Guide: Private tillidsvalgtes behandling af personoplysninger

IDA har sammensat denne vejledning til dig, der er tillidsvalgt for IDA, så du altid ved, hvordan du skal håndtere dine kollegers personoplysninger ift GDRP. Har du yderligere spørgsmål, er du naturligvis velkommen til at kontakte IDA.

Formålet med denne vejledning er at sikre, at du fortsat kan beskytte medlemmernes personoplysninger, og at håndteringen af disse oplysninger altid følger lovgivningen på området (databeskyttelsesloven).

Hvad er personoplysninger?
En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør denne identificérbar. Hvis oplysningerne derimod er gjort anonyme og medlemmet herved ikke længere kan identificeres, vil der ikke være tale om en personoplysning.

 

Hvilke personoplysninger er der tale om?

Hvilke personoplysninger er der tale om?
Følsomme oplysninger er: Fagforeningsmæssige tilhørsforhold, oplysninger om helbredsmæssige forhold, seksuelle orientering, racemæssig eller etnisk baggrund, eller politisk, religiøs eller filosofisk overbevisning. Det er kun disse oplysninger, der er nævnt ovenfor som er følsomme oplysninger.
Almindelige oplysninger er: De oplysninger, der ikke falder ind under kategorien ”følsomme oplysninger”. Det kan fx være, navn, privat adresse og privat telefonnummer, CV, uddannelse og billeder af medarbejdere.

Fortrolige oplysninger: CPR-nummer er en kategori for sig, og betragtes derfor ikke som en følsom oplysning, men skal beskyttes lige så godt som følsomme oplysninger. Et CPR-nummer kan derimod bragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et it-system, hvorfor det falder inden for lovens område.

 

Grundlæggende principper for behandling af personoplysninger


Helt grundlæggende skal der ske en behandling af personoplysninger, før vi er inde i lovgivningen på området. Dette kan fx være indsamling, registrering, systematisering, opbevaring og videregivelse af personoplysninger. For behandling af personoplysninger gælder der en række generelle principper, som altid skal være opfyldt uanset, hvilke personoplysninger, der er tale om.

  • Overordnet skal oplysningerne behandles lovligt og på en gennemsigtig måde. Behandlingen skal have et lovligt formål og må kun behandles i forhold til formålet. Opstår der et nyt behandlingsformål, må det ikke være uforeneligt med det oprindelige formål.
  • Oplysningerne der behandles skal begrænses til, hvad der er nødvendigt i forhold til formålet, ”dataminimering”
  • Oplysningerne må ikke opbevares i længere tid end nødvendigt og behandlingen skal foretages på en sikker og fortrolig måde.
 

IDA er ikke automatisk dataansvarlig

Hvis der ikke foreligger en kollektiv overenskomst eller en lokalaftale, hvor den tillidsvalgtes arbejdsopgaver samt rolle står beskrevet, er man formelt set ikke tillidsvalgt. Det betyder, at IDA ikke er dataansvarlig, fordi IDA ikke har instruktionsbeføjelserne over dig. Du vil derfor være selvstændig dataansvarlig i henhold til datatilsynets vejledning.

Hvad har det af betydning for dig?
Du er ikke berettiget til at modtage personoplysninger fra en arbejdsgiver, medmindre der er indgået en aftale herom mellem klubben/gruppen og virksomheden. Derudover skal den enkelte ansatte give sit samtykke til, at behandlingen må foretages. IDA vil også være begrænset mht. at udlevere personoplysninger til dig, som er selvstændig dataansvarlig. Det kan fx være medlemslister.

I IDA har vi fokus på dette område, og vi har udarbejdet to samtykkeerklæringer, som I kan fremsende til de ansatte, som I repræsenterer. Derudover har vi også udarbejdet en fuldmagt, som I kan sende til virksomhedens HR-afdeling.

IDA er i gang med at undersøge, om der er mulighed for at indgå lokalaftaler eller ordninger med de virksomheder, hvor en tillidsvalgts arbejdsopgaver samt rolle ikke er formaliseret i forvejen.

Foreligger der derimod en kollektiv overenskomst eller en lokalaftale, hvor den tillidsvalgtes arbejdsopgaver samt rolle står beskrevet, og IDA har instruktionsbeføjelserne over dig, vil IDA som udgangspunkt være dataansvarlig. Det betyder, at både IDA og virksomheden kan fremsende dig de personoplysninger, der er nødvendige for, at du kan udføre dit tillidserhverv.

Opbevaring af data og kommunikation med IDA
Du skal være opmærksom på, at du skal opbevare data tilstrækkeligt sikkert, så det kun er dig, der har adgang til dem. Du må kun opbevare data så længe, det er nødvendigt for behandlingen og skal slettes, når formålet er opfyldt. Frem for at sende dokumenter og andre personfølsomme oplysninger direkte til din kontaktperson og konsulent anbefaler vi, at du uploader dem på din sag på mit.ida.dk. Hvis du ikke kan åbne vores krypterede mails, så bed din kontaktperson om at uploade dokumenter og lignende på sagen. Vi kan desværre ikke garantere krypteret transport, hvis du vælger at sende dokumenter direkte til os.

 

FAQ

Nedenfor kan du se ofte stillede spørgsmål. Hvis du ikke kan finde, det svar du leder efter, kan du skrive til os. Så vil vi besvare din henvendelse hurtigst muligt.

Skriv til os (via Mit IDA)

Jeg skal indkalde til generalforsamling, klubmøde mv. Må jeg sende det per mail?
Du må gerne indkalde, de medlemmer du repræsenterer, til generelforsamlinger, klubmøder mv. Når man masseudsender en e-mail til foreningens medlemmer, skal man være opmærksom på, hvor man angiver modtagernes e-mailadresser.

Modtagerne af en sådan masseudsendelse bør ikke fremgå af selve e-mailen.

Man skal derfor placere modtagernes e-mailadresse i e-mailens bcc-felt. Når man placerer modtagernes e-mailadresse i bcc-feltet, kan modtagerne ikke se hinandens e-mailadresser.

Hvordan skal jeg håndtere referater fra klubmøder?
Hvis man har afholdt klubmøde, og referatet skal sendes ud, til andre end dem der deltog på mødet, kræver det samtykke, fra dem som er nævnt i referatet. Alternativt kan navne slettes i referatet. Dette skyldes, at referatet vil afsløre fagforeningsmæssige tilhørsforhold, hvilket er en følsom oplysning, som kræver samtykke.

Hvad gør jeg, når jeg skal sende en e-mail, som indeholder personoplysninger eller CPR-nummer?
Når du skal sende e-mails som indeholder fortrolige eller følsomme personoplysninger (fx lønsedler, kontraktudkast eller CV med angivelse af CPR-nummer), skal oplysningerne krypteres.

Datatilsynet har lavet en beskrivelse af principperne for kryptering af e-mail på datatillsynet.dk under Emner, Persondatasikkerhed og Transmission af personoplysninger via e-mail.

Må jeg videregive begrundelser for lønforhandlinger?
Du må ikke videregive begrundelser for lønforbedringer, tillæg/afslag på tillæg mv., der indeholder negativt ladede udtalelser om et medlem til andre, uden samtykke fra medlemmet, idet hensynet til det enkelte medlem overstiger interessen ved at videregive sådanne oplysninger. Medlemmerne vil normalt have en berettiget interesse i at holde eventuelle negative tilkendegivelser for sig selv.

Må arbejdsgiver informere ansatte om, at en medarbejder er fratrådt sin stilling?
Det kan være nødvendigt, at en arbejdsgiver informerer øvrige ansatte om, at en medarbejder er fratrådt sin stilling. Dette kan være begrundet i driftsmæssige årsager eller for at forhindre ”uro” på arbejdspladsen.

En arbejdsgiver må dog ikke videregive detaljerede oplysninger om årsagen til afskedigelsen af en medarbejder.

Må jeg som tillidsrepræsentant modtage kontaktoplysninger (fx navn, adresse og telefonnummer) på en nyansat fra arbejdsgiver?
Arbejdsgiver er forpligtet til at udlevere oplysninger til en tillidsrepræsentant, for at en tillidsrepræsentant kan udføre sit tillidshverv.

Det er nødvendigt for en tillidsrepræsentant at få alle nødvendige oplysninger om en nyansat.

Det er derfor ikke nødvendigt for en arbejdsgiver at indhente samtykke hos den ansatte for at kunne videregive oplysningerne til tillidsrepræsentanten.

Må jeg som tillidsrepræsentant få en liste på de ansatte, som i henhold til overenskomsten falder under IDA’s forhandlingsområde?
Arbejdsgiver må gerne videregive oplysninger om de ansatte til IDA eller tillidsrepræsentanten, hvis videregivelsen sker for at overholde en retlig forpligtelse eller for at overholde overenskomsten jf. Databeskyttelseslovens § 12, stk. 2.

I henhold til overenskomsten har tillidsrepræsentanten forhandlingsretten, for de personer som falder under IDA’s forhandlingsområde jf. uddannelsesbilaget i overenskomsten.

En sådan liste (der omfatter både medlemmer og ikke-medlemmer) indeholder ikke følsomme oplysninger, så udover databeskyttelseslovens § 12, er der hjemmel i artikel 6, stk. 1, litra e.

Hvordan skal jeg som tillidsrepræsentant forhold mig til dataminimering?
Dataminimering betyder, at du som tillidsrepræsentant ikke bør indhente eller få tilsendt oplysninger, som ikke er nødvendige for din funktion som tillidsrepræsentant i en given sag. Derudover skal du heller ikke fremsende oplysninger som ikke er relevante for en given sag.

Må jeg lydoptage min chef?
Udgangspunktet er, at man ikke må lydoptage sin chef. En ny dom viser, at det var illoyalt da en ansat lydoptog en samtale med sin chef, og at en bortvisning var berettiget med tilbagevirkende kraft.

Indtil der foreligger en ny afgørelse vil IDAs råd til vores medlemmer være, at man skal lade være med at optage samtaler på arbejdspladsen.

Må jeg gerne sende en liste ud med resultaterne for de årlige lønforhandlinger?
Når du sender en liste ud med resultaterne for de årlige lønforhandlinger (åben lønpolitik), vil der, ud over lønoplysninger, fremgå navne på medlemmerne.

Før du kan sende en sådan liste ud, skal der indhentes et samtykke for hvert medlem. Samtykket kræves fordi ens fagforeningsmæssige tilhørsforhold vil fremgå af en sådan udsendelse, hvilket er en følsom oplysning.

Hvis de ansattes fagforeningsmæssige tilhørsforhold derimod ikke fremgår af listen med de årlige lønforhandlinger, der vil det ikke kræve et samtykke for at sende en sådan liste ud.

Husk på, at medlemskab af en faglig organisation er en følsom oplysning, og man må som tillidsrepræsentant derfor ikke hverken direkte eller indirekte afsløre, om en person er medlem eller ikke-medlem.

Må jeg fremsende arbejdsgiver oplysninger om ansatte, hvis det er nødvendigt for ansættelsesforholdet?
Hvis det er nødvendigt for den ansattes ansættelsesforhold, må tillidsrepræsentanten godt fremsende fx fulde navn, adresse eller erhvervserfaring for at kunne indplacere den ansatte på det rigtige lønniveau, således at arbejdsgiver kan udforme en ansættelseskontrakt til vedkommende.

Må jeg sende kalenderinvitationer (Outlook-invitation) ud til medlemmer fx for at sikre, at de husker generalforsamlingen eller et gå-hjem-møde?
Man må gerne sende kalenderinvitationer ud til foreningens medlemmer. Medlemmerne må dog ikke fremgå af invitationen. Dette vil være i strid med databeskyttelsesloven, grundet det faktum at ens fagforeningsmæssige tilhørsforhold vil komme til udtryk. I en kalenderinvitation kan man ikke sætte medlemmerne i bcc-feltet.

Det kan løses på følgende måde:

  • Start med at gå ind i kalenderfunktionen, således du kan invitere til et møde. Opret en ny mødeindkaldelse, og vælg derefter ’Planlægningsassistent’ og ’Til…’. Herefter finder du personerne, du vil sende til. Men i stedet for at tilføje som ’Nødvendig’, skal du tilføje personerne som ’Ressourcer’.
  • E-mail adresser kan også skrives/kopieres i feltet ’ressourcer’, hvis det er personer, der ikke findes i dit adressekartotek. Det eneste, der betyder noget for denne løsning, er tilføjelsen i ’Ressourcer’, og ikke ’Nødvendig’.
  • Herefter klikker du ’OK’ og går tilbage til forrige side; ’Aftale’ og udfylder mødeindkaldelsen, som du normalt ville. Det er dog vigtigt at slette adresserne/personerne fra feltet ’Sted’, da det vil afsløre, hvem der har modtaget mødeindkaldelsen.

Hvad har jeg som tillidsrepræsentant ret til fra IDA?
Som tillidsvalgt skal du kunne varetage dit arbejde. Du har derfor som tillidsvalgt ret til at få fremsendt oplysninger om de medlemmer, du repræsenterer. Disse oplysninger må udelukkende bruges til at varetage de opgaver, der ligger i tillidshvervet.

Du har kun mulighed for at få fremsendt oplysninger, om de medlemmer du repræsenterer, hvis der foreligger en overenskomst eller en lokalaftale, hvor den tillidsvalgtes rolle/arbejdsopgaver står beskrevet.

Udlevering af oplysninger fra arbejdsgiver
En tillidsrepræsentant har en særlig stilling i en virksomhed. Vurderingen af, hvad en tillidsrepræsentant må modtage, skal enten følge en kollektiv aftale, ellers skal behandlingen følge behandlingsreglerne i databeskyttelsesloven.

Der kan være nogle oplysninger, som en tillidsrepræsentant ikke behøver at modtage; eksempelvis opsigelsesbegrundelsen.

En arbejdsgiver må godt fremsende personoplysninger til tillidsrepræsentanten, hvis der er grundlag i en kollektiv aftale. I TR-reglerne fremgår det, at en tillidsrepræsentant skal kunne varetage sit hverv. Reglerne i kollektive overenskomster har forrang i forhold til reglerne i databeskyttelsesloven.

Databeskyttelseslovens behandlingsregler skal derfor ikke iagttages, når der udveksles informationer om de ansatte, som tillidsrepræsentanten repræsenterer, hvis oplysningerne er nødvendige for, at tillidsrepræsentanten kan udføre sit hverv.

Det er IDAs holdning, at vores tillidsrepræsentanter skal orienteres om alle væsentlige forhold, på en sådan måde at tillidsrepræsentanten har mulighed for at varetage sit hverv og repræsentere og bistå vores medlemmer.

Hvad bør jeg som tillidsrepræsentant skrive i emnefeltet, når jeg sender en e-mail i relation til mit tillidshverv?
Du bør som tillidsrepræsentant skrive ”TR-hverv- fortroligt” i emnefeltet, når du sender en mail som relaterer sig til dit tillidshverv.

Hvordan skal jeg opbevare data i forhold til mit tillidshverv?

Du skal som tillidsrepræsentant behandle personoplysninger, om dem du repræsenterer, fortroligt. Oplysningerne må derfor ikke være tilgængelige for tredjepart. IDAs råd er derfor, at det er en god ide, at du har et aflåst skab eller en aflåst mappe, hvor kun du som tillidsrepræsentant har adgang til.

I IDA har vi p.t flere løsninger til opbevaring af data:

  • OneDrive (Office365) – som er et personligt drev i skyen. Her kan du selv styre, hvem der får adgang til dokumenterne. Det er nemt at dele og gemme i OneDrive samt at vedhæfte i mails i Outlook. (NB! du må gerne opbevare data på OneDrive både alm. og følsomme oplysninger, men tredjepart må ikke kunne komme i besiddelse af oplysningerne). Ulemper: OneDrive er et ’personligt’ drev, så hvis der gemmes vigtig data, og en tillidsrepræsentant stopper på arbejdspladsen, så slettes data. De kan dog overføres inden.
  • Teams - er et samarbejdsværktøj, der også tillader lagring af filer, planlægning m.m., og det er kun medlemmer af Team'et, der har adgang til filerne. Modsat OneDrive er Teams ikke personafhængigt, så hvis en tillidsrepræsentant stopper, kan afløseren tilføjes til Team'et og få adgang til de samme filer.
  • Netværksdrev – med rettighedsstyring. Rettighederne styrer, hvem der har adgang til drevet. Dvs. det er kun de personer, der er tiltænkt adgang til data, som får det.
  • Aflåst skab - en sidste løsning kan være, at du opbevarer dokumenter vedrørende ens tillidshverv i et aflåst skab på din arbejdsplads.

Vi anbefaler ikke brug af Dropbox, Google Drive og lignende, da de ikke er GDPR-compliant, og derfor ved du ikke hvem der ’ejer’/får adgang til de data, der lagres der.

Hvad gør jeg som tillidsrepræsentant, når en ansat jeg repræsenterer ønsker indsigt?
Vedkommende du repræsenterer, har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har om vedkommende. Det betyder, at du skal udlevere de pågældende oplysninger til vedkommende, du repræsenterer, hvis der bliver spurgt ind til materialet.

Hvad skal et samtykke indeholde?

Der er ikke noget krav om, at et samtykke skal være skriftligt. Men det er altid en god idé, at der foreligger et skriftligt samtykke af hensyn til bevisbyrden.

Et samtykke skal være specifikt, informeret og frivilligt. Herunder bør der i samtykkeerklæringen fremgå, hvilke oplysninger der behandles af hvem og til hvilket formål. Derudover skal det fremgå, at samtykket kan trækkes tilbage.

Må arbejdsgiver gerne læse medlemmernes e-mails?
Hvis følgende betingelser er opfyldt, må arbejdsgiver gerne gennemgå medarbejdernes e-mails ved mistanke om misbrug:

  • Læsning af den ansattes e-mails må kun ske, hvis det er nødvendigt. Heri ligger, at arbejdsgiver skal have et rimeligt formål og dette formål skal overstige den ansattes interesser.
  • Medarbejderen skal på forhånd være informeret.
  • Arbejdsgiver må som udgangspunkt ikke læse medarbejdernes private e-mails. Hertil er det en god ide, at man i sin Outlook laver en mappe med overskriften ’Privat’ til medarbejdernes private e-mails. Læsning af den ansattes e-mails må kun ske, hvis det er nødvendigt. Heri ligger, at arbejdsgiver skal have et rimeligt formål og dette formål skal overstige den ansattes interesser.

Må arbejdsgiver indhente straffeattest?

Man kan give tilladelse til, at andre kan indhente ens private straffeattest. Den bliver kun udstedt til andre, hvis man har givet samtykke til det. Man kan få brug for en privat straffeattest i forskellige situationer - fx i forbindelse med jobsøgning.

En arbejdsgiver må kun anmode om eller indhente oplysninger om en ansøgers eventuelle strafbare forhold, hvis det er relevant i forhold til den stilling, som den pågældende skal varetage. Dette betyder, at der skal være et rimeligt formål og behandlingen skal ske på den mindst indgribende måde.

En straffeattest indhentes som udgangspunkt af jobansøgeren selv, og hvis man videregiver den betragtes det som et gyldigt samtykke.

Hvordan sender jeg en e-mail til de medlemmer, som jeg repræsenterer, når jeg er selvstændig dataansvarlig?

IDA kan ikke fremsende dig en medlemsliste, og derfor vil en konsulent fra IDA på vegne af dig sende en e-mail til de medlemmer, som du repræsenterer.

Et alternativ hertil kan være, at du har en medlemsliste med e-mail adresser, som kun er tilgængelig for dig. De medlemmer, som ønsker at fremgå af medlemslisten, skal selv tilføje sig til denne liste (husk, at når du sender en e-mail skal du sætte e-mail adresserne i bcc-feltet).

Hvordan forhandler jeg løn til de medlemmer, som jeg repræsenterer når jeg er selvstændig dataansvarlig?

Når der ikke foreligger en kollektiv overenskomst eller en lokalaftale herom, kan du kun forhandle løn for medlemmerne, hvis du har et samtykke. Det kræver derfor, at du indsamler samtykker fra de medlemmer, som ønsker, at du forhandler løn for dem. Derudover skal du have en fuldmagt fra medlemmerne, som du kan give til virksomhedens HR-afdeling (husk at et samtykke altid kan trækkes tilbage).

IDA har vi udarbejdet en samtykkerklæring og en fuldmagt, som I kan sende til virksomhedens HR-afdeling.