GDPR og dataansvar

Nej, det må du kun, hvis medlemmet har samtykket, med mindre du udelukkende taler om DM medlemmet i anonymiseret form. Husk, at hvis du indhenter samtykke, skal det være tydeligt, hvad der gives samtykke til, og det skal fremgå, at samtykket altid kan trækkes tilbage.

Ja, det må du gerne. Du betragtes som IDA's lokale repræsentant på arbejdspladsen også selvom du ikke selv er medlem af IDA.

Nej, det må du som udgangspunkt ikke.

Med mindre der er en fællesoverenskomst med HK, vil der være er tale om udsendelse på forskellige overenskomstområder, hvorfor der ikke kan deles oplysninger. Det bliver afgørende, om lønoplysningerne er nødvendige for, at den enkelte kan varetage sine lønmæssige interesser, og det vil typisk ikke være tilfældet, når der er tale om ansatte på forskellige overenskomstområder.

Ja, det må du gerne. Det forudsætter, at oplysningerne er relevante og nødvendige i forhold til dit hverv som tillidsrepræsentant, fx i forbindelse med lønforhandlinger på din arbejdsplads.

Du må gerne sende oplysninger ud til medlemmerne indenfor ACs forhandlingsområde, hvis de er part i overenskomsten, forudsat at du ikke hverken direkte eller indirekte afslører medlemskab af en faglig organisation.

Er de andre organisationer ikke omfattet af overenskomsten, vil videregivelse kræve samtykke fra den eller dem du videregiver oplysninger om.

Datatilsynet har i en vejledning fra 2007 bekræftet, at tillidsrepræsentanten kan videregive lønoplysninger til den gruppe ansatte, som vedkommende repræsenterer. Dette gælder både løn, løntillæg og begrundelser for tildelingen af tillæg, så længe disse ikke indeholder negativt ladede udtalelser om den ansatte. 

Der er dog nogle få forholdsregler, du bør være opmærksom på.

Det er afgørende, at persondata behandles fortroligt, det vil sige persondata i fysisk form fx i ringbind og lignende skal låses forsvarligt inde. Persondata i elektronisk form må tilsvarende kun være tilgængelig for dig som tillidsrepræsentant. 

Persondata må ikke opbevares længere end det er nødvendigt for at opfylde formålet, fx når du modtager persondata i forbindelse med en ansættelse, vil det ikke længere være nødvendigt for dig at opbevare disse, når ansættelsesforholdet og lønnen er forhandlet på plads. Derefter skal materialet slettes. Lønoplysninger vil du for historikken, kunne gemme til senere brug i et skema eller lignende. 

En del tillidsrepræsentanter anvender allerede nu arbejdsgivers IT-system til at lagre persondata, som tillidsrepræsentanten er kommet i besiddelse af gennem sit hverv. Denne fremgangsmåde er i overensstemmelse med persondataforordningen, så længe det sikres, at andre ikke kan tilgå materialet.

Når du lagrer persondata, som Djøf er ansvarlig for på din arbejdsgivers IT-system, kræver Datatilsynet, at man indgår en databehandleraftale med ens arbejdsgiver. Det skyldes, at Djøf har pligt til at sikre sig, at persondata opbevares forsvarligt og sikkert. Da arbejdsgivers andre persondata ligeledes skal opbevares forsvarligt og sikkert, er det Djøfs vurdering, at indgåelsen af en databehandleraftale ikke vil give særlige udfordringer for din arbejdsgiver. 

Djøf afventer yderligere afklaring af dette spørgsmål med de øvrige parter på det akademiske arbejdsmarked. Du skal derfor ikke foretage dig yderligere på nuværende tidspunkt i forhold til en databehandleraftale.

Personoplysninger må ikke opbevares i længere tid end nødvendigt og skal slettes, når de ikke længere er relevante. Et eksempel herpå kunne være, at hvis et medlem fratræder sin stilling i virksomheden, da skal vedkommendes oplysninger, som tillidsrepræsentanten er i besiddelse af, slettes.
Et godt råd er at anonymisere data, hvis du ønsker at opbevare data i en længere periode.

Som tillidsvalgt skal du kunne varetage dit arbejde. Du har derfor som tillidsvalgt ret til at få fremsendt oplysninger om de medlemmer, du repræsenterer. Disse oplysninger må udelukkende bruges til at varetage de opgaver, der ligger i tillidshvervet. Du har kun mulighed for at få fremsendt oplysninger om de medlemmer, du repræsenterer, hvis der foreligger en overenskomst eller en lokalaftale, hvor den tillidsvalgtes rolle/arbejdsopgaver står beskrevet.

Når du skal sende mails som indeholder fortrolige eller følsomme personoplysninger (fx lønsedler, kontraktudkast eller CV med angivelse af CPR-nummer), skal oplysningerne krypteres.

Datatilsynet har lavet en beskrivelse af principperne for kryptering af mail på datatillsynet.dk under Emner, Persondatasikkerhed og Transmission af personoplysninger via mail.

Du må gerne indkalde de medlemmer, du repræsenterer, til generalforsamlinger, klubmøder med videre. Når man masseudsender en e-mail til klubbens medlemmer, skal du være opmærksom på, hvor du angiver modtagernes mailadresser. Modtagerne af en sådan masseudsendelse bør ikke fremgå af selve e-mailen. Man skal derfor placere modtagernes e-mailadresse i mailens bcc-felt. Når du placerer modtagernes mailadresse i bcc-feltet, kan modtagerne ikke se hinandens mailadresser.

Du må gerne sende kalenderinvitationer ud til klubbens medlemmer. Medlemmerne må dog ikke fremgå af invitationen. Dette vil være i strid med databeskyttelsesloven grundet det faktum, at ens fagforeningsmæssige tilhørsforhold vil komme til udtryk. Bruger du Outlook til at sende kalenderinvitationen, kan du ikke sætte medlemmerne i bcc-feltet.

Det kan løses på følgende måde:

• Start med at gå ind i kalenderfunktionen, således du kan invitere til et møde. Opret en ny mødeindkaldelse, og vælg derefter ’Planlægningsassistent’ og ’Til…’. Herefter finder du personerne, du vil sende til. Men i stedet for at tilføje som ’Nødvendig’, skal du tilføje personerne som ’Ressourcer’.
• E-mail adresser kan også skrives/kopieres i feltet ’ressourcer’, hvis det er personer, der ikke findes i dit adressekartotek. Det eneste, der betyder noget for denne løsning, er tilføjelsen i ’Ressourcer’, og ikke ’Nødvendig’.
• Herefter klikker du ’OK’, og går tilbage til forrige side; ’Aftale’ og udfylder mødeindkaldelsen, som du normalt ville. Det er dog vigtigt at slette adresserne/personerne fra feltet ’Sted’, da det vil afsløre, hvem der har modtaget mødeindkaldelsen.

Hvis man har afholdt klubmøde, og referatet skal sendes ud til andre end dem der deltog på mødet, kræver det samtykke fra dem som er nævnt i referatet. Alternativt kan navne slettes i referatet. Dette skyldes, at referatet vil afsløre fagforeningsmæssige tilhørsforhold, hvilket er en følsom oplysning, som kræver samtykke.

Datatilsynet har i en vejledning fra 2007 bekræftet, at tillidsrepræsentanten kan videregive lønoplysninger til den gruppe ansatte, som vedkommende repræsenterer. Dette gælder både løn, løntillæg og begrundelser for tildelingen af tillæg, så længe disse ikke indeholder negativt ladede udtalelser om den ansatte. 

Der er dog nogle få forholdsregler, du bør være opmærksom på.

Du bør som tillidsrepræsentant skrive ”TR-hverv- fortroligt” i emnefeltet, når du sender en mail som relaterer sig til dit tillidshverv.

Lønoplysninger er almindelige ikke-følsomme oplysninger som kan videregives hvis formålet i forordningens art. 6 om formål er opfyldt.

Når du sender en liste ud med resultaterne for de årlige lønforhandlinger (hvis der ellers er åben lønpolitik), vil der, ud over lønoplysninger, kunne fremgå navne på medlemmerne, eller medlemmerne kan identificeres på anden vis. Før du kan sende en sådan liste ud, hvor fagforeningsmedlemsskab kan konstateres, skal der indhentes et samtykke fra hvert medlem. Samtykket kræves fordi ens fagforeningsmæssige tilhørsforhold er en følsom oplysning.

Det kan være nødvendigt, at en arbejdsgiver informerer øvrige ansatte om, at en medarbejder er fratrådt sin stilling. Dette kan være begrundet i driftsmæssige årsager eller for at forhindre ”uro” på arbejdspladsen.

En arbejdsgiver må dog ikke videregive detaljerede oplysninger om årsagen til afskedigelsen af en medarbejder. At arbejdsgiver fx fortæller at afskedigelsen skyldes sygdom eller indikerede, at skylden for det passerede efter arbejdsgivers opfattelse ligger hos den afskedigede er ikke tilladt.

Man kan give tilladelse til, at andre kan indhente ens private straffeattest. Den bliver kun udstedt til andre, hvis man har givet samtykke til det. Man kan få brug for en privat straffeattest i forskellige situationer - fx i forbindelse med jobsøgning.

En arbejdsgiver må kun anmode om eller indhente oplysninger om en ansøgers eventuelle strafbare forhold, hvis det er relevant i forhold til den stilling, som den pågældende skal varetage. Dette betyder, at der skal være et rimeligt formål, og behandlingen skal ske på den mindst indgribende måde. En straffeattest indhentes som udgangspunkt af jobansøgeren selv, og hvis man videregiver den betragtes det som et gyldigt samtykke.

Som tillidsvalgt har du en særlig stilling i en virksomhed. Vurderingen af, hvad du som tillidsvalgt må modtage, skal følge af en kollektiv aftale eller en lokalaftale, ellers skal behandlingen følge behandlingsreglerne i databeskyttelsesloven.

En arbejdsgiver må godt fremsende personoplysninger til dig som tillidsvalgt, hvis der er hjemmel i en kollektiv aftale eller en lokalaftale.

Lønoplysninger er almindelige ikke-følsomme oplysninger som kan videregives hvis formålet i forordningens art. 6 om formål er opfyldt.

Hvis det er nødvendigt for den ansattes ansættelsesforhold, må du godt fremsende fx fulde navn, adresse og erhvervserfaring for at kunne indplacere den ansatte på det rigtige lønniveau, således at arbejdsgiver kan udforme en ansættelseskontrakt til vedkommende.

Hvis følgende betingelser er opfyldt, må arbejdsgiver gerne gennemgå medarbejdernes e-mails ved mistanke om misbrug:

• Læsning af den ansattes mails må kun ske, hvis det er nødvendigt. Heri ligger, at arbejdsgiver skal have et rimeligt formål, og dette formål skal overstige den ansattes interesser.
• Medarbejderen skal på forhånd være informeret om at arbejdsgiver kan tilgå mails.
• Arbejdsgiver må som udgangspunkt ikke læse medarbejdernes private mails. Hertil er det en god ide, at man i sin Outlook laver en mappe med overskriften ’Privat’ til sine private mails. Læsning af den ansattes private mails må kun ske, hvis det er nødvendigt. Heri ligger, at arbejdsgiver skal have et rimeligt formål, og dette formål skal overstige den ansattes interesser.

De personer du håndterer personoplysninger for, har krav på at se de oplysninger du opbevarer. Det betyder, at du skal udlevere de pågældende oplysninger til vedkommende, hvis du bliver spurgt om indsigt.

Får du en henvendelse om indsigt, skal du sende det materiale du har liggende om vedkommende til dk¤djoef¤djoef. 

Djøf vil herefter give den registrerede indsigt på baggrund af de oplysninger, du har sendt til Djøf. Husk at en indsigtsbegæring som udgangspunkt skal behandles inden for en måned jf. GDPR art. 12, stk. 2.

Du skal opbevare persondata sikkert, når du behandler personoplysninger som tillidsrepræsentant. Det betyder, at fysiske persondata skal låses inde i et skab og elektronisk persondata skal opbevares sikkert på en server og du skal have adgangskode på din skærm og låse skærmen, når du forlader din arbejdsplads.

Efter tillidsrepræsentantreglerne har din arbejdsgiver pligt til at stille IT-udstyr til rådighed, så du kan varetage dine tillidsrepræsentantopgaver forsvarligt.

Husk også at makulere fysiske persondata når du ikke har brug for dem i papirform længere.

Er der tale om oplysninger som ikke længere er nødvendige for dig som tillidsrepræsentant, skal du slette oplysningerne.

Hvis det er oplysninger som du mener er nødvendige dit hverv, skal du overveje om oplysningerne kan anonymiseres. Hvis det ikke er muligt er du berettiget til fortsat at opbevare oplysningerne.

Hvis du er enig med den, der henvender sig, skal du rette de forkerte oplysninger.
  
Hvis du er uenig med vedkommende, gør du et notat om, at vedkommende har henvendt sig, samt hvad vedkommende har oplyst dig om de pågældende oplysninger. Du skal gøre vedkommende opmærksom på, at der er klageadgang til Datatilsynet, jf. GDPR art. 12, nr. 4.