Bli medlem

Stöd i GDPR-frågor

Dataskyddsförordningen (GDPR) påverkar hur du som är förtroendevald i Unionen får hantera medlemmars personuppgifter. Här finns viktig information som du behöver vara medveten om när du agerar i ditt uppdrag.

Därför är GDPR viktigt för Unionen

En personuppgift som avslöjar medlemskap i fackförening betraktas enligt lag som en känslig personuppgift, vilket innebär att den är lika känslig som uppgifterna i en läkarjournal.

En personuppgift är varje upplysning som kan kopplas till en identifierad eller identifierbar fysisk person. All information som direkt eller indirekt tillsammans med annan information går att härleda till en person är en personuppgift.

Unionen strävar efter en hög nivå av skydd när det gäller personuppgifter som rör medlemmar eller andra personer som finns i våra register. Det är därför helt avgörande att såväl anställda som förtroendevalda är medvetna om lagstiftningen och de rutiner Unionen har för behandling av personuppgifter. För det fall Unionen agerar i strid med lagstiftningen riskerar förbundet böter på upp till 20 miljoner euro

Hanteringen av medlemmarnas uppgifter är dessutom mycket viktig för att bibehålla medlemmarnas förtroende för Unionen. En incident kan medföra mycket stora förtroendeskador och resultera i medlemsutträden.

Med det sagt, vi måste fortfarande kunna utföra vårt fackliga uppdrag. Väljer en medlem att gå på ett medlemsmöte går det naturligtvis inte att hemlighålla sin identitet eller sitt fackliga medlemskap för andra på mötet.

Info icon Shape info icon

 Några exempel på personuppgifter är: namn, personnummer, registreringsnummer för bil, kundnummer, kontonummer, telefonnummer, e-postadress, postadress, medborgarskap, medlemskap i förening, anställning i bolag, lön och sexuell läggning

Tänk på det här för att skicka säkra mejl

Inför ett utskick

  1. På Mitt uppdrag kan du göra mejlutskick till flera medlemmar genom att använda funktionen Nyheter och Enkäter eller Årsmötesverktyget. Mottagarna ser då inte vilka andra som har fått utskicket. Vi rekommenderar att du använder dessa verktyg i så stor utsträckning som möjligt.

  2. Behöver du ändå göra utskick via mejl (Outlook eller annat mejlprogram) – kom ihåg att lägga mottagarnas mejladress på hemlig kopia så att de inte ser varandras namn och mejladresser.
  3. Ha som regel att du alltid dubbelkollar att mejlet skickas med hemlig kopia och att utskicket går till rätt mejladress. (Ett sätt är att använda ditt mejlprograms ”påminnelseregel”. Är det t.ex. fler än 10 personer som ska få mejlet kan du ställa in att du behöver dubbelkolla utskicket innan mejlet går iväg.

Om det råkar gå fel

  1. Blev det fel? Försök att återkalla utskicket (vilket är möjligt om det inte har blivit läst). Du får då också en rapport över om återkallandet lyckades. Spara den tills personuppgiftsincidenten blivit bedömd av Unionen.
  2. Gick det inte att återkalla meddelandet? Skicka ett nytt mejl till mottagarna. Berätta att det blev fel, att de ska radera mejlet (och innehållet) och inte sprida informationen i mejlet till någon annan. Då kan vi minska risken för att det fackliga medlemskapet exponeras till fler personer.
  3. Sist men inte minst! Alla kan göra misstag. Det viktigaste är att alla inom Unionen tar ansvar, hanterar och lär oss av händelsen. Rapportera in en personuppgiftsincident direkt när du upptäcker att det har blivit fel. Då hinner vi bedöma den och avgöra om incidenten behöver anmälas till myndigheten och om ytterligare åtgärder behöver vidtas. Unionen har en skyldighet att bedöma incidenter inom 72 timmar. Du anmäler en incident här: GDPR: Personuppgiftsincident | Unionen

Digitala möten

När ni håller digitala möten bör ni komma ihåg att i princip all aktivitet i ett digitalt mötesrum sparas. Så, använder ni er av arbetsgivarens digitala verktyg bör ni vara medvetna om att arbetsgivaren kan få tillgång till den information som hör till mötet.

Det är därför viktigt att vi avstår från att skriva känslig information i chatten eller till exempel spela in mötet.

Kontakta oss vid frågor

Det här med dataskydd är inte alltid helt lätt. Så om ni har några som helst frågor kan ni i första hand titta på våra FAQ nedan, och känner ni därefter att ni inte fått svar så är det bara att höra av sig till dataskyddsombud@unionen.se så ska vi besvara era frågor så snart det går.

Gå Unionens GDPR-kurs för förtroendevalda

kursbänkar

E-kurs: GDPR för förtroendevalda

E-kursen innehåller allt du som förtroendevald behöver veta för att klara av GDPR i ditt uppdrag.

Frågor och svar

GDPR påverkar dig som  förtroendevald  inom en  klubb  eller som  arbetsplatsombud  ur två perspektiv. Dels utifrån hur Unionen behandlar dina personuppgifter, dels utifrån hur du själv får behandla personuppgifter i ditt uppdrag.

  1. Utöver att Unionen har vissa grundläggande personuppgifter om dig i vårt register, finns också uppgifter om din roll som  förtroendevald . Syftet är bland annat att du ska kunna få personligt stöd och erbjudanden om utbildningar som underlättar ditt uppdrag. På www.unionen.se/personuppgifter har vi mer utförligt beskrivit hur Unionen behandlar dina uppgifter som medlem och förtroendevald .
  2. Unionen är ansvarig för de personuppgifter som förbundet behandlar.  Personuppgiftsansvaret ligger alltså på Unionen som förbund, inte på dig eller någon annan enskild individ. När du utför arbete och får tillgång till personuppgifter måste du därför behandla dessa enligt de instruktioner du har fått från Unionen.

Som förtroendevald är du anställd hos din arbetsgivare. De personuppgiftsbehandlingar som du utför för din arbetsgivares räkning tillräknas alltså din arbetsgivare. Ditt  förtroendeuppdrag  inom en klubb eller som arbetsplatsombud utför du dock inte för din arbetsgivares räkning. För de personuppgiftsbehandlingar som du utför i din egenskap av förtroendevald i Unionen är Unionen personuppgiftsansvarig. På GDPR-språk är du alltså medhjälpare till Unionen.

Att du eller någon annan har valt att vara  förtroendevald  i en facklig organisation förutsätter att du vill arbeta öppet för organisationen och dess ändamål. En  förtroendevald  kan alltså inte vara hemlig. Redan den omständigheten att du kandiderar till ett  förtroendeuppdrag  innebär att du tydligt offentliggjort ditt fackliga medlemskap, eftersom detta är en förutsättning för att bli vald. Detta förutsätter att kandidaten tydligt har informerats om att uppgiften om fackligt medlemskap kan komma att publiceras av förbundet för ändamålet att hen ska hållas tillgänglig för medlemmarna.

Som har framgått ovan är definitionen av såväl personuppgifter som personuppgiftsbehandling väldigt bred. Inom ramen för ditt uppdrag kommer det alltså att dyka upp en mängd sammanhang då du behandlar personuppgifter.

GDPR gör att du som  förtroendevald  måste tänka över och justera arbetssätt kring exempelvis hur du hanterar medlemslistor, var du lagrar dokumentation och hur du kommunicerar personuppgifter med anställda, andra förtroendevalda och externt gentemot till exempel arbetsgivare.

Ett bra förhållningssätt är att alltid utgå från tankesättet att det är medlemmen (eller annan registrerad) som äger sina egna personuppgifter – vi som fackförbund har endast fått låna personuppgifterna med ändamålet att bedriva vår verksamhet.

Du kommer långt genom att alltid ställa några frågor till sig själv:

  • Behöver jag behandla dessa uppgifter för att uppnå mitt mål?
  • Kan jag uppnå målet genom att använda färre eller mindre känsliga personuppgifter?
  • Finns det skäl att tro att den vars personuppgifter jag behandlar kan känna sig kränkt om jag genomför behandlingen?

Endast den som har behov av att använda en viss personuppgift i sitt uppdrag ska göra detta, och få tillgång till personuppgiften i fråga. Tänk också på att inte behandla uppgifterna under en längre period än vad som krävs för det avsedda ändamålet.

Utöver dessa allmänna utgångspunkter förväntas du som förtroendevald följa de riktlinjer och instruktioner som Unionen har tagit fram och löpande uppdaterar, samt använda de verktyg och system som Unionen tillhandahåller och att följa de rutiner som framgår nedan.

Använd MedlemsAdmin för personuppgifter

GDPR ställer krav på hur du som förtroendevald hanterar medlemslistor och innebär att du måste använda verktyget för medlemsadministration, MedlemsAdmin, varje gång du behöver en relevant personuppgift. De personer som av behörighetsskäl har tillgång till samtliga personuppgifter i systemet är: ordförande, vice ordförande, medlemsadministrativt  ombud  och löneinsamlingsansvarig i  klubb  samt  arbetsplatsombud  med förhandlingsmandat.

En personuppgiftsincident kan vara något av följande:

  • Obehörigt röjande: Personuppgifter har spridits på ett felaktigt sätt.
  • Obehörig åtkomst: Någon inom eller utanför organisationen har tagit del av information som den saknade behörighet till.
  • Förlust: Information har gått förlorad på något sätt, till exempel genom att en dator blivit stulen.
  • Förstöring: Någon eller något har förstört information, till exempel genom att en dator har fått sönder.

Unionen måste i vissa fall anmäla personuppgiftsincidenten inom 72 timmar efter det att överträdelsen har upptäckts till Integritetsskyddsmyndigheten. Därför är det viktigt att alla följer rutinen för hur man hanterar en incident. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. Det räknas ändå som personuppgiftsincidenter.

Om det har inträffat en incident – följ rutinen som du finner under Mitt Uppdrag (inloggat läge) på www.unionen.se.

En uppgift som avslöjar om en person är med i facket är en känslig personuppgift enligt GDPR. Det är ändå lagligt för arbetsgivare och fackföreningar att behandla sådana uppgifter då uppgifterna ofta är nödvändiga för att fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten eller för att driva rättsliga anspråk. Fackförbund har dessutom rätt att inom organisationen behandla medlemmars personuppgifter om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder. 

Det finns alltså tillfällen då det är tillåtet att arbetsgivare och fackföreningar lämnar ut samt tar emot uppgifter som avslöjar anställdas fackliga medlemskap mellan sig. Överföringen kräver inte något personuppgiftsbiträdesavtal. Vardera parten anses personuppgiftsansvarig för sin behandling. Unionen anser att de förtroendevalda som agerar inom och utanför förbundets klubbar normalt sett är så kallade medhjälpare till Unionen, vilket innebär att även deras behandling faller under Unionens personuppgiftsansvar. Ett utlämnande från till exempel en arbetsgivare till en av Unionens förtroendevalda innebär alltså ett utlämnande till Unionen. Mer information om GDPR:s påverkan på utväxling av underlag i  förhandling  m.m. finns i A-cirkulär A18.02.

Unionens  löneavtal  gäller endast för Unionens medlemmar. I samband med lönerevisionen är det därför nödvändigt att du som  förtroendevald  känner till vilka medlemmar som finns på arbetsplatsen, så att du vet vilka du företräder och på vilka personer potten ska beräknas och fördelas.

Eftersom fackligt medlemskap är en känslig personuppgift är det av största vikt att vi hanterar detta på ett sätt som är förenligt med GDPR. Arbetsgivaren har ingen rätt att hålla löpande listor på fackligt medlemskap, vilket innebär att ni behöver utbyta uppgifter varje år inför lönerevisionen.

Löneavtalen ser olika ut på olika avtalsområden men som generella utgångspunkter gäller följande. Om du som  förtroendevald  ska ha rätt att skicka en lista på fackliga medlemmar till arbetsgivaren krävs som ett minimum att du säkerställt att listan är korrekt och uppdaterad. Det är till exempel viktigt att den lista du överlämnar till arbetsgivaren inte innehåller uppgifter om personer som inte längre arbetar hos den aktuella arbetsgivaren.

I de fall varken arbetsgivare eller klubben har tillgång till uppdaterad information om vilka medlemmar som finns på arbetsplatsen kan arbetsgivarens register över anställda behöva matchas mot klubbens/förbundets register över medlemmar. Unionens uppfattning är att en sådan matchning bör inledas med att arbetsgivaren skickar över en lista på samtliga anställda (namn och personnummer) till Unionen, som i sin tur stämmer av detta mot medlemsregistret. Detta är den ordning som bäst överensstämmer med GDPR, i och med att uppgiften om att någon är medlem i Unionen är en känslig personuppgift, medan uppgiften om att någon är anställd inte är det.

Om du som förtroendevald stöter på problem med genomförandet av lönerevisionen kan du kontakta avtalsansvarig  ombudsman  eller Unionens dataskyddsombud (se kontaktuppgifter nedan).

Frågor kopplat till Unionens behandling av medlemmens personuppgifter

Svar på frågor som rör Unionens behandlingar av medlemmens personuppgift kan du många gånger hitta på www.unionen.se/personuppgifter. Om du inte själv kan besvara frågan kan du hänvisa medlemmen till kontaktuppgifterna på www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter eller till  facklig rådgivning /medlemsrådgivningen.

Rätt att få tillgång till egna personuppgifter

GDPR ger en registrerad individ rätt att begära att få tillgång till de personuppgifter som Unionen behandlar om hen. En medlem som vill se sina personuppgifter hänvisar du i första hand till att logga in med bank-id på Mitt Unionen på www.unionen.se. Om en medlem saknar bank-id eller lösenord, eller om en icke-medlem (till exempel en före detta medlem) begär ut uppgifter görs detta skriftligt.

Rätt till radering och rättelse och andra rättigheter

Enligt GDPR har en registrerad individ rätt att få sina uppgifter raderade eller rättade om särskilda förutsättningar är uppfyllda. Om du får in en begäran om radering eller rättelse, hänvisa medlemmen till kontaktuppgifterna på www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter .

Läs mer om vilka övriga rättigheter registrerade har på ”Dina rättigheter” www.unionen.se/medlem-i-unionen-behandling-av-dina-personuppgifter.

Frågor kopplat till medlemmens relation till arbetsgivaren

Medlemmars frågor som gäller hur deras arbetsgivare hanterar deras personuppgifter är normalt sett en arbetsrättslig fråga som alla andra. För stöd vänder du dig enklast till Unionens fackliga rådgivning. Mer information om hur Unionen kan företräda medlemmar i arbetsrättsliga tvister vid brott mot GDPR finns i A-cirkulär A18.04. Information om hantering när arbetsgivare kallar till förhandlingar med anledning av GDPR finns i A-cirkulär A18.01.

Unionens dataskyddsombud

GDPR uppställer ett krav för vissa organisationer och myndigheter att utse så kallade dataskyddsombud. Unionen är en sådan organisation.

Dataskyddsombudet har som uppgift att dels informera och ge råd och rekommendationer för att hjälpa Unionen att följa bestämmelserna i GDPR, dels övervaka att Unionen efterlever bestämmelserna. Dataskyddsombudet har en oberoende roll och är inte beslutande i dataskyddsfrågor.

Dataskyddsombudet kan nås på dataskyddsombud@unionen.se.

Läs mer

På www.unionen.se/personuppgifter finner du information om hur Unionen behandlar personuppgifter om bland annat medlemmar och förtroendevalda.

Integritetsskyddsmyndigheten är tillsynsmyndighet i Sverige för dataskyddsfrågor. På  www.imy.se finns värdefull information om GDPR för dig som vill läsa mer.

Hjälp oss göra Unionen bättre

Hjälpte informationen på denna sida dig?

Betyg