Nyheter - 2018-05-25

GDPR

Den 25 maj 2018 trädde EU:s dataskyddsförordning General Data Protection Regulation (GDPR) i kraft. GDPR reglerar hanteringen av personuppgifter och ersätter PuL, Personuppgiftslagen.

GDPR påverkar hur du kan hantera personuppgifter i ditt fackliga uppdrag. Därför har Sveriges Ingenjörer tillsammans med övriga Saco-förbund utarbetat riktlinjer och instruktioner för dig som är förtroendevald som du tar del av här. Instruktionerna innehåller information om hur ni som lokala fackliga representanter ska hantera personuppgifter.

Vad innebär Dataskyddsförordningen GDPR för dig som förtroendevald?

Den 25 maj 2018 träder Dataskyddsförordningen (GDPR) i kraft. GDPR ersätter personuppgiftslagen (PUL) och innehåller bestämmelser om personuppgiftsbehandling. Dataskyddsförordningen är en EU-förordning. Denna är direkt tillämplig i nationell lagstiftning. Regeringen instifta en lag, dataskyddslagen, som kommer reglera unikt svenska situationer.

Förordningens tillämpningsområde

GDPR är tillämpligt på behandling av personuppgifter. För att man ska kunna veta om en aktivitet omfattas av GDPR behöver man veta om informationen man behandlar är att anse som en personuppgift och om aktiviteten man utför är att anse som en behandling. Vissa organisationer är undantagna bestämmelserna i GDPR, men förbund och dess lokalföreningar omfattas och måste organisera verksamheten utifrån det.

Det första man oftast tänker på när man tänker på vad som är en personuppgift är personnummer. Personnummer är helt klart en personuppgift men även många andra uppgifter kan vara en personuppgift. En personuppgift är information som ensamt eller tillsammans med annan information kan identifiera en fysiskt levande person. Det finns därför mycket information som man normalt inte tänker på som en personuppgift men som ändå omfattas av GDPR. Exempelvis är uttrycket "förbundsdirektören på Sveriges Ingenjörer" en personuppgift eftersom det bara finns en förbundsdirektör på Sveriges Ingenjörer och det går då att identifiera vilken person som avses. Namnuppgifter, e-postadresser, telefonnummer, registreringsnummer, medlemsnummer osv är exempel på information man ofta behandlar och som är att anses som en personuppgift och därför omfattas av GDPR. En person vars personuppgifter behandlas kallas för den registrerade i GDPR och även i denna instruktion.

En behandling av en personuppgift är all typ av aktivitet man kan vidta med en personuppgift, till exempel spara, bearbeta, överföra, skicka vidare etcetera. Allting man gör med en personuppgift räknas alltså som en behandling och omfattas således av GDPR.

Att en personuppgiftsbehandling omfattas av GDPR betyder inte att behandlingen är otillåten utan att det finns regler för hur och i vilka sammanhang sådan behandling får ske.

Nyheter i förhållande till PUL

GDPR ersätter PUL. I stora delar är regelverket likalydande men några skillnader införs. En viktig skillnad är att den så kallade missbruksregeln försvinner. Tidigare omfattades inte ostrukturerat material, till exempel Word-dokument, e-post med mera, av PUL men detta kommer numera att omfattas av GDPR. Det innebär att även personuppgifter i löpande text, i e-post, på webbplatser, eller i ärendehanteringssystem omfattas av bestämmelserna.

En annan nyhet som det talas relativt mycket om är höga sanktionsavgifter. Avsikten är att bestämmelserna om personuppgiftsbehandling ska få ett större genomslag än de tidigare reglerna.

Det tillkommer även en utökad informationsskyldighet för personuppgiftsansvariga. Det innebär att de registrerade (fysiska personer vilkas personuppgifter behandlas) ska få information om vilken behandling som görs och även vissa rättigheter att bli glömd eller raderad från organisationer.

Instruktionens innehåll

Du som förtroendevald behandlar personuppgifter i din lokalfackliga verksamhet. Detta betyder att du måste ta hänsyn till regleringen i GDPR när du arbetar fackligt. Nedan följer information för dig som förtroendevald om vad som är en tillåten och vad som är en otillåten personuppgiftsbehandling. Det är en instruktion kring hur du måste hantera personuppgifter i din roll som förtroendevald och information kring vilken ansvarsfördelning som gäller mellan er lokala förening och förbundet centralt respektive er arbetsgivare.

Vid frågor

Har du som förtroendevald frågor om GDPR och personuppgiftsbehandling ska du kontakta kontaktförbundet för din arbetsplats. Det finns också till varje för-bund ett personuppgiftsombud som du kan kontakta. Sveriges Ingenjörers Dataskyddsombud, se under rubriken kontakt.

Generellt om behandling av personuppgifter

Inledning

För att en personuppgiftsbehandling ska vara laglig krävs det att visa krav är uppfyllda. Dels måste behandlingen följa vissa principer och dessutom måste behandlingen vila på en laglig grund. Vilka principer som ska följas och vilka lagliga grunder som finns att vila en personuppgiftsbehandling på regleras i GDPR art 5 och 6. Nedan kommer principerna och de aktuella lagliga grunderna för den verksamheten vi bedriver att gås igenom.

Det finns också några kategorier av extra känsliga personuppgifter som enligt huvudregeln är förbjudna att behandla. Det finns dock ett antal undantag för behandling av dessa känsliga uppgifter och förutsättningarna för att tillämpa dessa undantag är uppfyllda är behandling tillåten. Detta framgår av art 9 i GDPR.

Personuppgifter som avslöjar fackligt medlemskap är en sådan känslig personuppgift som faller in under denna kategori och är alltså som utgångspunkt förbjudet att behandla om det inte går att stödja sig på något av de uppräknade undan-tagen. Undantag från förbudet får göras av en fackförening inom dess fackliga verksamhet (art 9.2 d) och om det finns en skyldighet inom arbetsrätten att utföra en aktivitet som kräver behandling (art 9.2 b). Det är med stöd av dessa två undantag ni har rätt att behandla era medlemmars känsliga personuppgifter. Eftersom de flesta av de personuppgifter du som förtroendevald hanterar avslöjar fackligt medlemskap kommer denna instruktion också behandla delen av GDPR som handlar om behandling av känsliga personuppgifter.

Ansvar

För all form av personuppgiftsbehandling ska det finnas en personuppgiftsansvarig organisation eller fysisk person. Som anställd eller förtroendevald är du att anse som osjälvständig medhjälpare till den personuppgiftsansvariga. Inom Sveriges Ingenjörer är det förbundet på central nivå som är personuppgiftsansvarig. Detta gäller så länge den lokala föreningen agerar i enlighet med de stadgar, instruktioner och förordnanden som den fått från förbundet.

Om en lokal förening bedriver sidoverksamhet som faller utanför syftet eller ändamålet med en fackförening är lokalföreningen ansvarig i de delarna. Det kan exempelvis vara fråga om sociala aktiviteter som inte har någon anknytning till förbundet centralt såsom ett vinlotteri, gemensamma semesterresor, tipsbolag, konstföreningar och dylikt.

För behandling av personuppgifter i den fackliga verksamheten är den lokala akademikerföreningen ett personuppgiftsbiträde till det kontaktförbund som utsetts av Sacoförbunden gemensamt. Kontaktförbunden avgörs i allmänhet av vilket förbund som är part i kollektivavtal och om det är flera parter i kollektivavtalet så har dessa förbund fördelat arbetsplatser emellan sig. Kontakta Sveriges Ingenjörer eller annat SACO-förbund som är part i det kollektivavtal som gäller på din arbetsplats för att få reda på vilket förbund som är ert kontaktförbund.

Principer för behandling av personuppgifter

För att en personuppgiftsbehandling ska vara tillåten krävs det att vissa principer efterlevs av den som behandlar personuppgifterna. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Uppgifterna ska dessutom samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandlas på något sätt som är oförenligt med dessa ändamål. Upp-gifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen. De ska dessutom vara uppdaterade.

Dessa principer tar sikte på att den som behandlar personuppgifter enbart gör det för ett berättigat ändamål och bara behandlar personuppgifter som är nödvändiga för ändamålet. Man får alltså inte samla på sig massor av information om en per-son som man inte behöver och man får heller inte använda information om en person för andra saker än det ursprungliga ändamålet.

I vår verksamhet är ändamålet med personuppgiftsbehandlingen, som sker hos er lokala företrädare, att vi ska kunna tillvarata våra medlemmars arbetsrättsliga intressen hos sin arbetsgivare. Er lokala förening får därför bara behandla de personuppgifter ni får ta del av i egenskap av fackliga företrädare till den fackliga verksamheten och med ett fackligt ändamål.

Det är heller inte tillåtet att samla på sig information man inte behöver. Som ex-empel behöver en facklig företrädare inte känna till vad en medlem har för fri-tidsintressen och då är det information som heller inte ska behandlas. När medlemmar slutar på er arbetsplats har ni heller inget berättigat ändamål att fortsätta behandla personuppgifter om dessa eftersom ni inte längre företräder dem i fack-liga frågor, förutsatt att ni inte har haft något ärende och behöver arkivera exempelvis förhandlingsprotokoll och liknande.

Lagliga grunder

För att en personuppgiftsbehandling ska vara tillåten krävs det att behandlingen vilar på en laglig grund. Det finns sex olika lagliga grunder i GDPR. Den lagliga grund behandlingen av personuppgifter ni som lokalfackliga vilar på är avtals-grunden (art 6.1 b). En laglig grund för personuppgiftsbehandling är nämligen att behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.

I detta fall handlar det om avtalet medlemmen ingår med Sveriges Ingenjörer. I medlemskapet ingår att bli företrädd lokalt på arbetsplatsen och därför är personuppgiftsbehandlingen som ni som lokalfackliga utför tillåten under denna lagliga grund.

Behandling av känsliga uppgifter

Huvudregeln är att behandling av personuppgifter som avslöjar fackligt medlemskap är förbjudet. Det finns dock en del undantag som gör det möjligt att behandla den kategorin av personuppgifter. Ett sådant undantag är att behandlingen sker inom ramen för berättigad verksamhet hos en förening med fackligt syfte. Eftersom Sveriges Ingenjörer är en förening med fackligt syfte får vi lov att be-handla personuppgifter på våra medlemmar.

Uppgifter om hälsa är också en sådan känslig personuppgift som det finns restriktioner kring att behandla. Denna typ av uppgifter angående våra medlemmar kan ni komma i kontakt med i exempelvis rehab-ärenden.

Eftersom det mesta av de personuppgifter ni behandlar i er fackliga roll är känsliga uppgifter enligt GDPR är det viktigt att ni hela tiden är uppmärksamma på det och är noga med att inte sprida dessa uppgifter till obehöriga. Ni är också skyldiga att se till att all behandling sker på datorer som har ett fullgott skydd mot obehöriga intrång och att informationen skyddas mot obehöriga intrång genom personliga inloggningsuppgifter. Om personuppgifter lagras i register eller i pärmar ska dessa hållas inlåsta och säkert förvarade.

Tänk på att era mobiltelefoner och surfplattor innehåller personuppgifter, i form exempelvis av e-post och kontaktlistor, och kanske även känsliga personuppgifter. Även dessa måste vara spärrade och kan inte hållas tillgängliga för vem som helst.

Personuppgiftsbehandling för lokalföreningar

Inledning

Följande avsnitt är en instruktion för personuppgiftsbehandling som ni som lokalfacklig förening måste följa. Detta är den instruktion som hänger ihop med själva förordnandet om personuppgiftsbiträde. Det är viktigt att denna instruktion efterlevs för att ni som lokalförening ska ses som biträde till Sveriges Ingenjörer och inte anses ha eget personuppgiftsansvar. Ni får inte behandla personuppgifter för något annat ändamål än det lokalfackliga syftet.

Insamling av personuppgifter

Akademikerföreningarnas insamling av personuppgifter sker löpande från att en medlem ansöker om medlemskap tills det att den går ur förbundet eller avslutar sin anställning. All insamling måste ha en laglig grund i GDPR. Så länge insamlingen har anknytning till facklig verksamhet är den lagliga grunden med-lemskapet. När insamling sker ska ändamålet med användningen av personuppgifterna alltid anges tydligt. Insamling kan ske direkt från medlemmen eller ibland från ett register eller andra källor.

När ni samlar in personuppgifter från medlemmar eller arbetstagare bör ni alltid fundera på hur mycket info som behövs för att fullgöra ändamålet. Utgå ifrån vad ni behöver för att bedriva lokal fackligt arbete. Fundera på hur ni formulerar anmälningsformulär, förteckningar över medlemmar. Utgångspunkten är att inte samla in och lagra på mer än vad som är nödvändigt. Försök alltid att minimera insamlandet. Ändamålen ska alltid anges i samband med insamlingen. Om ni tar fram eget material för rekrytering eller ansökningsblanketter måste information om personuppgiftsbehandling och en hänvisning till Sveriges Ingenjörers webbplats finnas på materialet. Sådant material bör alltid stämmas av med förbundet centralt för att säkerställa att samma och korrekt information går ut till alla medlemmar, kontakta er avtalsansvariga ombudsman.

Hantering

All hantering ska ske lagligt, korrekt och öppet i förhållande till den registrerade, GDPR art 5. Hanteringen får aldrig innebära att personuppgifter används för andra ändamål än för det som angavs när insamlingen skedde, ändamålsbegränsning. Personuppgifter ska vara korrekta och uppdatering ska ske om det behövs i förhållande till ändamålet med att hantera uppgifterna.

Delning

De personuppgifter vi behandlar innebär i stort sätt alltid uppgifter om facklig tillhörighet, eftersom det ofta framgår att det är fråga om medlemmar i något förbund. Då sådana personuppgifter är särskilt känsliga ska de delas med andra endast om det är nödvändigt och särskild försiktighet ska vidtas. Alla e-postutskick ska ske så att andra mottagares e-postadresser är dolda för mottagarna. Om ni skickar listor på medlemmar i er förening eller uppgifter om facklig tillhörighet eller personnummer med e-post ska dessa alltid skickas krypterade och låsta så att det behövs lösenord för att öppna och läsa dem. Dela inte personuppgifter om det inte är nödvändig för att fullgöra ändamålen och ert fackliga arbete och försök att undvika att ange de fyra sista sifforna om det är möjligt.

Lagring

All lagring av personuppgifter i såväl elektronisk som annan form, pärmar och pappersregister, måsta förvaras på ett sådant sätt att inte fler än nödvändigt har tillgång till de. Pärmar och pappersregister måste hållas avskilda och inlåsta. Elektroniskt lagrade uppgifter måste hållas bakom säkra inloggningar och reglerade med strikta behörigheter. All lagring ska ske på ett sådant strukturerat sätt att det ska gå att radera och överföra personuppgifterna till annan på den registrerades begäran. Undvik därför att spara personuppgifter på flera ställen parallellt.

Det kan finnas problem med att lagra personuppgifter och särskilt känsliga personuppgifter på arbetsgivarens dator. Så länge arbetsgivaren inte motsätter sig sådan lagring är den tillåten så länge kraven på säkerhet, behörighetsbegränsning och hemlighållande kan upprätthållas. Om en arbetsgivare kräver att ni ska ingå ett avtal om att vara personuppgiftsbiträde för att godkänna er lagring på sina servrar måste ni kontakta Sveriges Ingenjörer då ni som personuppgiftsbiträde till förbundet inte har behörighet att biträda er den rollen. Det är inte ni som är personuppgiftsansvariga utan förbundet centralt.

Lagring på egna datorer, andra än arbetsgivarens, ska undvikas då detta innebär att personuppgifter riskerar att spridas och säkerheten inte kan garanteras. Om ni som lokalförening vill använda er av någon molntjänst måste ni vara säkra på att den uppfyller de stränga krav på säkerhet som ställs.

Gallring

Allt material som inte behövs ska ni göra er av med. Medlemslistor ska hållas uppdaterade och utträdda medlemmar eller medlemmar som slutat hos arbetsgi-varen ska inte finnas med i något register. Lönelistor får bara sparas om de ska användas för statistik eller lönekartläggningsarbete. Då ska de avidentifieras eller pseudonymiseras.

Om en medlem haft ett ärende hos er ska ni spara personuppgifter i detta ärende under den tid medlemmen kan rikta ett rättsligt krav mot förbundet, genom en reklamation eller ett skadeståndskrav. Den tiden avgörs av allmänna preskriptionslagen och lyder på tio år. Under den tiden har ni rätt att spara personuppgifter även om medlemmen motsätter sig detta. Medlemmen har inte häller rätt att kräva att ni raderar sådan information.

Ni ska löpande gå igenom gammal e-post och gamla dokument och fundera på vad ni ska radera. Det är inte tillåtet att spara gamla e-postmeddelanden som in-nehåller personuppgifter, till exempel e-postadressen, om det inte finns en orsak till det. Ni bör löpande lagra viktig e-post på ett strukturerat sätt och radera sådant ni bedömt att ni inte behöver lagra.

Incident

Om personuppgifter genom en olycka eller genom ett sabotage eller liknande ofrivilligt förstörs, ändras, obehörigen röjs eller blir tillgängligt för obehörig kan det utgöra en så kallad personuppgiftsincident. Exempel på personuppgiftsincidenter är att en mobil enhet innehållande medlemsförteckningen i föreningen tappas bort eller stjäls. Det kan också vara fråga om virus som raderar eller skadar innehåll på en dator som innebär att det inte går att komma åt personuppgifterna. Om en sådan incident inträffar ska ni omedelbart rapportera detta till förbundet. Skicka e-post till Personuppgiftsincident@sverigesingenjorer.se och förklara vad som hänt. Det finns korta tidsfrister för att agera vid en sådan personuppgiftsincident varför omedelbarhetskravet är särskilt viktigt.

Relationen till förbundet centralt

Du som förtroendevald agerar å förbundets vägnar lokalt på din arbetsplats. Alla medlemmar i din lokala förening är i första hand medlem i ett centralt Sacoförbund och du som lokal förtroendevald företräder Sveriges Ingenjörer och övriga Sacoförbund. Detta innebär att er lokala förening behandlar personuppgifter för ert kontaktförbunds räkning. Det är inte du som enskild person som ansvarar för behandlingen av personuppgifterna utan det är den lokala föreningen som utför själva behandlingen. Detta innebär att er lokala förening blir personuppgiftsbiträde åt kontaktförbundet centralt då all personuppgiftsbehandling ni utför genomförs för det förbundets räkning. Det är kontaktförbundet som är personuppgiftsansvarig för den personuppgiftsbehandling ni som lokalförening måste utföra för att kunna bedriva lokala förhandlingar.

För att ni ska kunna bedriva lokalfacklig verksamhet är det ett krav att föreningen accepterar sin roll som personuppgiftsbiträde och följer instruktionen och förordnandet från sitt kontaktförbund.

Om en lokalförening behandlar personuppgifter i strid med förordnandet och instruktionen riskerar den att ses som självständigt personuppgiftsansvariga.

Relationen till din arbetsgivare

När du som lokalfacklig sparar ner information om våra medlemmar på arbetsgivarnas datorer gör du det i syfte att kunna bedriva sin fackliga verksamhet och företräda medlemmarna lokalt.

Arbetsgivare behandlar personuppgifter i samband med bland annat förhand-lingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till er som lokalförening. I vissa fall har arbetsgivaren hävdat att de inte kan lämna ut personuppgifter på grund av GDPR. Sveriges Ingenjörer är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR art 6 c. Känsliga personuppgifter får lämnas ut med stöd av art 9.2 b, när det finns en skyldighet enligt arbetsrätten att göra det. En sådan skyldighet kan följa av en lag, exempelvis MBL, LAS eller förtroendemannalagen, eller av ett kollektivavtal. En arbetsgivare kan alltså inte kategoriskt vägra att lämna ut personuppgifter med stöd av GDPR. Det är i och för sig inte samma sak som att arbetsgivaren måste lämna ut personuppgiften till föreningen, men följer det av lag eller kollektivavtal att arbetsgivaren ska lämna ut personuppgifter så är GDPR inget hinder för det.

Vissa arbetsgivare har uppfattningen att de behandlar personuppgifter genom att tillhandahålla serverutrymme till lokalfackliga föreningar. Det har förekommit att arbetsgivare därför vägrat att tillhandahålla serverutrymme för fackligt arbete om föreningen inte undertecknat ett avtal där arbetsgivaren är personuppgiftsbi-träde åt föreningen lokalt. Ni kan inte som lokalförening teckna ett sådant avtal eftersom det är förbundet centralt som är personuppgiftsansvarigt och därmed äger frågan om vilka personuppgiftsbiträdesavta som ska tecknas. Hör av er till kontaktförbundet om denna situation uppstår.

Särskilt för centralt förtroendevalda

Om du kandiderar som förtroendevald i förbundet har du i någon mån accepterat att din fackliga tillhörighet inte behöver hållas hemlig, trotts att det är en känslig personuppgift. Förbundet kommer då att behöva behandla dina personuppgifter i större utsträckning än annars. Det innebär att dina personuppgifter kommer att finnas med i protokoll som arkiveras av förbundet, dina personuppgifter kommer även att behandlas för att erbjuda dig relevanta utbildningar för ditt uppdrag och din roll.

Om du nomineras till central förtroendepost i förbundet kommer du att bli kontaktad och tillfrågad om du är intresserad av att kandidera. Förbundets valbered-ning kommer då att behandla dina personuppgifter för att utreda om du är en kandidat som ska föreslås som kandidat. Som kandidat och som förtroendevald kommer dina personuppgifter att förekomma offentligt och enligt GDPR anses du då själv ha offentliggjort dina personuppgifter (art 9.2 e). Det innebär inte att grundprinciperna i GDPR inte är tillämpliga men förbundet kommer att behandla och i nödvändiga fall publicera personuppgifter som namn, e-postadress och foto.

Särskilt för kontaktpersoner

Som kontaktperson på en arbetsplats är du att se som en så kallad osjälvständig medhjälpare till den personuppgiftsansvariga, Sveriges Ingenjörer. Det innebär att du är att se som en anställd i förbundet. Samma direktiv gällande personupp-giftsbehandling gäller för dig som för anställda i förbundet.

Kontakt

Om du har frågor om förbundets personuppgiftsbehandling kan avtalsansvariga ge dig information av mer specifik karaktär och hänvisa dig till förbundets jurister för rättsliga frågor. Det går också att kontakta Sveriges Ingenjörer på GDPR@sverigesingenjorer.se eller på
Sveriges Ingenjörer
Box 1419
111 84 Stockholm

Läs mer om GDPR på Datainspektionens webbplats

Frågor och svar

Här hittar du de vanligaste frågor och svar om hur vi behandlar personuppgifter i enlighet med GDPR.

Till FAQ GDPR

Vid frågor

Vid frågor om GDPR eller personuppgiftsbehandling kontakta oss på epost.