GDPR vejledning for tillidsrepræsentanter

Kost og Ernæringsforbundet har udarbejdet denne vejledning til dig, der er tillidsvalgt for Kost og Ernæringsforbundet, så du ved, hvordan du skal håndtere dine kollegers personoplysninger.

Vejledningen er tænkt som en hjælp til dig i dit TR-arbejde med persondata og udtrykker Kost og Ernæringsforbundet forståelse af reglerne. Vejledningen gælder for alle tillidsrepræsentanter, der er valgt i Kost og Ernæringsforbundet.

Formålet med vejledningen er at sikre, at Kost og Ernæringsforbundet fortsat kan beskytte medlemmernes personoplysninger og at håndteringen af oplysningerne følger lovgivningen på området.

 

Bemærk at denne version af vejledningen er under revision, indtil at Fagbevægelsens Hovedorganisation og CO10 kommer med endelige direktiver på området.

Kost og Ernæringsforbundet er dataansvarlig for dig som tillidsrepræsentant

Tillidsrepræsentanten betragtes som en lokal repræsentant for Kost og Ernæringsforbundet på arbejdspladsen. Kost og Ernæringsforbundet har, i forbindelse med at du er blevet valgt som tillidsrepræsentant, delegeret en række beføjelser til dig, herunder bl.a. retten til at forhandle løn på vegne af Kost og Ernæringsforbundet.

I dit arbejde som tillidsrepræsentant er du Kost og Ernæringsforbundets repræsentant på den lokale arbejdsplads. Det betyder, at Kost og Ernæringsforbundet er dataansvarlig for din overholdelse af datareglerne (GPDR-forordningen og databeskyttelsesloven).

Det betyder også, at Kost og Ernæringsforbundet kan give dig bindende instrukser i forhold til din håndtering af persondata og at du er forpligtet til at leve op til reglerne i vejledningen. Det er kun i din funktion som tillidsrepræsentant, at du er omfattet af Kost og Ernæringsforbundets dataansvar og instruktionsbeføjelser.

Det betyder, at du, for at beskytte dig selv, skal holde dig inden for de opgaver, der er omfattet af dit hverv som tillidsrepræsentant. Og at det kun er inden for udøvelsen af TR-opgaven, at du er beskytte af, at det er Kost og Ernæringsforbundet, der er dataansvarlig.

Du kan læse mere om TR-hvervet i TR-Håndbogen under “Tillidsrepræsentant”.

TR's brug af arbejdsgivers IT-udstyr

Arbejdsgiveren har pligt til at stille en computer til rådighed for dit TR-arbejde. Normalt vil det være din arbejds-PC, eventuelt suppleret af en hjemmearbejdsplads, som arbejdsgiveren stiller til rådighed. Dette sikrer, at der er en professionel arbejdsplads, som tager hånd om og har ansvar for sikkerheden på IT-udstyret. Derfor må du alene benytte disse redskaber til dit TR-arbejde og du må ikke bruge en privat computer eller gemme oplysninger på eksterne mobildrev som f.eks. USB-stik o.lign.

Hvad er personoplysninger

En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør, at man via oplysningerne ved, hvilken person der er tale om. Hvis oplysningerne derimod er anonyme, og medlemmet herved ikke længere kan identificeres, vil der ikke være tale om personoplysning.

Personfølsomme oplysninger:

  • Fagforeningsmæssige forhold
  • Oplysninger om helbredsmæssige forhold
  • Seksuel orientering
  • Racemæssig eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning

 Almindelige oplysninger:

  • Navn
  • Privat adresse
  • Privat telefonnummer
  • CV
  • Uddannelse
  • Billeder af medarbejdere

Fortrolige oplysninger:
CPR-nummer er en kategori for sig og betragtes derfor ikke som en følsom oplysning, men CPR-nummeret skal beskyttes lige så godt som personfølsomme oplysninger. Et CPR-nummer kan betragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et IT-system, hvorfor det falder inden for lovens område.

Grundlæggende principper for behandling af personoplysninger:

Der er særligt fem hovedelementer i dataregelkomplekset, som du er forpligtet til at leve op til:

  • Databrud
  • Behandlingsregler og lagring af data
  • Oplysningsforpligtelsen Indsigtsret
  • Berigtigelse og sletning af data

Hvornår er du databehandler

Behandlingsregler og lagring af data
Helt grundlæggende skal der ske en behandling af personoplysninger, før vi er inde i lovgivningen på området. Det kan f.eks. være indsamling, registrering, systematisering, opbevaring og/eller videregivelse af personoplysninger.

For behandling af personoplysninger gælder en række generelle principper, som altid skal overholdes uanset, hvilke personoplysninger der er tale om. Helt overordnet skal oplysningerne behandles lovligt og på en gennemskuelig måde. Behandlingen skal have et lovligt formål og må kun behandles i forhold til formålet.

Oplysninger, der behandles, skal begrænses til, hvad der er nødvendigt i forhold til formålet; ”dataminimering”. Oplysningerne må ikke opbevares i længere tid end nødvendigt og behandlingen skal foretages på en sikker og fortrolig måde.

Løbende og minimum en gang om året bør du gå dit tillidsrepræsentantmateriale igennem og sikre, at det materiale, du fortsat gemmer, er relevant for din funktion som tillidsrepræsentant.

Hvad er sikker og fortrolig behandling

Medlemmernes personoplysninger skal altid behandles fortroligt. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et skrivebord, i en mappe på netværket eller i en fysisk mappe, som andre end du som tillidsrepræsentant har adgang til. Du bør derfor få et skab, der kan låses og en del af netværket f.eks. et lokalt drev, som kun du og teknisk support fra IT-afdelingen har adgang til. Arbejdsgiver er, jf. cirkulæret om tillidsrepræsentanter i staten, forpligtet til at stille et skab samt serverplads til rådighed for tillidsrepræsentanten.

Når du er på arbejdspladsen, skal du huske at:

  • Rydde op på dit skrivebord – det vil sige ingen persondata på dit skrivebord
  • ”Låse” din PC, når du forlader den
  • Aldrig dele dit password med andre
  • Makulere papir, der ikke længere er relevant at opbevare
  • Send BCC, når du sender mail til flere modtagere
  • Efterlade personoplysninger sikkert, så de ikke kan læses af uvedkommende

Oplysningspligt
Kost og Ernæringsforbundet har som dataansvarlig ansvaret for at oplyse medlemmerne om, at der behandles personoplysninger om de, samt hvad formålet med behandlingen er og efter hvilke regler behandlingen foretages.

Indsigtsret
Medlemmer og ikke-medlemmer har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har behandlet om vedkommende. Det betyder, at du skal kunne udlevere de pågældende oplysninger til den person, du behandler oplysninger om, hvis vedkommende ønsker det. Du skal besvare henvendelsen inden for en måned og, hvis sagen er kompliceret, inden for to måneder.

Medlemmernes personoplysninger skal altid behandles fortroligt. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et skrivebord, i en mappe på netværket eller i en fysisk mappe, som andre end du som tillidsrepræsentant har adgang til. Du bør derfor få et skab, der kan låses og en del af netværket f.eks. et lokalt drev, som kun du og teknisk support fra IT-afdelingen har adgang til. Arbejdsgiver er, jf. cirkulæret om tillidsrepræsentanter i staten, forpligtet til at stille et skab samt serverplads til rådighed for tillidsrepræsentanten.

Rettelser i data og sletning af data

Berigtigelser
Den, du behandler persondata for som tillidsrepræsentant, har ret til at få berigtiget forkerte oplysninger. Hvis du er enig med personen i, at de persondata, du har registreret, er forkerte, skal du med det samme rette oplysningerne. Er du uenig i, at oplysningerne er forkerte, skal du sikre, at du ligeledes får registreret personens opfattelse af de persondata, som uenigheden vedrører.

Retten til at blive glemt
Du skal slette persondata, når det ikke længere er nødvendigt at opbevare data i forhold til de formål, hvortil de behandles. Det betyder f.eks., at når lønnen til et medlem er forhandlet på plads, har medlemmet ret til at få slettet persondata, som du har fået som en del af lønforhandlingen, med mindre du fortsat har brug for dem for at kunne varetage dine forpligtelser efter overenskomsten. Hvis du vil gemme oplysningerne herefter, er det et krav, at du anonymiserer oplysningerne, så oplysningerne ikke længere kan henføres til en person f.eks. slette navn, e-mail og køn.

Du kan kontakte arbejdspladsens IT-afdeling for at sikre, at data også bliver slettet på back-up. Hvis du er i tvivl om, hvorvidt du er forpligtet til at slette oplysningerne, skal du kontakte Kost og Ernæringsforbundet.

Hvis du stopper som tillidsrepræsentant
Når dit hverv som tillidsrepræsentant ophører, er du forpligtet til at gå de persondata, du har modtaget, igennem og videreoverdrage de persondata, som du vurderer forsat vil være nødvendige til varetagelsen af tillidsrepræsentanthvervet til den nye tillidsrepræsentant. Evt. persondata, som ikke længere er relevante for tillidshvervet f.eks. mails og fysiske dokumenter, skal slettes/makuleres.

Hvis der ikke bliver valgt en ny tillidsrepræsentant i stedet for dig, skal du slette alle de persondata, du har modtaget i dit hverv som tillidsrepræsentant eller fremsende det til Kost og Ernæringsforbundet.

Databrud

Det følger af datareglerne, at hvis der sker et databrud, skal den dataansvarlige vurdere, om der er pligt til at anmelde hændelsen til Datatilsynet. Anmeldelse skal ske inden for 72 timer efter hændelsen er konstateret.

Eksempler:

  • Forkert behandling af persondata, f.eks. videresendelse af oplysninger til en forkert modtager
  • Mistet hardware, f.eks. USB-nøgle, telefon, bærbar pc eller tablet der indeholder persondata
  • Hacking, f.eks. angreb udefra med risiko for tyveri af persondata

Hvis du bliver opmærksom på, at de oplysninger, du behandler som tillidsrepræsentant, kan være udsat for et af ovenstående eksempler, skal du straks tage kontakt til Kost og Ernæringsforbundet. Det er derefter Kost og Ernæringsforbundets opgave at vurdere, om der skal foretages anmeldelse til Datatilsynet. Du skal som tillidsrepræsentant bidrage med oplysninger om hændelsesforløbet, så Kost og Ernæringsforbundet får det fulde billede af episoden.