Sådan overholder du reglerne for GDPR – personoplysninger

Det er oplysninger, der kan være med til at identificere en bestemt person, blandt andet navn, adresse, telefonnummer, e-mail, alder, køn, arbejdsfunktion, titel, uddannelse og arbejdsplads. Det er desuden oplysninger om medlemskab af en fagforening, seksualitet eller etnisk oprindelse, og helbred. 

Man inddeler personoplysninger i 3 kategorier: Følsomme personoplysninger, personoplysninger om strafbare forhold, og andre personoplysninger.

Nogle personoplysninger er særlig følsomme, blandt andet CPR-nummer, beskyttede navne og adresser, eksamenskarakterer, skriftlige advarsler fra arbejdsgiveren, personlighedstest, selvmordsforsøg, langtidsledighed, førtidspension og økonomiske forhold. 

Du skal som hovedregel undgå at identificere en person ud fra CPR-nummer. Brug fornavn og efternavn og eventuelt fødselsdato. 

Du behandler personoplysninger, når du indsamler, indtaster, organiserer, videresender, deler, opstiller, systematiserer, gemmer, arkiverer, anvender eller sletter personoplysninger.

Som tillidsrepræsentant har du dataansvar for persondata, som du behandler, medmindre du er underlagt instruks fra din fagforening.

En instruks beskriver, at du som repræsentant for fagforeningen foretager det aftalte tillidsrepræsentantarbejde, og at ansvaret – hvis noget går galt – falder tilbage på din fagforening. 

Arbejder du inden for instruksen, kommer du således ikke personligt til at hæfte, hvis der sker et databrud eller anden regelovertrædelse, der medfører en bøde.

Modtager du oplysninger fra din arbejdsgiver om dine kolleger, har arbejdsgiveren dataansvaret for disse data, så længe data bliver på arbejdspladsen. Det betyder, at du skal følge arbejdsgiverens instrukser om databehandling i disse tilfælde. 

Sender du data om dine kolleger videre til din fagforening i forbindelse med en faglig sag, bliver fagforeningen dataansvarlig.

Sender du data til din private e-mail, uden det har et formål jævnfør instruksen, er du personligt dataansvarlig og skal således selv hæfte for eventuel bøde.

Arbejder du ikke under instruks, skal du være opmærksom på, at du selv er dataansvarlig og skal opfylde forpligtelserne som dataansvarlig.

Du har som tillidsrepræsentant ret til at få oplysninger fra arbejdsgiver, som er nødvendige for at udføre dit tillidshverv for de kolleger, du har forhandlingsretten over. 

Det gælder blandt andet løn, løntillæg og begrundelser for tildeling af tillæg. Desuden navn, mail, fødselsdag, uddannelse, ansvarsområde, stillingsbetegnelse, anciennitet, faggruppe mv.

For nyansatte har du ret til at få oplysninger om navn, kvalifikationer og løn og indplacering i forhold til anciennitet. 

Du har også ret til at få oplysninger om race eller etnisk oprindelse, politisk og religiøs overbevisning, seksuelle forhold og seksuel orientering, og helbredsoplysninger som misbrug af medicin, narkotika og alkohol. Disse oplysninger har du ret til at behandle så længe, som det er relevant i forbindelse med din varetagelse af dit arbejde som tillidsrepræsentant. 

Hvis du oplever, at din arbejdsgiver sår tvivl om, at du er berettiget til at se oplysninger, som er relevante for din funktion som tillidsrepræsentant, så kontakt din fagforening.

Hvis du bliver mødt med manglende vilje fra din arbejdsgiver til at udlevere oplysninger om løn og arbejdsvilkår, kan argumenterne være følgende:

• … [det må vi desværre ikke længere på grund af GDPR...] I dette tilfælde skal du vide: Det er ikke ulovligt at udlevere oplysninger til TR, hvis det følger en arbejdsretlig forpligtelse.
• Hvis I allerede har en ordning om at få lønoplysninger i virksomheden, er det en kutyme, virksomheden har pligt til at fortsætte med. Det kan den som udgangspunkt ikke se bort fra.
• Er det nyt, at du beder om oplysninger om løn og arbejdsvilkår, skal arbejdsgiveren følge de regler, der fremgår af overenskomsten og de arbejdsretlige forpligtelser, der følger med denne. Det betyder, at du godt kan ”kræve” at få information om for eksempel gennemsnitsløn, højeste løn og laveste løn, der udbetales til de kolleger, du repræsenterer som tillidsvalgt.  

Serviceforbundets holdning er, at det vil være op til arbejdsgiver at påvise/dokumentere, at udleveringen af lønoplysninger er blevet ulovlig som følge af GDPR/databeskyttelsesforordningen. 

Det gør vi blandt andet på baggrund af nedenstående tekst, som er skrevet af Datatilsynet:  
”… Behandling af personoplysninger i forbindelse med ansættelsesforhold kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.” (kilde: Datatilsynet) 

Eksempel:
En tillidsrepræsentant (dig) på en arbejdsplads forhandler efter overenskomsten løntillæg for de ansatte. Alle de ansatte er repræsenteret af tillidsrepræsentanten (dig), der har forhandlingsretten, uanset at ikke alle er medlemmer af den fagforening, som tillidsrepræsentanten (du) tilhører. 

Fagforeningen har på grundlag af overenskomsten bemyndiget tillidsrepræsentanten til at forestå de lokale forhandlinger om løntillæg. 

For at kunne håndtere lønforhandlingen beder tillidsrepræsentanten (du) om lønoplysninger for alle de ansatte, der er omfattet af den kollektive overenskomst. Arbejdsgiveren kan/skal i denne situation udlevere lønoplysninger om alle de ansatte, som tillidsrepræsentanten (du) skal repræsentere. Ved at få oplysninger om alle og ikke kun de ansatte, der er medlem af fagforeningen, kan tillidsrepræsentanten (du) danne sig et samlet overblik over fordelingen af tillæg. 

Arbejdsgiveren skal dog være opmærksom på kun at videregive oplysninger, der er nødvendige i forhold til formålet.

Som udgangspunkt kan du udføre dine opgaver som tillidsrepræsentant, som du plejer – og også udveksle og behandle oplysninger, som du altid har gjort. Det skyldes, at i næsten alle tilfælde vil regler om arbejdsretlige forpligtelser og overholdelse af overenskomster, lokale aftaler og kutymer have større betydning end reglerne i persondataforordningen.

Helt grundlæggende har man ret til at få oplyst, hvilke personoplysninger, der behandles, og hvad formået er. Man har også ret til at rettet eller slettet urigtige oplysninger, hvis dette ikke er i strid med lovgivningen. 

Hvis en person beder om at få at vide, hvilke oplysninger du behandler om personen, skal du straks kontakte fagforeningen. Fagforeningen hjælper med at håndtere anmodningen korrekt, og fagforeningen er dataansvarlig. Det samme gælder for personens andre rettigheder.    

Den person, du behandler oplysninger om, har ret til at få oplyst, hvilke oplysninger, der behandles om dem, og hvad formålet med behandlingen er. Kontakt fagforeningen, hvis du bliver bedt om at udlevere personoplysninger. 

Hvis du kommer til at foretage et såkaldt databrud, skal du straks kontakte fagforeningen. Den har nemlig pligt til at vurdere, om det skal indberettes til Datatilsynet og om de personer, hvis oplysninger indgår i bruddet, skal informeres. 

Databrud kan for eksempel ske, hvis du sender en mail med personoplysninger til en forkert person eller flere personer, hvis du får stjålet din pc eller taske med papirer, som indeholder personoplysninger, eller at en uvedkommende person ser på din skærm.

Når formålet med behandlingen af oplysninger er ophørt, skal du slette oplysningerne. 

Hvis en kollega fratræder, skal du slette alle de personoplysninger, du har om denne person i overensstemmelse med slettepolitikken, som du har fået fra din fagforening.

Du bør også løbende gennemgå de personoplysninger, du behandler, for at se, om noget kan slettes, fordi der ikke mere er et sagligt formål for at gemme dem. 

Du skal slette permanent, så oplysningerne ikke mere kan genskabes. Det betyder, at du også skal tømme papirkurven i mailsystemet, at du makulerer fysiske papirer, og at du sletter filer på fildrev permanent.

Oplysning om medlemskab af en fagforening er en følsom oplysning.

Når du for eksempel sender invitationer ud til klubmøder, så afslører du, hvem der er medlem af klubben med mindre, du bruger adressefeltet bcc. Så pas meget på, hvem der ser med. 

Du har stadig pligt til at holde personoplysninger fortrolige, når du ophører som tillidsrepræsentant. Du skal derfor levere alt fysisk og digitalt materiale, som indeholder oplysninger om medlemmerne, videre til din efterfølger eller tilbage til fagforeningen. Også det du selv har lavet. 

Hvis du overtræder reglerne, kan det få konsekvenser for dit hverv, for eksempel at du mister adgangen til oplysninger eller andet vigtigt materiale.

Foretager du dig noget ulovligt, risikerer du en bødestraf.

Ja, virksomheden må som udgangspunkt gerne lægge billeder af ansatte op på intranettet uden at indhente særlig tilladelse. Det er et sagligt formål, at kolleger kan søge hinanden på intranettet. 

Nej, virksomheden må ikke offentliggøre billeder af deres ansatte på deres hjemmeside. Dette kræver samtykke fra medarbejderne.

Når du sender mails for eksempel i forbindelse med indkaldelse til klubmøder og lignende, skal du altid indsætte modtagerne i bcc-feltet. På den måde kan den enkelte modtager ikke se mailadresserne på de øvrige modtagere. 

Kontrol af medarbejdere indebærer typisk, at der sker en behandling af oplysninger om dem. Det betyder, at behandlingen – kontrollen – kun kan ske, hvis der er et gyldigt og lovligt behandlingsgrundlag (årsag til kontrollen):

• Kontrolforanstaltningerne skal være sagligt begrundet i driftsmæssige årsager og have et fornuftigt formål.
• De må ikke være krænkende over for de ansatte.
• Arbejdsgiveren skal som hovedregel underrette de ansatte om kontrolforanstaltninger senest 6 uger, inden de iværksættes.
• Den enkelte arbejdstager kan ikke samtykke til iværksættelsen af kontrolforanstaltninger. 

Læs mere om, hvad din arbejdsgiver må.