. Förbundet kommer då att behöva behandla dina personuppgifter i större utsträckning än annars. Det innebär att dina personuppgifter kommer att finnas med i protokoll som arkiveras av förbundet, dina personuppgifter kommer även att behandlas för att erbjuda dig relevanta utbildningar för ditt uppdrag och din roll.

Om du nomineras till central förtroendepost i förbundet kommer du att bli kontaktad och tillfrågad om du är intresserad av att kandidera. Förbundets valberedning kommer då att behandla dina personuppgifter för att utreda om du är en kandidat som ska föreslås som kandidat. Som kandidat och som förtroendevald kommer dina personuppgifter att förekomma offentligt och enligt GDPR anses du då själv ha offentliggjort dina personuppgifter (art 9.2 e). Det innebär inte att grundprinciperna i GDPR inte är tillämpliga men förbundet kommer att behandla och i nödvändiga fall publicera personuppgifter som namn, e-postadress och foto.

Särskilt för kontaktpersoner

Som kontaktperson på en arbetsplats är du att se som en så kallad osjälvständig medhjälpare till den personuppgiftsansvariga, Akavia. Det innebär att du är att se som en anställd i förbundet. Samma direktiv gällande personuppgiftsbehandling gäller för dig som för anställda i förbundet.

Kontakt

Om du har frågor om förbundets personuppgiftsbehandling kan avtalsansvariga ge dig information av mer specifik karaktär och hänvisa dig till förbundets jurister för rättsliga frågor.

DATASKYDDSOMBUD

Akavia har utsett dataskyddsombud som ska övervaka hur förbundet efterlever GDPR. Kontaktuppgifter till dataskyddsombudet är:

E-post: dataskyddsombud@akavia.se
Telefon: 072 326 12 32
Postadress: Akavia, Att: Dataskyddsombudet, Box 5167, 102 44 Stockholm

FAQ
GDPR för förtroendevalda

Hur ska förtroendevalda få ta del av medlemsinformation?

Akavia samarbetar med andra fackförbund inom Saco, när vi ska tillvarata medlemmarnas intressen inom de olika sektorerna på arbetsmarknaden. Det pågår fortfarande ett arbete med att se över befintliga överenskommelser mellan förbunden så att de ska vara förenliga med GDPR.

Utöver de juridiska övervägandena så pågår det en översyn av de IT-lösningar som finns för att du som förtroendevald ska kunna kommunicera med medlemmarna på arbetsplatsen, utan att använda arbetsgivarens e-post.

GDPR-utbildning för dig som förtroendevald?

Inom Saco pågår det ett arbete med att ta fram en utbildning för förtroendevalda.

Tanken är att genomförd utbildning ska leda till att den förtroendevalda får kunskaper att hantera medlemsinformation från förbundet.

Vad kan du som förtroendevald förbereda?

För att förenkla förbundets GDPR-arbete kan du ta fram en enkel förteckning med vilka personuppgifter som föreningen hanterar – se exempel?

  • Vilka personuppgifter?
  • Hur sparas uppgifterna – i word, excel, annat?
  • Varför sparar ni uppgifterna
  • Var sparas uppgifterna – hos arbetsgivaren?
  • Vilka kan ta del av uppgifterna

En medlem vill ha ett registerutdrag - vad innebär det?

Ett registerutdrag för i dagligt tal tanken till en myndighet som för register, exempelvis belastningsregister, misstankeregister och dylikt.

Med registerutdrag i GDPR:s mening avses en sammanställning av den personuppgiftsbehandling som förbundet vidtagit, enligt punkten ovan. Registerutdrag eller information ska lämnas så snart det är möjligt och som längst får det ta en månad att lämna ut informationen.

Om en medlem vill ha ut flera registerutdrag med kort mellanrum har förbundet rätt att ta betalt för det.

Vad innebär det att en medlem vill bli glömd och hur gör jag då?

Enligt GDPR har medlemmar rätt att bli "glömda". Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Akavias kansli.

Kan jag som förtroendevald dela information till min arbetsgivare?

Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller en arbetsbristförhandling. Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen. Det bör, ur ett GDPR-perspektiv, vara möjligt att vara ”hemlig medlem” i lokalföreningen, men det innebär att medlemmen inte kan bli företrädd i förhandlingar eller lönerevisioner och även att arbetsgivaren inte är skyldig att tillämpa Akavias kollektivavtal på medlemmen.

Kan arbetsgivare ge oss information, till exempel listor på anställda?

GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.

Hur får vi skicka personuppgifter mellan lokalföreningen och förbundet?

Akavia är personuppgiftsansvariga och lokalföreningen utgör ett personuppgiftsbiträde. Det föreligger ett avtalsmässigt förhållande mellan lokalföreningen och förbundet. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas ska det göras med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.

Får man spara gamla medlemslistor och andra Excel- eller Wordfiler i sin dator med personuppgifter? Eller när måste man gallra bort dem?

Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om Excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.

Kan vi spara information på arbetsgivarens server?

Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar som tillhandahålls på arbetsplatsen. Tillsvidare gör Akavia ingen annan bedömning än att det går att fortsätta att använda arbetsgivarens servrar och e-post för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget.

Vad ska jag tänka på när jag skickar e-post?

All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas. Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.

Hur hanterar vi bilder från sammankomster?

Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det.
Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.