Guide: Private tillidsvalgtes behandling af personoplysninger

GDPR kan virke overvældende, når man er tillidsvalgt. Men hvis du overholder disse tre regler, så er du langt og har minimeret risikoen for at bryde GDPR-reglerne. 

Kom på GDPR-sikker grund og minimerer risikoen for databrud med disse tre effektive regler. 

Årsagen er, at medlemskab af en fagforening anses for at være en følsom oplysning. Derfor skal både du og IDA være meget opmærksomme på, at beskytte medlemmernes personoplysninger.  

1. Anvend BCC-feltet, når du sender e-mails til flere modtagere. Hermed kan modtagerne ikke se hinandens mailadresser, og du risikerer ikke at afsløre deres fagforeningsmæssige tilhørsforhold. 
2. Opbevar data sikkert: Medlemmernes oplysninger er fortrolige, så de må ikke ligge frit fremme på hverken din computer eller dit skrivebord. Så vær omhyggelig med dit password og aldrig efterlade din pc i åben tilstand. Fysiske dokumenter skal opbevares i en aflåst skuffe eller skab.

Overordnet set skal du opbevare data sikkert, så det kun er dig der har adgang til dem 

3. Behandle kun de nødvendige oplysninger. Lad være med behandle oplysninger, som ikke er nødvendige for din funktion som tillidsvalgt eller i en given sag. Husk også at slette oplysninger, når de ikke længere er relevante for dig fx når en medarbejder fratræder sin stilling.
   Dermed opfylder du GDPR-kravet om dataminimering og overholder slettereglerne.  

Når du skriver til din kontaktperson i IDA, behøver du ofte ikke skrive navnet på medlemmet i en sag, men kan tit nøjes med at skrive ”en kollega”. Vi anbefaler også, at du logger ind på mit.ida.dk i TR- fanen og opretter en sag fremfor at sende mails til din kontaktperson. 

Tøv ikke med at kontakte din kontaktperson i IDA, hvis du er i tvivl om noget -eller hvis  uheldet har været ude. 

Formålet med denne vejledning er at sikre, at du fortsat kan beskytte medlemmernes personoplysninger, og at håndteringen af disse oplysninger altid følger lovgivningen på området (databeskyttelsesloven).

Hvad er personoplysninger?

En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør denne identificérbar. Hvis oplysningerne derimod er gjort anonyme og medlemmet herved ikke længere kan identificeres, vil der ikke være tale om en personoplysning.

Hvilke personoplysninger er der tale om?

Følsomme oplysninger er: Fagforeningsmæssige tilhørsforhold, oplysninger om helbredsmæssige forhold, seksuelle orientering, racemæssig eller etnisk baggrund, eller politisk, religiøs eller filosofisk overbevisning. Det er kun disse oplysninger, der er nævnt ovenfor som er følsomme oplysninger.
Almindelige oplysninger er: De oplysninger, der ikke falder ind under kategorien ”følsomme oplysninger”. Det kan fx være, navn, privat adresse og privat telefonnummer, CV, uddannelse og billeder af medarbejdere.

Fortrolige oplysninger

CPR-nummer er en kategori for sig, og betragtes derfor ikke som en følsom oplysning, men skal beskyttes lige så godt som følsomme oplysninger. Et CPR-nummer kan derimod bragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et it-system, hvorfor det falder inden for lovens område.

Grundlæggende principper for behandling af personoplysninger

Helt grundlæggende skal der ske en behandling af personoplysninger, før vi er inde i lovgivningen på området. Dette kan fx være indsamling, registrering, systematisering, opbevaring og videregivelse af personoplysninger. For behandling af personoplysninger gælder der en række generelle principper, som altid skal være opfyldt uanset, hvilke personoplysninger, der er tale om.

• Overordnet skal oplysningerne behandles lovligt og på en gennemsigtig måde. Behandlingen skal have et lovligt formål og må kun behandles i forhold til formålet. Opstår der et nyt behandlingsformål, må det ikke være uforeneligt med det oprindelige formål.
• Oplysningerne der behandles skal begrænses til, hvad der er nødvendigt i forhold til formålet, ”dataminimering”
• Oplysningerne må ikke opbevares i længere tid end nødvendigt og behandlingen skal foretages på en sikker og fortrolig måde.

IDA er ikke automatisk dataansvarlig

Tillidsvalgte betragtes som en lokal repræsentant for IDA på arbejdspladsen. IDA har i forbindelse et ønske om at sikre, at det er IDA som er dataansvarlig for dig som tillidsvalgt på det private arbejdsmarked.

For at sikre, at det er IDA som er dataansvarlige for din behandling af personoplysninger som tillidsvalgt er det derfor vigtigt, at du har anmodet om en TR-bemyndigelse fra IDA. (kontakt din kontaktperson i IDA for spørgsmål herom)

På denne måde delegerer IDA en række beføjelser til dig. Disse beføjelser følger af enten en overenskomst, lokalaftale eller ud fra de opgaver som du udfører i dagligdagen som tillidsvalgt.

Når du agerer i din funktion som tillidsvalgt er du således underlagt IDAs instruktion til, hvordan tillidshvervet skal udfyldes.

Dette betyder også, at IDA kan give dig bindende instrukser i forhold til din håndtering af persondata, og at du er forpligtet til at leve op til reglerne i denne vejledning. Det er kun i din funktion som tillidsvalgt, at du er omfattet af IDAs dataansvar og instruktionsbeføjelse.

Opbevaring af data og kommunikation med IDA

Du skal være opmærksom på, at du skal opbevare data tilstrækkeligt sikkert, så det kun er dig, der har adgang til dem. Du må kun opbevare data så længe, det er nødvendigt for behandlingen og skal slettes, når formålet er opfyldt. Frem for at sende dokumenter og andre personfølsomme oplysninger direkte til din kontaktperson og konsulent anbefaler vi, at du uploader dem på din sag på mit.ida.dk. Hvis du ikke kan åbne vores krypterede mails, så bed din kontaktperson om at uploade dokumenter og lignende på sagen. Vi kan desværre ikke garantere krypteret transport, hvis du vælger at sende dokumenter direkte til os.

FAQ

Nedenfor kan du se ofte stillede spørgsmål. Hvis du ikke kan finde, det svar du leder efter, kan du skrive til os. Så vil vi besvare din henvendelse hurtigst muligt.

Skriv til os (via Mit IDA)

Jeg skal indkalde til generalforsamling, klubmøde mv. Må jeg sende det per mail?

Du må gerne indkalde, de medlemmer du repræsenterer, til generelforsamlinger, klubmøder mv. Når man masseudsender en e-mail til foreningens medlemmer, skal man være opmærksom på, hvor man angiver modtagernes e-mailadresser.

Modtagerne af en sådan masseudsendelse bør ikke fremgå af selve e-mailen.

Man skal derfor placere modtagernes e-mailadresse i e-mailens bcc-felt. Når man placerer modtagernes e-mailadresse i bcc-feltet, kan modtagerne ikke se hinandens e-mailadresser.

Hvordan skal jeg håndtere referater fra klubmøder?

Hvis man har afholdt klubmøde, og referatet skal sendes ud, til andre end dem der deltog på mødet, kræver det samtykke, fra dem som er nævnt i referatet. Alternativt kan navne slettes i referatet. Dette skyldes, at referatet vil afsløre fagforeningsmæssige tilhørsforhold, hvilket er en følsom oplysning, som kræver samtykke.

Hvad gør jeg, når jeg skal sende en e-mail, som indeholder personoplysninger eller CPR-nummer?

Når du skal sende e-mails som indeholder fortrolige eller følsomme personoplysninger (fx lønsedler, kontraktudkast eller CV med angivelse af CPR-nummer), skal oplysningerne krypteres.

Datatilsynet har skrevet en beskrivelse af principperne for kryptering af e-mail på datatilsynet.dk.

Må jeg videregive begrundelser for lønforhandlinger?

Du må ikke videregive begrundelser for lønforbedringer, tillæg/afslag på tillæg mv., der indeholder negativt ladede udtalelser om et medlem til andre, uden samtykke fra medlemmet, idet hensynet til det enkelte medlem overstiger interessen ved at videregive sådanne oplysninger. Medlemmerne vil normalt have en berettiget interesse i at holde eventuelle negative tilkendegivelser for sig selv.

Må arbejdsgiver informere ansatte om, at en medarbejder er fratrådt sin stilling?

Det kan være nødvendigt, at en arbejdsgiver informerer øvrige ansatte om, at en medarbejder er fratrådt sin stilling. Dette kan være begrundet i driftsmæssige årsager eller for at forhindre ”uro” på arbejdspladsen.

En arbejdsgiver må dog ikke videregive detaljerede oplysninger om årsagen til afskedigelsen af en medarbejder.

Må jeg som tillidsrepræsentant modtage kontaktoplysninger (fx navn, adresse og telefonnummer) på en nyansat fra arbejdsgiver?

Arbejdsgiver er forpligtet til at udlevere oplysninger til en tillidsrepræsentant, for at en tillidsrepræsentant kan udføre sit tillidshverv.

Det er nødvendigt for en tillidsrepræsentant at få alle nødvendige oplysninger om en nyansat.

Det er derfor ikke nødvendigt for en arbejdsgiver at indhente samtykke hos den ansatte for at kunne videregive oplysningerne til tillidsrepræsentanten.

Må jeg som tillidsrepræsentant få en liste på de ansatte, som i henhold til overenskomsten falder under IDA’s forhandlingsområde?

Arbejdsgiver må gerne videregive oplysninger om de ansatte til IDA eller tillidsrepræsentanten, hvis videregivelsen sker for at overholde en retlig forpligtelse eller for at overholde overenskomsten jf. Databeskyttelseslovens § 12, stk. 2.

I henhold til overenskomsten har tillidsrepræsentanten forhandlingsretten, for de personer som falder under IDA’s forhandlingsområde jf. uddannelsesbilaget i overenskomsten.

En sådan liste (der omfatter både medlemmer og ikke-medlemmer) indeholder ikke følsomme oplysninger, så udover databeskyttelseslovens § 12, er der hjemmel i artikel 6, stk. 1, litra e.

Hvordan skal jeg som tillidsrepræsentant forhold mig til dataminimering?

Dataminimering betyder, at du som tillidsrepræsentant ikke bør indhente eller få tilsendt oplysninger, som ikke er nødvendige for din funktion som tillidsrepræsentant i en given sag. Derudover skal du heller ikke fremsende oplysninger som ikke er relevante for en given sag.

Må jeg lydoptage min chef?

Udgangspunktet er, at man ikke må lydoptage sin chef. En ny dom viser, at det var illoyalt da en ansat lydoptog en samtale med sin chef, og at en bortvisning var berettiget med tilbagevirkende kraft.

Indtil der foreligger en ny afgørelse vil IDAs råd til vores medlemmer være, at man skal lade være med at optage samtaler på arbejdspladsen.

Må jeg gerne sende en liste ud med resultaterne for de årlige lønforhandlinger?

Når du sender en liste ud med resultaterne for de årlige lønforhandlinger (åben lønpolitik), vil der, ud over lønoplysninger, fremgå navne på medlemmerne.

Før du kan sende en sådan liste ud, skal der indhentes et samtykke for hvert medlem. Samtykket kræves fordi ens fagforeningsmæssige tilhørsforhold vil fremgå af en sådan udsendelse, hvilket er en følsom oplysning.

Hvis de ansattes fagforeningsmæssige tilhørsforhold derimod ikke fremgår af listen med de årlige lønforhandlinger, der vil det ikke kræve et samtykke for at sende en sådan liste ud.

Husk på, at medlemskab af en faglig organisation er en følsom oplysning, og man må som tillidsrepræsentant derfor ikke hverken direkte eller indirekte afsløre, om en person er medlem eller ikke-medlem.

Må jeg fremsende arbejdsgiver oplysninger om ansatte, hvis det er nødvendigt for ansættelsesforholdet?

Hvis det er nødvendigt for den ansattes ansættelsesforhold, må tillidsrepræsentanten godt fremsende fx fulde navn, adresse eller erhvervserfaring for at kunne indplacere den ansatte på det rigtige lønniveau, således at arbejdsgiver kan udforme en ansættelseskontrakt til vedkommende.

Må jeg sende kalenderinvitationer (Outlook-invitation) ud til medlemmer fx for at sikre, at de husker generalforsamlingen eller et gå-hjem-møde?

Man må gerne sende kalenderinvitationer ud til foreningens medlemmer. Medlemmerne må dog ikke fremgå af invitationen. Dette vil være i strid med databeskyttelsesloven, grundet det faktum at ens fagforeningsmæssige tilhørsforhold vil komme til udtryk. I en kalenderinvitation kan man ikke sætte medlemmerne i bcc-feltet.

Det kan løses på følgende måde:

• Start med at gå ind i kalenderfunktionen, således du kan invitere til et møde. Opret en ny mødeindkaldelse, og vælg derefter ’Planlægningsassistent’ og ’Til…’. Herefter finder du personerne, du vil sende til. Men i stedet for at tilføje som ’Nødvendig’, skal du tilføje personerne som ’Ressourcer’.
• E-mail adresser kan også skrives/kopieres i feltet ’ressourcer’, hvis det er personer, der ikke findes i dit adressekartotek. Det eneste, der betyder noget for denne løsning, er tilføjelsen i ’Ressourcer’, og ikke ’Nødvendig’.
• Herefter klikker du ’OK’ og går tilbage til forrige side; ’Aftale’ og udfylder mødeindkaldelsen, som du normalt ville. Det er dog vigtigt at slette adresserne/personerne fra feltet ’Sted’, da det vil afsløre, hvem der har modtaget mødeindkaldelsen.

Hvad har jeg som tillidsrepræsentant ret til fra IDA?

Som tillidsvalgt skal du kunne varetage dit arbejde. Du har derfor som tillidsvalgt ret til at få fremsendt oplysninger om de medlemmer, du repræsenterer. Disse oplysninger må udelukkende bruges til at varetage de opgaver, der ligger i tillidshvervet.

Udlevering af oplysninger fra arbejdsgiver

En tillidsrepræsentant har en særlig stilling i en virksomhed. Vurderingen af, hvad en tillidsrepræsentant må modtage, skal enten følge en kollektiv aftale, ellers skal behandlingen følge behandlingsreglerne i databeskyttelsesloven.

Der kan være nogle oplysninger, som en tillidsrepræsentant ikke behøver at modtage; eksempelvis opsigelsesbegrundelsen.

En arbejdsgiver må godt fremsende personoplysninger til tillidsrepræsentanten, hvis der er grundlag i en kollektiv aftale. I TR-reglerne fremgår det, at en tillidsrepræsentant skal kunne varetage sit hverv. Reglerne i kollektive overenskomster har forrang i forhold til reglerne i databeskyttelsesloven.

Databeskyttelseslovens behandlingsregler skal derfor ikke iagttages, når der udveksles informationer om de ansatte, som tillidsrepræsentanten repræsenterer, hvis oplysningerne er nødvendige for, at tillidsrepræsentanten kan udføre sit hverv.

Det er IDAs holdning, at vores tillidsrepræsentanter skal orienteres om alle væsentlige forhold, på en sådan måde at tillidsrepræsentanten har mulighed for at varetage sit hverv og repræsentere og bistå vores medlemmer.

Hvad bør jeg som tillidsrepræsentant skrive i emnefeltet, når jeg sender en e-mail i relation til mit tillidshverv?

Du bør som tillidsrepræsentant skrive ”TR-hverv- fortroligt” i emnefeltet, når du sender en mail som relaterer sig til dit tillidshverv.

Hvordan skal jeg opbevare data i forhold til mit tillidshverv?

Du skal som tillidsrepræsentant behandle personoplysninger, om dem du repræsenterer, fortroligt. Oplysningerne må derfor ikke være tilgængelige for tredjepart. IDAs råd er derfor, at det er en god ide, at du har et aflåst skab eller en aflåst mappe, hvor kun du som tillidsrepræsentant har adgang til.

I IDA har vi p.t flere løsninger til opbevaring af data:

• OneDrive (Office365) – som er et personligt drev i skyen. Her kan du selv styre, hvem der får adgang til dokumenterne. Det er nemt at dele og gemme i OneDrive samt at vedhæfte i mails i Outlook. (NB! du må gerne opbevare data på OneDrive både alm. og følsomme oplysninger, men tredjepart må ikke kunne komme i besiddelse af oplysningerne). Ulemper: OneDrive er et ’personligt’ drev, så hvis der gemmes vigtig data, og en tillidsrepræsentant stopper på arbejdspladsen, så slettes data. De kan dog overføres inden.
• Teams - er et samarbejdsværktøj, der også tillader lagring af filer, planlægning m.m., og det er kun medlemmer af Team'et, der har adgang til filerne. Modsat OneDrive er Teams ikke personafhængigt, så hvis en tillidsrepræsentant stopper, kan afløseren tilføjes til Team'et og få adgang til de samme filer.
• Netværksdrev – med rettighedsstyring. Rettighederne styrer, hvem der har adgang til drevet. Dvs. det er kun de personer, der er tiltænkt adgang til data, som får det.
• Aflåst skab - en sidste løsning kan være, at du opbevarer dokumenter vedrørende ens tillidshverv i et aflåst skab på din arbejdsplads.

Vi anbefaler ikke brug af Dropbox, Google Drive og lignende, da de ikke er GDPR-compliant, og derfor ved du ikke hvem der ’ejer’/får adgang til de data, der lagres der.

Hvad gør jeg som tillidsrepræsentant, når en ansat jeg repræsenterer ønsker indsigt?

Vedkommende du repræsenterer, har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har om vedkommende. Det betyder, at du skal udlevere de pågældende oplysninger til vedkommende, du repræsenterer, hvis der bliver spurgt ind til materialet.

Hvad skal et samtykke indeholde?

Der er ikke noget krav om, at et samtykke skal være skriftligt. Men det er altid en god idé, at der foreligger et skriftligt samtykke af hensyn til bevisbyrden.

Et samtykke skal være specifikt, informeret og frivilligt. Herunder bør der i samtykkeerklæringen fremgå, hvilke oplysninger der behandles af hvem og til hvilket formål. Derudover skal det fremgå, at samtykket kan trækkes tilbage.

Må arbejdsgiver gerne læse medlemmernes e-mails?

Hvis følgende betingelser er opfyldt, må arbejdsgiver gerne gennemgå medarbejdernes e-mails ved mistanke om misbrug:

• Læsning af den ansattes e-mails må kun ske, hvis det er nødvendigt. Heri ligger, at arbejdsgiver skal have et rimeligt formål og dette formål skal overstige den ansattes interesser.
• Medarbejderen skal på forhånd være informeret.
• Arbejdsgiver må som udgangspunkt ikke læse medarbejdernes private e-mails. Hertil er det en god ide, at man i sin Outlook laver en mappe med overskriften ’Privat’ til medarbejdernes private e-mails. Læsning af den ansattes e-mails må kun ske, hvis det er nødvendigt. Heri ligger, at arbejdsgiver skal have et rimeligt formål og dette formål skal overstige den ansattes interesser.
  

Må arbejdsgiver indhente straffeattest?

Man kan give tilladelse til, at andre kan indhente ens private straffeattest. Den bliver kun udstedt til andre, hvis man har givet samtykke til det. Man kan få brug for en privat straffeattest i forskellige situationer - fx i forbindelse med jobsøgning.

En arbejdsgiver må kun anmode om eller indhente oplysninger om en ansøgers eventuelle strafbare forhold, hvis det er relevant i forhold til den stilling, som den pågældende skal varetage. Dette betyder, at der skal være et rimeligt formål og behandlingen skal ske på den mindst indgribende måde.

En straffeattest indhentes som udgangspunkt af jobansøgeren selv, og hvis man videregiver den betragtes det som et gyldigt samtykke.