GDPR och förtroendevald

GDPR står för General Data Protection Regulation och brukar översättas till dataskyddsförordningen. GDPR precis som PUL reglerar rätten och sättet att behandla personuppgifter i organisationer. GDPR började gälla den 25 maj 2018.

Frågor och svar om GDPR

En medlem vill ha ett registerutdrag - vad innebär det?

Ett registerutdrag för i dagligt tal tanken till en myndighet som för register, exempelvis belastningsregister, misstankeregister och dylikt. Med registerutdrag i GDPR:s mening avses en sammanställning av den personuppgiftsbehandling som förbundet vidtagit, enligt punkten ovan. Registerutdrag eller information ska lämnas så snart det är möjligt och som längst får det ta en månad att lämna ut informationen. I undantagsfall kan den registrerade behöva vänta längre.  Om en medlem vill ha ut flera registerutdrag med kort mellanrum har förbundet rätt att ta betalt för det.

Vad innebär det att en medlem vill bli glömd och hur gör jag då?

Enligt GDPR har medlemmar rätt att bli ”glömda”. Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Civilekonomernas kansli.

Kan jag som förtroendevald dela information till min arbetsgivare?

Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller en arbetsbristförhandling. Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen. Det bör, ur ett GDPR-perspektiv, vara möjligt att vara ”hemlig medlem” i lokalföreningen, men det innebär att medlemmen inte kan bli företrädd i förhandlingar eller lönerevisioner och även att arbetsgivaren inte är skyldig att tillämpa Civilekonomernas eller annat Saco-förbunds kollektivavtal på medlemmen.

Kan arbetsgivare ge oss information, till exempel listor på anställda?

GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.

Hur får vi skicka personuppgifter mellan lokalföreningen och förbundet?

Civilekonomerna är personuppgiftsansvariga och lokalföreningen utgör ett personuppgiftsbiträde. Det föreligger ett avtalsmässigt förhållande mellan lokalföreningen och förbundet. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas ska det göras med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.

Får man spara gamla medlemslistor och andra excel- eller wordfiler i sin dator med personuppgifter? Eller när måste man gallra bort dem?

Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.

Kan vi spara information på arbetsgivarens server?

Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar som tillhandahålls på arbetsplatsen. Tillsvidare gör Civilekonomerna ingen annan bedömning än att det går att fortsätta att använda arbetsgivarens servrar och e-post för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget.

Vad ska jag tänka på när jag skickar e-post?

All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas. Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.

Hur hanterar vi bilder från sammankomster?

Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det.

Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.

Hur hanterar vi styrelseprotokoll där enskilda medlemmar nämns i olika sammanhang (kommande ärenden, pågående ärenden, avslutade ärenden)?

All lagring måste ske på ett säkert sätt. Om det sparas i pappersform ska det hållas inlåst i utrymmen med begränsat tillträde.

Hur får vi förvara listor på medlemmar, till exempel i samband med lönerevisionen?

Lönerevisionen är en viktig del av det fackliga arbetet och för att kunna tillvarata medlemmarnas intressen får vi behandla personuppgifter i sådant arbete. De generella åtgärderna för säker förvaring och hantering gäller även då. Vi har fått frågor om det är tillåtet att spara personuppgifter från tidigare lönerevisioner för att se utveckling över tid för enskilda medlemmar. Vår bedömning är att även detta är tillåtet så länge inte medlemmen avslutat sitt medlemskap eller bytt arbetsgivare. 

Kan jag spara MBL-protokoll, enskilda förhandlingar etc?

Du kan spara alla förhandlingsprotokoll under den tid en medlem har rättslig möjlighet att rikta rättsliga anspråk mot förbundet med anledning av tvisten. Det avgörs av vilken preskriptionstid som gäller. Enligt svensk lag gäller en preskriptionstid på tio år om inget annat följer av lag eller avtal. Du kan alltså spara förhandlingsprotokoll i tio år efter avslutad lokal förhandling, och i förkommande fall tio år efter avslutad central förhandling.

Vad ska jag tänka på vid rekrytering? Kan jag använda egna register eller listor för rekrytering?

Om du behandlar personuppgifter för anställda för att försöka rekrytera dessa kan du behandla dessa med stöd av en proportionalitetsavvägning. Det innebär att du har rätt att använda listorna i ditt rekryteringsarbete. Om en anställd klart och tydligt svarat att den inte vill bli rekryterad måste du dock föra bort den från listan.