]]>

Djøf

GDPR og dataansvar

Se Djøfs instruks om GDPR til tillidsrepræsentanter, og få praktiske råd til, hvordan du skal behandle medlemmernes personoplysninger.

Dit hverv som tillidsrepræsentant indebærer, at du vil komme til at behandle personoplysninger.

Denne instruks fastlægger, hvordan du skal håndtere personoplysninger, når du handler på Djøfs vegne som tillidsrepræsentant.

Formålet med behandling af personoplysninger

Du må behandle personoplysninger som er nødvendige og relevante, når du varetager dit hverv som tillidsrepræsentant.

De personoplysninger, du kommer i besiddelse af som følge af dit hverv som tillidsrepræsentant, må således ikke bruges til andre formål end dem, der ligger i din rolle som tillidsrepræsentant fx

  • sikre at overenskomsten bliver overholdt
  • afholde klubmøder
  • varetage lokale tillægsforhandlinger.

Personoplysninger, du kan få adgang til

Medlemmer af Djøf: Kontaktoplysninger som fx navn, mail og fødselsdato, uddannelses- og arbejdsoplysninger som fx lønoplysninger, stillingsbetegnelse, oplysninger om sygdom og tjenstlige forhold og fagforeningsmedlemsskab. Vær særligt opmærksom på, at oplysninger om en persons medlemskab af en fagforening er en følsom oplysning.

Potentielle medlemmer og andre: Kontaktoplysninger som fx navn og mail, uddannelses- og arbejdsoplysninger som fx lønoplysninger og stillingsbetegnelse. 

Fortrolighed

Du har tavshedspligt i dit hverv, og du må ikke videregive fortrolige personoplysninger til uvedkommende. Du skal sikre, at det kun er dig, der har adgang til de oplysninger, du modtager og behandler som tillidsrepræsentant.

Anvendelse af databehandler

Du må ikke uden Djøfs godkendelse engagere andre til at foretage behandlingen på dine (Djøfs) vegne.

Sikkerhed

Du skal sikre, at de personoplysninger, du behandler, holdes fortrolige. Det betyder fx at

  • du kun må printe personoplysninger ud, hvis det er nødvendigt at have dem på papir
  • du skal låse personoplysninger inde i et skab, når du ikke bruger dem
  • du skal have et selvstændigt drev på din arbejdsgivers it-system, som kun du har adgang til
  • du skal huske at ”låse” skærmen, når du forlader din computer
  • du skal anvende bcc-feltet, når du sender mails til flere modtagere.

Du skal én gang om året gennemgå dine gemte personoplysninger og slette dem, du ikke længere har brug for at opbevare.

Du skal straks give besked til Djøf, hvis du bliver bekendt med eller får mistanke om, at der kan være sket et brud på persondatasikkerheden. Det kan fx være, hvis du får stjålet din computer eller videresender personoplysninger til en forkert modtager. Du skal sende en mail til  dk¤djoef¤topdesk, hvorefter Djøf vil kontakte dig med henblik på at få de nødvendige oplysninger om hændelsen.

Anmodninger fra den registrerede

Du skal håndtere anmodninger fra dem, du behandler oplysninger om. Du kan læse mere om de forskellige typer anmodninger i Djøfs vejledning til tillidsrepræsentanter om persondata.

Såfremt du modtager en indsigtsanmodning, skal den pågældende have indsigt i de oplysninger, du behandler. Du skal sende det materiale, du har liggende vedrørende den pågældende person til Djøf på dk¤djoef¤djoef. Djøf vil derefter give den registrerede indsigt på baggrund af de oplysninger, du har sendt til Djøf.  

Såfremt du modtager en sletteanmodning fra en, du behandler oplysninger om, skal du vurdere, om oplysningen fortsat er nødvendig for dit hverv som tillidsrepræsentant. Hvis det ikke er tilfældet, skal du slette oplysningerne. Hvis du vurderer, at du ikke kan slette oplysningerne, skal du kontakte Djøf.

Ophør af tillidsrepræsentanthverv

Når dit hverv som tillidsrepræsentant ophører, skal du gå dine arkiver igennem og slette / makulere de personoplysninger, der ikke længere er nødvendige at gemme. Du skal derefter videreoverdrage de eventuelle resterende oplysninger til den nye tillidsrepræsentant.

Hvis der ikke kommer en ny tillidsrepræsentant i stedet for dig, skal du som udgangspunkt slette / makulere alle de personoplysninger du har i dit arkiv, og som du har behandlet i din egenskab af tillidsrepræsentant. Såfremt du har oplysninger liggende, som du vurderer fortsat er relevante, skal du sende dem til Djøf på dk¤djoef¤djoef.

Du kan læse mere og uddybende om, hvordan du håndterer personoplysninger i vejledningen til tillidsrepræsentanter om persondata.

FAQ - GDPR og Tillidsrepræsentanter

Djøf har samlet spørgsmål og svar på nogle af de henvendelser vi har fået fra tillidsrepræsentanter om GDPR. Til sidst i dette dokument har vi samlet nogle gode råd til, hvordan du i det daglige sikrer overholdelse af databeskyttelseslovgivningen. Husk at der skal være en hjemmel i GDPR eller i Databeskyttelsesloven før du kan behandle persondata.

Du kan læse mere om tillidsrepræsentanters håndtering af GDPR i vejledningen ”Tillidsrepræsentanter og persondata”. 

Hvad må jeg som Tillidsrepræsentant?

Ja, det må du gerne, jf. DBL § 12, stk. 1.

Når du sender en liste ud med resultaterne fra de årlige lønforhandlinger, vil der, ud over lønoplysninger, også være navne på de ansatte, der fremgår af listen.

Selvom listen indeholder både medlemmer og ikke medlemmer, så er det en god idé at sende listen bcc., så modtagerne ikke kan se, hvem hinanden er.

Medlemskab af en faglig organisation er en følsom oplysning, og man må som tillidsrepræsentant ikke, hverken direkte eller indirekte, afsløre om en person er medlem af en faglig organisation.
Hvis modtagerne af en sådan masseudsendelse udelukkende er fagforeningsmedlemmer, må deres mailadresser ikke fremgå af selve e-mailen. Du skal derfor huske at sende mailen BCC.

Ja, det må du gerne, hvis listen omfatter lønoplysninger for både medlemmer og ikke-medlemmer jf. DBL § 12, stk. 1.

Du må gerne sende lønoplysninger ud til medlemmerne indenfor ACs forhandlingsområde, forudsat at du ikke hverken direkte eller indirekte afslører medlemskab af en faglig organisation (se ovenfor).

Nej, det må du som udgangspunkt ikke.

Da der er tale om udsendelse på forskellige overenskomstområder, vil udgangspunktet være, at det må I ikke.

Det bliver afgørende, om lønoplysningerne er nødvendige for, at den enkelte kan varetage sine lønmæssige interesser, og det vil typisk ikke være tilfældet, når der er tale om ansatte på forskellige overenskomstområder.

Ja, det må du gerne forudsat, at begrundelserne er positive jf. DBL § 12, stk. 1.

Du må ikke videregive begrundelser for lønforbedringer, tillæg/afslag på tillæg mv., der indeholder negativt ladede udtalelser om et medlem eller et ikke-medlem til andre, uden samtykke fra den pågældende, idet hensynet til det enkelte medlem overstiger interessen ved at videregive sådanne oplysninger. Medlemmerne vil normalt have en berettiget interesse i at holde eventuelle negative tilkendegivelser for sig selv.

Hvis der er tale om oplysninger som er nødvendige for, at du kan varetage de ansattes interesser i fremtidige lønforhandlingsrunder, må du gerne gemme oplysningerne jf. princippet i GDPR art. 5, nr. 1, litra e.

Det kunne fx være, at ledelsen er kommet med løfter, der har betydning ved de kommende lønforhandlinger. 
Ja, det må du gerne jf. DBL § 12, stk. 2.

Du må gerne indkalde, de medlemmer du repræsenterer, til generalforsamlinger, klubmøder med videre. Når man masseudsender en e-mail til foreningens medlemmer, skal du være opmærksom på ikke at afsløre medlemskab af en faglig organisation. Du skal derfor sende en sådan mail BCC. 

Ja, det må du gerne. Det forudsætter, at oplysningerne er relevante og nødvendige i forhold til dit hverv som tillidsrepræsentant, fx i forbindelse med lønforhandlinger på din arbejdsplads jf. DBL § 12, stk. 2.

Ja, det må du gerne, jf. GDPR artikel 9, stk. 2, litra d.  

Du betragtes som DM's lokale repræsentant på arbejdspladsen også selvom du ikke selv er medlem af DM.

Nej, det må du kun, hvis medlemmet har samtykket, med mindre du udelukkende taler om DM medlemmet i anonymiseret form.

Husk, at hvis du indhenter samtykke, skal det være tydeligt, hvad der gives samtykke til, og det skal fremgå, at samtykket altid kan trækkes tilbage. Betingelser for samtykke fremgår af GDPR artikel 7.

Du skal sende referatet BCC til folk og slette eventuelle navne fra referatet. Hvis der er navne i referatet fra deltagere på mødet, skal de pågældende give deres samtykke til, at pågældende fremgår af referatet, da det afslører deres medlemskab af en faglig organisation. 

Hvis du selv kun har gemt de oplysninger, der er nødvendige for at varetage dit hverv som tillidsrepræsentant, vil du kunne videregive oplysningerne til den nye tillidsrepræsentant, jf. DBL § 12, stk. 1.

En sådan videregivelse kræver ikke samtykke.

Det kan være nødvendigt, at en arbejdsgiver informerer øvrige ansatte om, at en medarbejder er fratrådt sin stilling. Dette kan være begrundet i driftsmæssige årsager eller for at forhindre ”uro” på arbejdspladsen.

En arbejdsgiver må dog ikke videregive detaljerede og unødvendige oplysninger om årsagen til afskedigelsen af en medarbejder.

Ja, det har arbejdsgiver en pligt til, jf. DBL § 12, stk. 1.

Arbejdsgiver er forpligtet til at udlevere oplysninger til dig, så du kan udføre dit tillidshverv og opfylde dine forpligtelser efter overenskomsten, herunder forhandle løn for en nyansat. 

Arbejdsgiver har pligt til at videregive oplysninger om de ansatte til tillidsrepræsentanten, hvis videregivelsen sker for, at tillidsrepræsentanten kan overholde en retlig forpligtelse eller overholde overenskomsten, fx forhandle løn jf. DBL § 12, stk. 1.

I henhold til overenskomsten har tillidsrepræsentanten forhandlingsretten, for de personer som falder under Djøfs forhandlingsområde uanset om de ansatte er medlem af Djøf eller ikke.

Hvordan håndterer jeg mine data?

På det offentlige arbejdsmarked har Djøf instruktionsbeføjelse over for dig som tillidsrepræsentant og dermed også dataansvaret.

Det betyder, at du som tillidsrepræsentant ikke selv ifalder ansvar over for Datatilsynet, hvis du handler inden for instruksen fra Djøf.

Du må bruge IT udstyr (hardware og programmer) som arbejdsgiver stiller til rådighed. Du er forpligtet til at følge de instruktioner som arbejdsgiver har i den forbindelse. Du må ikke uden Djøfs godkendelse bruge IT udstyr (hardware eller programmer) som ikke er stillet til rådighed af din arbejdsgiver eller af Djøf.

Hvad har jeg pligt til som Tillidsrepræsentant?

De personer du håndterer personoplysninger for, har krav på at se de oplysninger du opbevarer. Det betyder, at du skal udlevere de pågældende oplysninger til vedkommende, hvis du bliver spurgt om indsigt.
Får du en henvendelse om indsigt, skal du sende det materiale du har liggende om vedkommende til [
djoef@djoef.dk]
. Djøf vil herefter give den registrerede indsigt på baggrund af de oplysninger, du har sendt til Djøf. Husk at en indsigtsbegæring som udgangspunkt skal behandles inden for en måned jf. GDPR art. 12, stk. 2.

Du skal opbevare persondata sikkert, når du behandler personoplysninger som tillidsrepræsentant. Det betyder, at fysiske persondata skal låses inde i et skab og elektronisk persondata skal opbevares sikkert på en server og du skal have adgangskode på din skærm og låse skærmen, når du forlader din arbejdsplads.

Efter tillidsrepræsentantreglerne har din arbejdsgiver pligt til at stille IT-udstyr til rådighed, så du kan varetage dine tillidsrepræsentantopgaver forsvarligt.

Husk også at makulere fysiske persondata når du ikke har brug for dem i papirform længere.

Er der tale om oplysninger som ikke længere er nødvendige for dig som tillidsrepræsentant, skal du slette oplysningerne.

Hvis det er oplysninger som du mener er nødvendige dit hverv, skal du overveje om oplysningerne kan anonymiseres. Hvis det ikke er muligt er du berettiget til fortsat at opbevare oplysningerne.

Hvis du er enig med den, der henvender sig, skal du rette de forkerte oplysninger.
  
Hvis du er uenig med vedkommende, gør du et notat om, at vedkommende har henvendt sig, samt hvad vedkommende har oplyst dig om de pågældende oplysninger. Du skal gøre vedkommende opmærksom på, at der er klageadgang til Datatilsynet, jf. GDPR art. 12, nr. 4.

Gode råd

Udsendelse af mails i din egenskab af tillidsrepræsentant:

  • Send altid materiale BCC, hvis du sender mails til flere samtidig fx i forbindelse med udsendelse af lønoplysninger, indkaldelse til møder m.m.

Når du inviterer til møder i kalenderen, må medlemmerne ikke fremgå af invitationen, da du så afslører deres medlemskab af Djøf. Det kan du håndtere på følgende måde:

  • Start med at gå ind i kalenderfunktionen, således du kan invitere til et møde. Opret en ny mødeindkaldelse, og vælg derefter ’Planlægningsassistent’ og ’Til…’. Herefter finder du personerne, du vil sende til. Men i stedet for at tilføje som ’Nødvendig’, skal du tilføje personerne som ’Ressourcer’.
  • E-mail adresser kan også skrives/kopieres i feltet ’ressourcer’, hvis det er personer, der ikke findes i dit adressekartotek. Det eneste, der betyder noget for denne løsning, er tilføjelsen i ’Ressourcer’, og ikke ’Nødvendig’.
  • Herefter klikker du ’OK’ og går tilbage til forrige side; ’Aftale’ og udfylder mødeindkaldelsen, som du normalt ville. Det er dog vigtigt at slette adresserne/personerne fra feltet ’Sted’, da det vil afsløre, hvem der har modtaget mødeindkaldelsen.

Lagring af data

Gem kun nødvendig data og smid ting ud løbende:

  • Det er en forpligtelse efter GDPR, at man kun gemmer data, der er ”nødvendig”. Tag derfor stilling, hver gang du håndterer data, om det er data du skal bruge igen. Hvis det ikke er tilfældet, så slet/kasser data.
  • Data du gemmer, skal du gemme, så data er let at finde igen – både for din egen skyld, men også hvis et medlem eller et ikke medlem anmoder om indsigt i data, så skal du kunne udlevere data du har liggende om pågældende. Hvis du modtager en indsigtsanmodning skal du sende materialet til Djøf, som sørger for at indsigten leveres til den pågældende. 
  • Sørg for at have data lagret med tidsangivelse, så du let jævnligt fx 2 gange om året, kan slette information, der ikke længere er nødvendig for dig at gemme. 
  • Når der bliver valgt en ny tillidsrepræsentant, bør du gå dit ”TR-materiale” igennem og kun videreoverdrage det materiale, der er nødvendigt at gemme for TR-hvervet.

Ovenstående er nogle af de spørgsmål, Djøf er blevet præsenteret for og som vi konkret har svaret på. Du kan forhåbentlig finde inspiration og svar på en del af de spørgsmål du måtte støde på. Støder du på andre spørgsmål eller er du usikker på forståelsen af databeskyttelsesreglerne, er du altid velkommen til at kontakte Djøf på vores telefonnummer 33 95 97 00 eller du kan sende en mail til dk¤djoef¤djoef

Artikler om GDPR

Vi har bragt forskellige artikler i Tillidsposten om GDPR. Læs fx om

TR og dataansvar

Principper for håndtering af personoplysninger

GDPR og deling af lønoplysninger.

Datatilsynets vejledning

Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold beskriver blandt andet forhold vedrørende tillidsrepræsentanters og faglige organisationers dataansvar.