Vad innebär GDPR för dig som förtroendevald i kommunal sektor

Den 25 maj 2018 trädde Dataskyddsförordningen (GDPR) i kraft. GDPR ersätter personuppgiftslagen (PUL) och innehåller bestämmelser om personuppgiftsbehandling. Dataskyddsförordningen är en EU-förordning som är direkt tillämplig i nationell lagstiftning.

Jusek som förbund och du som lokalt förtroendevald för Jusek måste följa GDPR som är tillämpligt på behandling av våra medlemmars personuppgifter. En personuppgift kan vara namn, personnummer, E-postadresser, telefonnummer eller liknande uppgifter. Alla aktiviteter man kan vidta med en personuppgift, till exempel att spara, bearbeta, överföra, skicka vidare etcetera, räknas som behandling av personuppgift och omfattas således av GDPR.

Att en personuppgiftsbehandling omfattas av GDPR betyder inte att behandlingen är otillåten utan att det finns regler för hur och i vilka sammanhang sådan behandling får ske.GDPR ersätter PUL men regelverket är i stort sett likalydande. Några skillnader har införts. Tidigare omfattades till exempel inte ostrukturerat material, till exempel Word-dokument, e-post med mera, av PUL men detta kommer numera att omfattas av GDPR. Det innebär att även personuppgifter i löpande text, i e-post, på webbplatser, eller i ärendehanteringssystem omfattas av bestämmelserna.

En annan nyhet som det talas relativt mycket om är höga sanktionsavgifter. Avsikten med dessa är att bestämmelserna om personuppgiftsbehandling ska få ett större genomslag än de tidigare reglerna.

Det tillkommer även en utökad informationsskyldighet för personuppgiftsansvariga. Det innebär att de registrerade (fysiska personer vilkas personuppgifter behandlas) ska få information om vilken behandling som görs och även vissa rättigheter att bli glömd eller raderad från organisationer.

Generellt om ansvar och behandling av personuppgifter som rör Juseks medlemmar i kommunal sektor

Jusek är personuppgiftsansvarig för alla personuppgifter som rör förbundets medlemmar. Som förtroendevald för Jusek är du en del av Juseks organisation och du måste då agera i enlighet med de stadgar, instruktioner och förordnanden som du fått från förbundet.

Enligt GDPR är personuppgifter som avslöjar fackligt medlemskap känsliga vilket6 innebär att det är förbjudet att behandla dem om det inte går att stödja sig på något av de uppräknade undantagen i GDPR. Undantag får göras av en fackförening inom dess fackliga verksamhet och om det finns en skyldighet inom arbetsrätten att utföra en aktivitet som kräver behandling. Det är med stöd av dessa två undantag har rätt att behandla uppgifter om våra medlemmar. Uppgifter om medlemskap får inte spridas till obehöriga. All behandling måste ske på datorer som är säkra och informationen skyddad mot obehöriga intrång genom personliga inloggningsuppgifter. Om personuppgifter lagras i register eller i pärmar ska dessa hållas inlåsta och säkert förvarade.

De tre viktigaste sakerna du behöver tänka vid behandling av personuppgifter är:

  1. Samla inte in mer personuppgifter än vad som behövs
  2. Spara inte mer personuppgifter än vad som behövs
  3. Använd inte personuppgifter till något annat än vad som var syftet när de samlades in.

I övrigt bör du tänka på att:

  • Inte använda personnummer slentrianmässigt utan bara när det verkligen behövs.
  • Inte lämna ut personuppgifter till någon förutom till medlemmen själv eller till arbetsgivaren om denne behöver personuppgifterna för att uppfylla krav i lag eller kollektivavtal.
  • Vid fråga om någon är medlem får man vare sig bekräfta eller förneka det såvida det inte är arbetsgivaren som frågar för att kunna uppfylla krav i lag eller kollektivavtal.
  • Jusek förser dig som förtroendevald med aktuella medlemslistor vid behov. När en ny lista har kommit ska den gamla raderas. Bara förtroendevalda som har ett verkligt behov ska ha tillgång till dessa medlemslistor.
  • Alla e-postutskick ska ske så att andra mottagares e-postadresser är dolda för mottagarna.
  • Om ni skickar listor på medlemmar i er förening eller uppgifter om facklig tillhörighet eller personnummer med e-post ska dessa alltid skickas krypterade och låsta så att det behövs lösenord för att öppna och läsa dem.
    Mejllistor till samtliga medlemmar får bara sparas i e-postsystem om inga obehöriga har tillgång till dem. De måste uppdateras kontinuerligt.
    Mejl-sändlistor till fackliga förtroendemän får sparas och är inte hemliga.
    Inte skapa ärendehanteringssystem.
  • Digitala personuppgifter ska förvaras med lämpliga skyddsåtgärder. Personuppgifter på papper eller USB-minne förvaras i låst skåp eller tjänsterum. Inga obehöriga får ha tillgång till personuppgifter.
  • Radera mejl och dokument med personuppgifter löpande. Personuppgifter får sparas så länge som ett ärende pågår. Man får inte spara något för säkerhets skull. Förhandlingsprotokoll i individärenden lämnas över till Jusek.
    Vid misstanke om personuppgiftsincident informera Jusek omedelbart. Frågor gällande GDPR riktas till Jusek.


Lagning av personuppgifter

Tänk på att dina mobiltelefoner och surfplattor innehåller personuppgifter, i form exempelvis av e-post och kontaktlistor, och kanske även känsliga personuppgifter. Även dessa måste vara spärrade och kan inte hållas tillgängliga för vem som helst
Det kan finnas problem med att lagra personuppgifter och särskilt känsliga personuppgifter på arbetsgivarens dator. Så länge arbetsgivaren inte motsätter sig sådan lagring är den tillåten så länge kraven på säkerhet, behörighetsbegränsning och hemlighållande kan upprätthållas. Om en arbetsgivare kräver att ni ska ingå ett avtal om att vara personuppgiftsbiträde för att godkänna er lagring på sina servrar måste ni kontakta Jusek.  Det är förbundet som är personuppgiftsansvarig.

Lagring på egna datorer, andra än arbetsgivarens, ska undvikas då detta innebär att personuppgifter riskerar att spridas och säkerheten inte kan garanteras. Lagring av personuppgifter får inte ske på servrar utanför EU/EES-området.

Din arbetsgivares hantering och utlämnande av medlemmars personuppgifter

Kommunala arbetsgivare behandlar personuppgifter i samband med bland annat löneöversyner, förhandlingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till lokal Jusekförening eller till dig som lokalombud. I vissa fall har arbetsgivaren hävdat att de inte kan lämna ut personuppgifter på grund av GDPR. Jusek är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR. Känsliga personuppgifter får lämnas ut när det finns en skyldighet enligt arbetsrätten att göra det. En sådan skyldighet kan följa av en lag, exempelvis MBL, LAS, förtroendemannalagen eller av ett kollektivavtal. En arbetsgivare kan alltså inte vägra att lämna ut personuppgifter med hänvisning till GDPR.

Särskilt för dig som är representant för Jusek i ett Sacoråd

Sacoråden har bildats av AkademikerAlliansen och Akademikerförbundet SSR för att gemensamt samverka med arbetsgivaren. Representant för Juseks medlemmar i Sacoråden utses av Jusek eller lokal Jusekförening. Det är därför Jusek som är personuppgiftsansvarig för behandling av Juseks medlemmars uppgifter och du får som förtroendevald för Jusek hämta uppgifter om medlemskap i Jusek från Juseks kansli,  från arbetsgivaren, eller från medlemmarna själva.

Det betyder att när du som är ledamot i ett Sacoråd för Jusek numera inte får begära medlemsuppgifter från andra förbund eller i övrigt hantera sådana i Sacorådets namn.  Gamla medlemslistor som finns kvar hos Sacoråden ska raderas.
Får ni frågor från medlemmar om hanteringen av deras personuppgifter ska de således hänvisas till Jusek.

Särskilt för dig som är ledamot i en AkademikerAlliansförening eller en Sacoförening

Jusek tillhör förhandlingskartellen AkademikerAlliansen som är en organisation i vilken 17 förbund samverkar både på central nivå men det finns möjlighet för förbunden att samverka även på lokal nivå inom ramen för lokala AkademikerAlliansföreningar.

Sacoföreningar är föreningar där medlemmar i Sacoförbund väljer styrelse för samverkan med arbetsgivare, ofta på lokal-lokal nivå inom stora kommuner och landsting.

Är du ledamot i någon av dessa föreningar och har frågor om GDPR kommer information att lämnas inom kort. Har du brådskande frågor kan du kontakta Juseks kansli.

Kontakt

Om du har frågor om förbundets personuppgiftsbehandling kan avtalsansvariga ge dig information av mer specifik karaktär och hänvisa dig till förbundets jurister för rättsliga frågor.
Det går också att kontakta Jusek på dataskyddsombud@saco.se eller på
Jusek
Box 5167
102 44 Stockholm