Guide: tillidsrepræsentanter behandling af personoplysninger

IDA har sammensat denne vejledning til dig, der er tillidsvalgt for IDA, så du altid ved, hvordan du skal håndtere dine kollegers personoplysninger ift GDRP. Har du yderligere spørgsmål, er du naturligvis velkommen til at kontakte IDA.

Denne vejledning er tænkt som en hjælp og en instruks til dig, og indeholder en beskrivelse af reglerne vedrørende persondata og IDAs forståelse af reglerne. Vejledningen gælder for alle tillidsrepræsentanter, der er valgt på det statslige, regionale og kommunale område, herunder andre offentlige virksomheder, der følger ACs overenskomster på det offentlige område.
Formålet med denne vejledning er at sikre, at IDA fortsat kan beskytte medlemmernes personoplysninger, og at håndteringen af disse oplysninger altid følger lovgivningen på området (GDPR-forordningen og databeskyttelsesloven).

IDA er dataansvarlig for dig som tillidsrepræsentant på det offentlige område

Tillidsrepræsentanten betragtes som en lokal repræsentant for IDA på arbejdspladsen. IDA har i forbindelse med valget af dig som tillidsrepræsentant delegeret en række beføjelser til dig, herunder blandt andet retten til at forhandle løn på vegne af IDA. Disse beføjelser følger af AC-overenskomsten og det bemyndigelsesbrev du fik, da du blev anmeldt som tillidsrepræsentant over for IDA.
Når du agerer i din funktion som tillidsrepræsentant er du således underlagt IDAs instruktion til, hvordan tillidsrepræsentanthvervet skal udfyldes. I relation til databeskyttelsesreglerne betyder det, at IDA er dataansvarlig for din overholdelse af datareglerne (GDPR-forordningen og databeskyttelsesloven)
Dette betyder også, at IDA kan give dig bindende instrukser i forhold til din håndtering af persondata, og at du er forpligtet til at leve op til reglerne i denne vejledning.
Det er kun i din funktion som tillidsrepræsentant, at du er omfattet af IDAs dataansvar og instruktionsbeføjelse.

 

Hvad er personoplysninger?

En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør denne identificérbar. Hvis oplysningerne derimod er gjort anonyme, og medlemmet herved ikke længere kan identificeres, vil der ikke være tale om en personoplysning.

Hvilke personoplysninger er der tale om?

Følsomme oplysninger er: Fagforeningsmæssige tilhørsforhold, oplysninger om helbredsmæssige forhold, seksuelle orientering, racemæssig eller etnisk baggrund, eller politisk, religiøs eller filosofisk overbevisning. Det er kun disse oplysninger, der er nævnt ovenfor som er følsomme oplysninger.
Almindelige oplysninger er: De oplysninger der ikke falder ind under kategorien ”følsomme oplysninger”. Det kan fx være navn, privat adresse og privat telefonnummer, CV, uddannelse og billeder af medarbejdere.
Fortrolige oplysninger: CPR-nummer er en kategori for sig og betragtes derfor ikke som en følsom oplysning, men det skal beskyttes lige så godt som følsomme oplysninger. Et CPR-nummer kan betragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et it-system, hvorfor det falder inden for lovens område.
Grundlæggende principper for behandling af personoplysninger:
Der er særligt fem hovedelementer i regelkomplekset, som du er forpligtet til at leve op til:
  • Databrud
  • Behandlingsregler og lagring af data 
  • Oplysningsforpligtelsen
  • Indsigtsret
  • Berigtigelse og sletning af data
Databrud: Det følger af datareglerne, at hvis der sker et databrud, så skal den dataansvarlige vurdere, om der er pligt til at anmelde hændelsen til Datatilsynet. Anmeldelse skal ske indenfor 72 timer efter hændelsen er konstateret. 
Eksempler på en sikkerhedshændelse:
  • Forkert behandling af persondata fx videresendelse af oplysninger til en forkert modtager
  • Mistet hardware fx USB-nøgle, telefon, laptop 
  • Hacking fx angreb udefra med risiko for tyveri af persondata
Hvis du bliver opmærksom på, at de oplysninger du behandler som tillidsrepræsentant kan være udsat for en sikkerhedshændelse, skal du straks tage kontakt til IDAs interne DPO. Det er derefter IDAs opgave at vurdere, om der skal foretages anmeldelse til Datatilsynet. Du skal som tillidsrepræsentant bidrage med oplysninger om hændelsesforløbet, så IDA får det fulde billede af episoden.  
Behandlingsregler og lagring af data: Helt grundlæggende skal der ske en behandling af personoplysninger, før vi er inde i lovgivningen på området. Dette kan fx være indsamling, registrering, systematisering, opbevaring og videregivelse af personoplysninger. For behandling af personoplysninger gælder der en række generelle principper, som altid skal være opfyldt uanset, hvilke personoplysninger, der er tale om. 
  • Overordnet skal oplysningerne behandles lovligt og på en gennemsigtig måde. Behandlingen skal have et lovligt formål og må kun behandles i forhold til formålet. Opstår der et nyt behandlingsformål, må det ikke være uforeneligt med det oprindelige formål.
  • Oplysningerne der behandles skal begrænses til, hvad der er nødvendigt i forhold til formålet; ”dataminimering”
  • Oplysningerne må ikke opbevares i længere tid end nødvendigt, og behandlingen skal foretages på en sikker og fortrolig måde.
Løbende og minimum en gang om året bør du gå dit tillidsrepræsentantmateriale igennem og sikre, at det materiale du gemmer fortsat, er relevant for din funktion som tillidsrepræsentant. 
Behandlingen skal foretages på en sikker og fortrolig måde: Medlemmernes personoplysninger skal altid behandles fortroligt. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et skrivebord eller i en mappe på netværket eller i en fysisk mappe, som andre end du som tillidsrepræsentant har adgang til. Du bør derfor få et skab, der kan låses og en del af netværket fx et lokalt drev, som kun du og teknisk support fra IT-afdelingen har adgang til. Arbejdsgiver er jf. Cirkulære om tillidsrepræsentanter i staten samt MED-aftalerne på det regionale og kommunale område forpligtet til at stille et sådant skab samt serverplads til rådighed for tillidsrepræsentanten. 
Du skal derudover huske, når du er på arbejdspladsen:
  • Rydde op på dit skrivebord - det vil sige ingen persondata på dit skrivebord
  • ”Låse” computeren, når du forlader din PC
  • Aldrig dele dit password med andre
  • Makuler papir, der ikke længere er nødvendigt og relevant at opbevare
  • Send BCC, når du sender mails til flere modtagere
  • Efterlad aldrig personoplysninger så de kan læses af uvedkommende 

Oplysningspligten: IDA har som dataansvarlige ansvaret for at oplyse medlemmerne om, at der behandles personoplysninger om dem, samt hvad formålet med behandlingen er og efter hvilke regler behandlingen foretages.

Indsigtsret: Medlemmer og ikke medlemmer har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har behandlet om vedkommende. Det betyder, at du skal kunne udlevere de pågældende oplysninger til den person, du behandler oplysninger om, hvis vedkommende efterspørger materialet. Behandlingen skal ske inden for en måned, og hvis sagen er kompliceret, skal det ske inden for to måneder.

Hvis du modtager sådan en anmodning, skal medlemmet henvises til at sende en mail

 

Rette og slette data

Berigtigelse: Den, du behandler persondata for som tillidsrepræsentant, har ret til at få berigtiget forkerte oplysninger. Hvis du er enig med personen i, at de persondata, du har registreret, er forkerte, skal du med det samme rette oplysningerne. Er du uenig i, at oplysningerne er forkerte, skal du sikre, at du ligeledes får registreret personens opfattelse af de persondata som uenigheden vedrører.

Har du brug for sparring - kontakt din kontaktperson. 

Retten til at blive glemt: Du skal slette persondata, når det ikke længere er nødvendigt at opbevare data i forhold til de formål, hvortil de behandles (dataminimering).

Det betyder fx, at når lønnen til et medlem er forhandlet på plads, har medlemmet ret til at få slettet persondata, som du har fået som en del af lønforhandlingen, med mindre du har brug for dem fortsat for at kunne varetage dine forpligtelser efter overenskomsten. Hvis du vil gemme oplysningerne yderligere tid, er det et krav, at du anonymiserer oplysningerne, så oplysningerne ikke længere kan henføres til en person - fx slette navn, køn eller e-mail. 

Du kan kontakte arbejdspladsens it-afdeling for at sikre dig, at dataen også bliver slettet i back-uppen.

Hvis du er i tvivl, om du er forpligtet til at slette oplysningerne, skal du kontakte IDA.

Ophør som tillidsrepræsentant

Når dit tillidsrepræsentanthverv ophører, er du forpligtet til at gå de persondata, du har modtaget som tillidsrepræsentant igennem og videreoverdrage de persondata, du vurderer fortsat, er nødvendige til varetagelse af tillidsrepræsentanthvervet, til den nye tillidsrepræsentant. Eventuelle persondata, som ikke længere er nødvendige for dit tillidshverv - fx mails, fysiske dokumenter - skal slettes/makuleres.

Såfremt der ikke bliver valgt en ny tillidsrepræsentant i stedet for dig, skal du slette alle de persondata, du har modtaget i dit hverv som tillidsrepræsentant eller fremsende det til IDA.

Har du relevant materiale, skal du uploade det til Mit IDA.

 

Kommunikation med IDA

E-mail kommunikation skal ske i en krypteret transport, hvilket indebærer, at du ikke må sende e-mails direkte til kontaktpersonens e-mail adresse. Det skal i stedet ske ved, at du uploader dem på din sag på mit.ida.dk. Vi kan desværre ikke garantere krypteret transport, hvis du vælger at sende dokumenter direkte til os.

Hvis du ikke kan åbne vores krypterede mails, så bed din kontaktperson om at uploade dokumenter og lignende på sagen. 

 

Mest stillede spørgsmål

Vi har samlet de mest stillede spørgsmål til dig, der er tillidsrepræsentant.

Se alle spørgsmål her