Vad innebär det att en medlem vill bli glömd och hur gör jag då?

Enligt GDPR har medlemmar rätt att bli "glömda". Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Akavias kansli.

Kan jag som förtroendevald dela information till min arbetsgivare?

Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller en arbetsbristförhandling. Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen. Det bör, ur ett GDPR-perspektiv, vara möjligt att vara ”hemlig medlem” i lokalföreningen, men det innebär att medlemmen inte kan bli företrädd i förhandlingar eller lönerevisioner och även att arbetsgivaren inte är skyldig att tillämpa Akavias kollektivavtal på medlemmen.

Kan arbetsgivare ge oss information, till exempel listor på anställda?

GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.

Hur får vi skicka personuppgifter mellan lokalföreningen och förbundet?

Akavia är personuppgiftsansvariga och lokalföreningen utgör ett personuppgiftsbiträde. Det föreligger ett avtalsmässigt förhållande mellan lokalföreningen och förbundet. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas ska det göras med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.

Får man spara gamla medlemslistor och andra Excel- eller Wordfiler i sin dator med personuppgifter? Eller när måste man gallra bort dem?

Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om Excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.

Kan vi spara information på arbetsgivarens server?

Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar som tillhandahålls på arbetsplatsen. Tillsvidare gör Akavia ingen annan bedömning än att det går att fortsätta att använda arbetsgivarens servrar och e-post för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget.

Vad ska jag tänka på när jag skickar e-post?

All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas. Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.

Hur hanterar vi bilder från sammankomster?

Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det. Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.

GDPR för dig som är förtroendevald i kommunal sektor

Innehåll på sidan

Film: GDPR för dig som är förtroendevald

Få en övergripande koll på vad du som förtroendevald inom ett Sacoförbund behöver tänka på när det gäller GDPR. Förbundsjuristerna Per-Olof Persson, Akavia, och Jenny Rosenbaum, Sveriges Ingenjörer, guidar dig inom området.

Behandling av medlemmars personuppgifter

Akavia som förbund och du som lokalt förtroendevald för Akavia måste följa GDPR som är tillämpligt på behandling av våra medlemmars personuppgifter. En personuppgift kan vara namn, personnummer, E-postadresser, telefonnummer eller liknande uppgifter. Alla aktiviteter man kan vidta med en personuppgift, till exempel att spara, bearbeta, överföra, skicka vidare etcetera, räknas som behandling av personuppgift och omfattas således av GDPR.

Att en personuppgiftsbehandling omfattas av GDPR betyder inte att behandlingen är otillåten utan att det finns regler för hur och i vilka sammanhang sådan behandling får ske.

Generellt om ansvar och behandling av personuppgifter

Akavia är personuppgiftsansvarig för alla personuppgifter som rör förbundets medlemmar. Som förtroendevald för Akavia är du en del av Akavias organisation och du måste då agera i enlighet med de stadgar, instruktioner och förordnanden som du fått från förbundet.

Enligt GDPR är personuppgifter som avslöjar fackligt medlemskap känsliga vilket innebär att det är förbjudet att behandla dem om det inte går att stödja sig på något av de uppräknade undantagen i GDPR. Undantag får göras av en fackförening inom dess fackliga verksamhet och om det finns en skyldighet inom arbetsrätten att utföra en aktivitet som kräver behandling. Det är med stöd av dessa två undantag har rätt att behandla uppgifter om våra medlemmar. Uppgifter om medlemskap får inte spridas till obehöriga. All behandling måste ske på datorer som är säkra och informationen skyddad mot obehöriga intrång genom personliga inloggningsuppgifter. Om personuppgifter lagras i register eller i pärmar ska dessa hållas inlåsta och säkert förvarade.

De tre viktigaste sakerna du behöver tänka vid behandling av personuppgifter är:

Samla inte in mer personuppgifter än vad som behövs
Spara inte mer personuppgifter än vad som behövs
Använd inte personuppgifter till något annat än vad som var syftet när de samlades in.

I övrigt bör du tänka på att:

Inte använda personnummer slentrianmässigt utan bara när det verkligen behövs.
Inte lämna ut personuppgifter till någon förutom till medlemmen själv eller till arbetsgivaren om denne behöver personuppgifterna för att uppfylla krav i lag eller kollektivavtal.
Vid fråga om någon är medlem får man vare sig bekräfta eller förneka det såvida det inte är arbetsgivaren som frågar för att kunna uppfylla krav i lag eller kollektivavtal.
Akavia förser dig som förtroendevald med aktuella medlemslistor vid behov. När en ny lista har kommit ska den gamla raderas. Bara förtroendevalda som har ett verkligt behov ska ha tillgång till dessa medlemslistor.
Alla e-postutskick ska ske så att andra mottagares e-postadresser är dolda för mottagarna.
Om ni skickar listor på medlemmar i er förening eller uppgifter om facklig tillhörighet eller personnummer med e-post ska dessa alltid skickas krypterade och låsta så att det behövs lösenord för att öppna och läsa dem.
Mejllistor till samtliga medlemmar får bara sparas i e-postsystem om inga obehöriga har tillgång till dem. De måste uppdateras kontinuerligt.
Mejl-sändlistor till fackliga förtroendemän får sparas och är inte hemliga.
Inte skapa ärendehanteringssystem.
Digitala personuppgifter ska förvaras med lämpliga skyddsåtgärder. Personuppgifter på papper eller USB-minne förvaras i låst skåp eller tjänsterum. Inga obehöriga får ha tillgång till personuppgifter.
Radera mejl och dokument med personuppgifter löpande. Personuppgifter får sparas så länge som ett ärende pågår. Man får inte spara något för säkerhets skull. Förhandlingsprotokoll i individärenden lämnas över till Akavia.
Vid misstanke om personuppgiftsincident informera Akavia omedelbart. Frågor gällande GDPR riktas till Akavia.

Lagring av personuppgifter

Tänk på att dina mobiltelefoner och surfplattor innehåller personuppgifter, i form exempelvis av e-post och kontaktlistor, och kanske även känsliga personuppgifter. Även dessa måste vara spärrade och kan inte hållas tillgängliga för vem som helst.

Det kan finnas problem med att lagra personuppgifter och särskilt känsliga personuppgifter på arbetsgivarens dator. Så länge arbetsgivaren inte motsätter sig sådan lagring är den tillåten så länge kraven på säkerhet, behörighetsbegränsning och hemlighållande kan upprätthållas. Om en arbetsgivare kräver att ni ska ingå ett avtal om att vara personuppgiftsbiträde för att godkänna er lagring på sina servrar måste ni kontakta Akavia. Det är förbundet som är personuppgiftsansvarig.

Lagring på egna datorer, andra än arbetsgivarens, ska undvikas då detta innebär att personuppgifter riskerar att spridas och säkerheten inte kan garanteras. Lagring av personuppgifter får inte ske på servrar utanför EU/EES-området.

Din arbetsgivares hantering och utlämnande av medlemmars personuppgifter

Kommunala arbetsgivare behandlar personuppgifter i samband med bland annat löneöversyner, förhandlingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till lokal Akaviaförening eller till dig som lokalombud. I vissa fall har arbetsgivaren hävdat att de inte kan lämna ut personuppgifter på grund av GDPR. Akavia är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR. Känsliga personuppgifter får lämnas ut när det finns en skyldighet enligt arbetsrätten att göra det. En sådan skyldighet kan följa av en lag, exempelvis MBL, LAS, förtroendemannalagen eller av ett kollektivavtal. En arbetsgivare kan alltså inte vägra att lämna ut personuppgifter med hänvisning till GDPR.

Särskilt för dig som är representant för Akavia i ett Sacoråd

Sacoråden har bildats av AkademikerAlliansen och Akademikerförbundet SSR för att gemensamt samverka med arbetsgivaren. Representant för Akavias medlemmar i Sacoråden utses av Akavia eller lokal Akaviaförening. Det är därför Akavia som är personuppgiftsansvarig för behandling av Akavias medlemmars uppgifter och du får som förtroendevald för Akavia hämta uppgifter om medlemskap i Akavia från Akavias kansli, från arbetsgivaren, eller från medlemmarna själva.

Det betyder att när du som är ledamot i ett Sacoråd för Akavia numera inte får begära medlemsuppgifter från andra förbund eller i övrigt hantera sådana i Sacorådets namn. Gamla medlemslistor som finns kvar hos Sacoråden ska raderas.

Får ni frågor från medlemmar om hanteringen av deras personuppgifter ska de således hänvisas till Akavia.

Särskilt för dig som är ledamot i en AkademikerAlliansförening eller en Sacoförening

Akavia tillhör förhandlingskartellen AkademikerAlliansen som är en organisation i vilken 16 förbund samverkar både på central nivå men det finns möjlighet för förbunden att samverka även på lokal nivå inom ramen för lokala AkademikerAlliansföreningar.

Sacoföreningar är föreningar där medlemmar i Sacoförbund väljer styrelse för samverkan med arbetsgivare, ofta på lokal-lokal nivå inom stora kommuner och landsting.

Är du ledamot i någon av dessa föreningar och har frågor om GDPR kommer information att lämnas inom kort. Har du brådskande frågor kan du kontakta Akavias kansli.

Kontakt

Om du har frågor om förbundets personuppgiftsbehandling kan avtalsansvariga ge dig information av mer specifik karaktär och hänvisa dig till förbundets jurister för rättsliga frågor.

DATASKYDDSOMBUD
Akavia har utsett dataskyddsombud som ska övervaka hur förbundet efterlever GDPR. Kontaktuppgifter till dataskyddsombudet:

E-post: dataskydd.akavia@sweco.se