Sådan overholder du reglerne for GDPR – personoplysninger

Det er oplysninger, der kan være med til at identificere en bestemt person, blandt andet navn, adresse, telefonnummer, e-mail, alder, køn, arbejdsfunktion, titel, uddannelse og arbejdsplads. Det er desuden oplysninger om medlemskab af en fagforening, seksualitet eller etnisk oprindelse, og helbred. 

Man inddeler personoplysninger i 3 kategorier: Følsomme personoplysninger, personoplysninger om strafbare forhold, og andre personoplysninger.

Nogle personoplysninger er særlig følsomme, blandt andet CPR-nummer, beskyttede navne og adresser, eksamenskarakterer, skriftlige advarsler fra arbejdsgiveren, personlighedstest, selvmordsforsøg, langtidsledighed, førtidspension og økonomiske forhold. 

Du skal som hovedregel undgå at identificere en person ud fra CPR-nummer. Brug fornavn og efternavn og eventuelt fødselsdato. 

Du behandler personoplysninger, når du indsamler, indtaster, organiserer, videresender, deler, opstiller, systematiserer, gemmer, arkiverer, anvender eller sletter personoplysninger.

Som tillidsrepræsentant har du dataansvar for persondata, som du behandler, medmindre du er underlagt instruks fra din fagforening.

En instruks beskriver, at du som repræsentant for fagforeningen foretager det aftalte tillidsrepræsentantarbejde, og at ansvaret – hvis noget går galt – falder tilbage på din fagforening. 

Arbejder du inden for instruksen, kommer du således ikke personligt til at hæfte, hvis der sker et databrud eller anden regelovertrædelse, der medfører en bøde.

Modtager du oplysninger fra din arbejdsgiver om dine kolleger, har arbejdsgiveren dataansvaret for disse data, så længe data bliver på arbejdspladsen. Det betyder, at du skal følge arbejdsgiverens instrukser om databehandling i disse tilfælde. 

Sender du data om dine kolleger videre til din fagforening i forbindelse med en faglig sag, bliver fagforeningen dataansvarlig.

Sender du data til din private e-mail, uden det har et formål jævnfør instruksen, er du personligt dataansvarlig og skal således selv hæfte for eventuel bøde.

Arbejder du ikke under instruks, skal du være opmærksom på, at du selv er dataansvarlig og skal opfylde forpligtelserne som dataansvarlig.

Du har som tillidsrepræsentant ret til at få oplysninger fra arbejdsgiver, som er nødvendige for at udføre dit tillidshverv for de kolleger, du har forhandlingsretten over. 

Det gælder blandt andet løn, løntillæg og begrundelser for tildeling af tillæg. Desuden navn, mail, fødselsdag, uddannelse, ansvarsområde, stillingsbetegnelse, anciennitet, faggruppe mv.

For nyansatte har du ret til at få oplysninger om navn, kvalifikationer og løn og indplacering i forhold til anciennitet. 

Du har også ret til at få oplysninger om race eller etnisk oprindelse, politisk og religiøs overbevisning, seksuelle forhold og seksuel orientering, og helbredsoplysninger som misbrug af medicin, narkotika og alkohol. Disse oplysninger har du ret til at behandle så længe, som det er relevant i forbindelse med din varetagelse af dit arbejde som tillidsrepræsentant. 

Hvis du oplever, at din arbejdsgiver sår tvivl om, at du er berettiget til at se oplysninger, som er relevante for din funktion som tillidsrepræsentant, så kontakt din fagforening.

Hvis du bliver mødt med manglende vilje fra din arbejdsgiver til at udlevere oplysninger om løn og arbejdsvilkår, kan argumenterne være følgende:

• … [det må vi desværre ikke længere på grund af GDPR...] I dette tilfælde skal du vide: Det er ikke ulovligt at udlevere oplysninger til TR, hvis det følger en arbejdsretlig forpligtelse.
• Hvis I allerede har en ordning om at få lønoplysninger i virksomheden, er det en kutyme, virksomheden har pligt til at fortsætte med. Det kan den som udgangspunkt ikke se bort fra.
• Er det nyt, at du beder om oplysninger om løn og arbejdsvilkår, skal arbejdsgiveren følge de regler, der fremgår af overenskomsten og de arbejdsretlige forpligtelser, der følger med denne. Det betyder, at du godt kan ”kræve” at få information om for eksempel gennemsnitsløn, højeste løn og laveste løn, der udbetales til de kolleger, du repræsenterer som tillidsvalgt.  

Serviceforbundets holdning er, at det vil være op til arbejdsgiver at påvise/dokumentere, at udleveringen af lønoplysninger er blevet ulovlig som følge af GDPR/databeskyttelsesforordningen. 

Det gør vi blandt andet på baggrund af nedenstående tekst, som er skrevet af Datatilsynet:  
”… Behandling af personoplysninger i forbindelse med ansættelsesforhold kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.” (kilde: Datatilsynet) 

Eksempel:
En tillidsrepræsentant (dig) på en arbejdsplads forhandler efter overenskomsten løntillæg for de ansatte. Alle de ansatte er repræsenteret af tillidsrepræsentanten (dig), der har forhandlingsretten, uanset at ikke alle er medlemmer af den fagforening, som tillidsrepræsentanten (du) tilhører. 

Fagforeningen har på grundlag af overenskomsten bemyndiget tillidsrepræsentanten til at forestå de lokale forhandlinger om løntillæg. 

For at kunne håndtere lønforhandlingen beder tillidsrepræsentanten (du) om lønoplysninger for alle de ansatte, der er omfattet af den kollektive overenskomst. Arbejdsgiveren kan/skal i denne situation udlevere lønoplysninger om alle de ansatte, som tillidsrepræsentanten (du) skal repræsentere. Ved at få oplysninger om alle og ikke kun de ansatte, der er medlem af fagforeningen, kan tillidsrepræsentanten (du) danne sig et samlet overblik over fordelingen af tillæg. 

Arbejdsgiveren skal dog være opmærksom på kun at videregive oplysninger, der er nødvendige i forhold til formålet.

Som udgangspunkt kan du udføre dine opgaver som tillidsrepræsentant, som du plejer – og også udveksle og behandle oplysninger, som du altid har gjort. Det skyldes, at i næsten alle tilfælde vil regler om arbejdsretlige forpligtelser og overholdelse af overenskomster, lokale aftaler og kutymer have større betydning end reglerne i persondataforordningen.

Helt grundlæggende har man ret til at få oplyst, hvilke personoplysninger, der behandles, og hvad formået er. Man har også ret til at rettet eller slettet urigtige oplysninger, hvis dette ikke er i strid med lovgivningen. 

Hvis en person beder om at få at vide, hvilke oplysninger du behandler om personen, skal du straks kontakte fagforeningen. Fagforeningen hjælper med at håndtere anmodningen korrekt, og fagforeningen er dataansvarlig. Det samme gælder for personens andre rettigheder.    

Den person, du behandler oplysninger om, har ret til at få oplyst, hvilke oplysninger, der behandles om dem, og hvad formålet med behandlingen er. Kontakt fagforeningen, hvis du bliver bedt om at udlevere personoplysninger. 

Hvis du kommer til at foretage et såkaldt databrud, skal du straks kontakte fagforeningen. Den har nemlig pligt til at vurdere, om det skal indberettes til Datatilsynet og om de personer, hvis oplysninger indgår i bruddet, skal informeres. 

Databrud kan for eksempel ske, hvis du sender en mail med personoplysninger til en forkert person eller flere personer, hvis du får stjålet din pc eller taske med papirer, som indeholder personoplysninger, eller at en uvedkommende person ser på din skærm.

Når formålet med behandlingen af oplysninger er ophørt, skal du slette oplysningerne. 

Hvis en kollega fratræder, skal du slette alle de personoplysninger, du har om denne person i overensstemmelse med slettepolitikken, som du har fået fra din fagforening.

Du bør også løbende gennemgå de personoplysninger, du behandler, for at se, om noget kan slettes, fordi der ikke mere er et sagligt formål for at gemme dem. 

Du skal slette permanent, så oplysningerne ikke mere kan genskabes. Det betyder, at du også skal tømme papirkurven i mailsystemet, at du makulerer fysiske papirer, og at du sletter filer på fildrev permanent.

Oplysning om medlemskab af en fagforening er en følsom oplysning.

Når du for eksempel sender invitationer ud til klubmøder, så afslører du, hvem der er medlem af klubben med mindre, du bruger adressefeltet bcc. Så pas meget på, hvem der ser med. 

Du har stadig pligt til at holde personoplysninger fortrolige, når du ophører som tillidsrepræsentant. Du skal derfor levere alt fysisk og digitalt materiale, som indeholder oplysninger om medlemmerne, videre til din efterfølger eller tilbage til fagforeningen. Også det du selv har lavet. 

Hvis du overtræder reglerne, kan det få konsekvenser for dit hverv, for eksempel at du mister adgangen til oplysninger eller andet vigtigt materiale.

Foretager du dig noget ulovligt, risikerer du en bødestraf.

Ja, virksomheden må som udgangspunkt gerne lægge billeder af ansatte op på intranettet uden at indhente særlig tilladelse. Det er et sagligt formål, at kolleger kan søge hinanden på intranettet. 

Nej, virksomheden må ikke offentliggøre billeder af deres ansatte på deres hjemmeside. Dette kræver samtykke fra medarbejderne.

Når du sender mails for eksempel i forbindelse med indkaldelse til klubmøder og lignende, skal du altid indsætte modtagerne i bcc-feltet. På den måde kan den enkelte modtager ikke se mailadresserne på de øvrige modtagere. 

Kontrol af medarbejdere indebærer typisk, at der sker en behandling af oplysninger om dem. Det betyder, at behandlingen – kontrollen – kun kan ske, hvis der er et gyldigt og lovligt behandlingsgrundlag (årsag til kontrollen):

• Kontrolforanstaltningerne skal være sagligt begrundet i driftsmæssige årsager og have et fornuftigt formål.

• De må ikke være krænkende over for de ansatte.

• Arbejdsgiveren skal som hovedregel underrette de ansatte om kontrolforanstaltninger senest 6 uger, inden de iværksættes.

• Den enkelte arbejdstager kan ikke samtykke til iværksættelsen af kontrolforanstaltninger. 

Læs mere om, hvad din arbejdsgiver må.

JA, hvis der står i din overenskomst, at tillidsrepræsentanten skal holdes bedst muligt orienteret om forestående ansættelser.

Ellers skal du selv lave en lokalaftale der giver dig ret til at blive informeret

JA, i flere overenskomster er der tilføjet bestemmelser om, at tillidsrepræsentanten har ret til at mødes med nyansatte i arbejdstiden, med henblik på at organisere dem.

Tjek hvad der står i DIN overenskomst!

Det har du, hvis det er aftalt at du som TR har plads i ansættelsesudvalget, som udvælger kandidater. I sidste ende er det ledelsen der ansætter

JA, retten til at mødes med nyansatte er blevet forbedret i 2023 og 2024:

Det private område: Tillidsrepræsentanten gives mulighed for i arbejdstiden at mødes med nyansatte medarbejdere.

Formålet med mødet er at orientere om tillidsrepræsentantens samarbejde med virksomheden og muligheden for medlemskab af organisationerne.

Et møde kan for eksempel etableres i forbindelse med en introduktionsdag for nye medarbejdere i virksomheden, når virksomheden har ansat et vist antal nye medarbejdere eller med en fast frekvens.

Det offentlige område: Tillidsrepræsentanten gives mulighed for at mødes med nyansatte medarbejdere i arbejdstiden. Et møde kan fx planlægges i forbindelse med introduktion til arbejdspladsen for nye medarbejdere.

Ledelsen må ikke uden samtykke udlevere private mailadresser og telefonnumre. Men firmanumre og firmamail til kolleger, skal du have som TR, så du kan varetage deres interesser

Du kan spørge kollegerne direkte, eller du kan spørge i fagforeningen. Fagforeningen må gerne gennemgå en navneliste fra dit firma, og svare dig på, om personerne er medlemmer

JA, fagforeningen må gerne udveksle oplysninger om medlemskaber med TR, f.eks. ved at udlevere en medlemsliste til dig

NEJ, det må du ikke. Medlemskab af fagforeningen er en personlig (og dermed beskyttet) oplysning

NEJ. Ikke med mindre samtlige medlemmer har underskrevet et samtykke, der tillader at medlemslisten deles

JA, hvis formålet f.eks. er at indkalde medlemmerne til et klubmøde eller andet arrangement. Medlemslisten må dog kun indeholde de oplysninger, der er relevante for indkaldelse, dvs. kun navn og mailadresse.

Klubbestyrelsen skal instrueres om at slette listen efter arrangementets afholdelse.

Du må gerne sende mail til alle medlemmer i én mail. Men du skal sætte modtageradresser ind i ”bcc” feltet, så det ikke kan identificeres, hvem der er medlemmer

JA, så længe du ikke i mailen kommer til at dele oplysninger om medlemskab er det i orden.

Hvis du bruger kollegers private mailadresser, skal du altid sende som ”bcc”, uanset om det er til alle eller kun til medlemmer

JA, det må du gerne. Oplysninger om løn og løntillæg er ikke følsomme iht. GDPR.

For at du kan varetage dit hverv som TR, kan det være nødvendigt at dele oplysninger om lønforhold, f.eks. forud for lønforhandlinger

JA, det må du gerne. Medlemmerne af gruppen bestemmer selv om de vil være der, så oplysningen om medlemskab har de delt frivilligt ved at tilmelde sig gruppen

NEJ. Du må ikke dele oplysninger om medlemskab af fagforeninger, da det i henhold til GDPR-reglerne er en følsom oplysning

JA, som TR må du gerne opbevare lister over medlemmer, hvis du kun bruger dem til faglige formål. Men de skal være låst inde eller være lagt i et IT-system, som er låst for andre brugere.

Lister som indeholder forældede oplysninger skal slettes. Dvs. når du ikke længere er sikker på, at oplysningerne er opdaterede, skal de slettes.

JA, du må gerne spørge dem. Men de har ikke pligt til at svare dig, hvis de ikke har lyst, da fagforeningsmedlemskab er en følsom oplysning efter GDPR-reglerne

I din overenskomst er der regler om, hvem du som TR repræsenterer. Nogle TR repræsenterer alle kolleger, andre skal kun repræsentere medlemmer af fagforeningen.

Ikke-medlemmer kan ikke få hjælp i fagforeningen, så du kan ikke hjælpe dem med at rejse en sag om eks. usaglig afsked, advarsel eller lignende

NEJ, fagforeningsmedlemskab er en følsom oplysning, som du ikke må udveksle med arbejdsgiveren

NEJ. du må ikke lave lister over medlemmer af andre fagforeninger (medmindre du har fået samtykke), da det er følsomme oplysninger.

Men du må gerne lave lister over medlemmer af den fagforening, som du er repræsentant for, og du skal opbevare dem sikkert.

JA, der er ikke noget der forhindrer at man taler åbent om medlemskab af fagforeningen. Men det skal foregå sådan, at du ikke forud har delt oplysninger om, hvem der er medlem (og hvem der ikke er)

JA, det må du gerne. Samtykket skal være skriftligt, skal indeholde formål med delingen, og være muligt at tilbagekalde