Råd og svar
Sådan overholder du reglerne for GDPR – personoplysninger
Som tillidsrepræsentant får du adgang til oplysninger om de personer, du skal forhandle for. Det er vigtigt, at du passer godt på de oplysninger og følger retningslinjerne i persondataforordningen (GDPR).
Der er mange regler for GDPR, men grundlæggende kan de koges ned til 3 hovedregler:
- Du må ikke bruge personoplysninger om medlemmer til andet end det, de oprindeligt er blevet indsamlet til.
- Du må kun have adgang til de personoplysninger om medlemmer, der er nødvendige for, at du kan udføre dine konkrete opgaver som tillidsrepræsentant.
- Du må kun videregive personoplysninger om medlemmer til andre i og uden for fagforeningen, hvis der er en saglig begrundelse for det, og hvis det ikke bryder med principperne om fortrolighed.
Her får du svar på nogle af de vigtigste spørgsmål om GDPR.
Hvad er personoplysninger?
Det er oplysninger, der kan være med til at identificere en bestemt person, blandt andet navn, adresse, telefonnummer, e-mail, alder, køn, arbejdsfunktion, titel, uddannelse og arbejdsplads. Det er desuden oplysninger om medlemskab af en fagforening, seksualitet eller etnisk oprindelse, og helbred.
Er nogle personoplysninger mere følsomme end andre?
Man inddeler personoplysninger i 3 kategorier: Følsomme personoplysninger, personoplysninger om strafbare forhold, og andre personoplysninger.
Må jeg bruge CPR-nummer?
Nogle personoplysninger er særlig følsomme, blandt andet CPR-nummer, beskyttede navne og adresser, eksamenskarakterer, skriftlige advarsler fra arbejdsgiveren, personlighedstest, selvmordsforsøg, langtidsledighed, førtidspension og økonomiske forhold.
Du skal som hovedregel undgå at identificere en person ud fra CPR-nummer. Brug fornavn og efternavn og eventuelt fødselsdato.
I hvilke situationer behandler jeg personoplysninger?
Du behandler personoplysninger, når du indsamler, indtaster, organiserer, videresender, deler, opstiller, systematiserer, gemmer, arkiverer, anvender eller sletter personoplysninger.
Er jeg altid ansvarlig for persondata?
Som tillidsrepræsentant har du dataansvar for persondata, som du behandler, medmindre du er underlagt instruks fra din fagforening.
En instruks beskriver, at du som repræsentant for fagforeningen foretager det aftalte tillidsrepræsentantarbejde, og at ansvaret – hvis noget går galt – falder tilbage på din fagforening.
Arbejder du inden for instruksen, kommer du således ikke personligt til at hæfte, hvis der sker et databrud eller anden regelovertrædelse, der medfører en bøde.
Modtager du oplysninger fra din arbejdsgiver om dine kolleger, har arbejdsgiveren dataansvaret for disse data, så længe data bliver på arbejdspladsen. Det betyder, at du skal følge arbejdsgiverens instrukser om databehandling i disse tilfælde.
Sender du data om dine kolleger videre til din fagforening i forbindelse med en faglig sag, bliver fagforeningen dataansvarlig.
Sender du data til din private e-mail, uden det har et formål jævnfør instruksen, er du personligt dataansvarlig og skal således selv hæfte for eventuel bøde.
Arbejder du ikke under instruks, skal du være opmærksom på, at du selv er dataansvarlig og skal opfylde forpligtelserne som dataansvarlig.
Hvilke oplysninger har jeg ret til at få fra min arbejdsgiver?
Du har som tillidsrepræsentant ret til at få oplysninger fra arbejdsgiver, som er nødvendige for at udføre dit tillidshverv for de kolleger, du har forhandlingsretten over.
Det gælder blandt andet løn, løntillæg og begrundelser for tildeling af tillæg. Desuden navn, mail, fødselsdag, uddannelse, ansvarsområde, stillingsbetegnelse, anciennitet, faggruppe mv.
For nyansatte har du ret til at få oplysninger om navn, kvalifikationer og løn og indplacering i forhold til anciennitet.
Du har også ret til at få oplysninger om race eller etnisk oprindelse, politisk og religiøs overbevisning, seksuelle forhold og seksuel orientering, og helbredsoplysninger som misbrug af medicin, narkotika og alkohol. Disse oplysninger har du ret til at behandle så længe, som det er relevant i forbindelse med din varetagelse af dit arbejde som tillidsrepræsentant.
Hvad gør jeg, hvis min arbejdsgiver ikke vil udlevere oplysninger?
Hvis du oplever, at din arbejdsgiver sår tvivl om, at du er berettiget til at se oplysninger, som er relevante for din funktion som tillidsrepræsentant, så kontakt din fagforening.
Hvis du bliver mødt med manglende vilje fra din arbejdsgiver til at udlevere oplysninger om løn og arbejdsvilkår, kan argumenterne være følgende:
- … [det må vi desværre ikke længere på grund af GDPR...] I dette tilfælde skal du vide: Det er ikke ulovligt at udlevere oplysninger til TR, hvis det følger en arbejdsretlig forpligtelse.
- Hvis I allerede har en ordning om at få lønoplysninger i virksomheden, er det en kutyme, virksomheden har pligt til at fortsætte med. Det kan den som udgangspunkt ikke se bort fra.
- Er det nyt, at du beder om oplysninger om løn og arbejdsvilkår, skal arbejdsgiveren følge de regler, der fremgår af overenskomsten og de arbejdsretlige forpligtelser, der følger med denne. Det betyder, at du godt kan ”kræve” at få information om for eksempel gennemsnitsløn, højeste løn og laveste løn, der udbetales til de kolleger, du repræsenterer som tillidsvalgt.
Serviceforbundets holdning er, at det vil være op til arbejdsgiver at påvise/dokumentere, at udleveringen af lønoplysninger er blevet ulovlig som følge af GDPR/databeskyttelsesforordningen.
Det gør vi blandt andet på baggrund af nedenstående tekst, som er skrevet af Datatilsynet:
”… Behandling af personoplysninger i forbindelse med ansættelsesforhold kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.” (kilde: Datatilsynet)
Eksempel:
En tillidsrepræsentant (dig) på en arbejdsplads forhandler efter overenskomsten løntillæg for de ansatte. Alle de ansatte er repræsenteret af tillidsrepræsentanten (dig), der har forhandlingsretten, uanset at ikke alle er medlemmer af den fagforening, som tillidsrepræsentanten (du) tilhører.
Fagforeningen har på grundlag af overenskomsten bemyndiget tillidsrepræsentanten til at forestå de lokale forhandlinger om løntillæg.
For at kunne håndtere lønforhandlingen beder tillidsrepræsentanten (du) om lønoplysninger for alle de ansatte, der er omfattet af den kollektive overenskomst. Arbejdsgiveren kan/skal i denne situation udlevere lønoplysninger om alle de ansatte, som tillidsrepræsentanten (du) skal repræsentere. Ved at få oplysninger om alle og ikke kun de ansatte, der er medlem af fagforeningen, kan tillidsrepræsentanten (du) danne sig et samlet overblik over fordelingen af tillæg.
Arbejdsgiveren skal dog være opmærksom på kun at videregive oplysninger, der er nødvendige i forhold til formålet.
Hvad betyder GDPR-reglerne for mit hverv som tillidsrepræsentant?
Som udgangspunkt kan du udføre dine opgaver som tillidsrepræsentant, som du plejer – og også udveksle og behandle oplysninger, som du altid har gjort. Det skyldes, at i næsten alle tilfælde vil regler om arbejdsretlige forpligtelser og overholdelse af overenskomster, lokale aftaler og kutymer have større betydning end reglerne i persondataforordningen.
Hvilke rettigheder har andre i forhold til personoplysninger?
Helt grundlæggende har man ret til at få oplyst, hvilke personoplysninger, der behandles, og hvad formået er. Man har også ret til at rettet eller slettet urigtige oplysninger, hvis dette ikke er i strid med lovgivningen.
Hvis en person beder om at få at vide, hvilke oplysninger du behandler om personen, skal du straks kontakte fagforeningen. Fagforeningen hjælper med at håndtere anmodningen korrekt, og fagforeningen er dataansvarlig. Det samme gælder for personens andre rettigheder.
Hvad gør jeg, hvis en person vil se oplysningerne?
Den person, du behandler oplysninger om, har ret til at få oplyst, hvilke oplysninger, der behandles om dem, og hvad formålet med behandlingen er. Kontakt fagforeningen, hvis du bliver bedt om at udlevere personoplysninger.
Hvad gør jeg, hvis jeg ved en fejl kommer til at sende personoplysninger til forkert person?
Hvis du kommer til at foretage et såkaldt databrud, skal du straks kontakte fagforeningen. Den har nemlig pligt til at vurdere, om det skal indberettes til Datatilsynet og om de personer, hvis oplysninger indgår i bruddet, skal informeres.
Databrud kan for eksempel ske, hvis du sender en mail med personoplysninger til en forkert person eller flere personer, hvis du får stjålet din pc eller taske med papirer, som indeholder personoplysninger, eller at en uvedkommende person ser på din skærm.
Hvornår skal jeg slette personoplysninger?
Når formålet med behandlingen af oplysninger er ophørt, skal du slette oplysningerne.
Hvis en kollega fratræder, skal du slette alle de personoplysninger, du har om denne person i overensstemmelse med slettepolitikken, som du har fået fra din fagforening.
Du bør også løbende gennemgå de personoplysninger, du behandler, for at se, om noget kan slettes, fordi der ikke mere er et sagligt formål for at gemme dem.
Hvordan skal jeg slette personoplysninger?
Du skal slette permanent, så oplysningerne ikke mere kan genskabes. Det betyder, at du også skal tømme papirkurven i mailsystemet, at du makulerer fysiske papirer, og at du sletter filer på fildrev permanent.
Hvad skal jeg særlig være opmærksom på i forbindelse med medlemskab af fagforeningen?
Oplysning om medlemskab af en fagforening er en følsom oplysning.
Når du for eksempel sender invitationer ud til klubmøder, så afslører du, hvem der er medlem af klubben med mindre, du bruger adressefeltet bcc. Så pas meget på, hvem der ser med.
Hvad gør jeg, når jeg stopper med at være tillidsrepræsentant?
Du har stadig pligt til at holde personoplysninger fortrolige, når du ophører som tillidsrepræsentant. Du skal derfor levere alt fysisk og digitalt materiale, som indeholder oplysninger om medlemmerne, videre til din efterfølger eller tilbage til fagforeningen. Også det du selv har lavet.
Hvad sker der, hvis jeg bryder reglerne?
Hvis du overtræder reglerne, kan det få konsekvenser for dit hverv, for eksempel at du mister adgangen til oplysninger eller andet vigtigt materiale.
Foretager du dig noget ulovligt, risikerer du en bødestraf.
Må virksomheden lægge billeder af ansatte op på intranettet (det interne net)?
Ja, virksomheden må som udgangspunkt gerne lægge billeder af ansatte op på intranettet uden at indhente særlig tilladelse. Det er et sagligt formål, at kolleger kan søge hinanden på intranettet.
Må virksomheden offentliggøre billeder af ansatte på hjemmesiden?
Nej, virksomheden må ikke offentliggøre billeder af deres ansatte på deres hjemmeside. Dette kræver samtykke fra medarbejderne.
Må jeg sende mails til kolleger, hvor alle kan se mailadresser?
Når du sender mails for eksempel i forbindelse med indkaldelse til klubmøder og lignende, skal du altid indsætte modtagerne i bcc-feltet. På den måde kan den enkelte modtager ikke se mailadresserne på de øvrige modtagere.
Må virksomheden kontrollere ansatte? (GPS, smartphones, tablets, computere)
Kontrol af medarbejdere indebærer typisk, at der sker en behandling af oplysninger om dem. Det betyder, at behandlingen – kontrollen – kun kan ske, hvis der er et gyldigt og lovligt behandlingsgrundlag (årsag til kontrollen):
- Kontrolforanstaltningerne skal være sagligt begrundet i driftsmæssige årsager og have et fornuftigt formål.
- De må ikke være krænkende over for de ansatte.
- Arbejdsgiveren skal som hovedregel underrette de ansatte om kontrolforanstaltninger senest 6 uger, inden de iværksættes.
- Den enkelte arbejdstager kan ikke samtykke til iværksættelsen af kontrolforanstaltninger.