19 frågor och svar om Dataskyddsförordningen (GDPR)

1. Behöver jag som företrädare eller förtroendevald i en branschförening bry mig om Dataskyddsförordningen (GDPR) eller sköts det av förbundet?

Att behandla personuppgifter är en del av att driva Ledarnas verksamhet. Därför behöver alla som arbetar för Ledarna som anställd, förtroendevald i en branschförening eller som Ledarnas företrädare på en arbetsplats bry sig om Dataskyddsförordningen (GDPR).

Dessutom är fackligt medlemskap en känslig uppgift enligt den nya lagstiftningen. Det betyder att vi som hanterar uppgifter om människors fackliga tillhörighet måste vara extra varsamma, oavsett vilken roll eller uppdrag vi har. Utöver det hanterar många av oss fackliga ärenden eller andra arbetsuppgifter där det finns andra känsliga uppgifter om medlemmarna. Det kräver samma varsamhet.

2. Vad gör Ledarna för att kunna leva upp till Dataskyddsförordningen (GDPR)?

Ledarna arbetar just nu med att:

  • Kartlägga och inventera alla våra personuppgiftsbehandlingar.
  • Uppdatera styrande dokument och utforma nya rutiner anpassade till Dataskyddsförordningen (GDPR).
  • Se över medlemsavtalet för att klargöra vad som ingår i avtalet och vid vilka tillfällen det dessutom kommer att krävas samtycken från medlemmarna.
  • Utarbeta den information som de registrerade ska få från och med 25 maj.
  • Informera de grupper som har ansvar enligt Dataskyddsförordningen (GDPR) – anställda, förtroendevalda och företrädare.
  • Se över den information som finns i samband med att man hämtar medlemslistor via ledarna.se.
  • Tillsätta en tjänst – Dataskyddsombud (DSO).
  • Gå igenom och uppdatera avtal med personuppgiftsbiträden.
  • Utreda oklara frågeställningar.

3. Vad betyder det att Ledarna och branschföreningarna och klubbarna har ett gemensamt personuppgiftsansvar?

Huvudorganisationen, Ledarna – Sveriges chefsorganisation, branschföreningarna och klubbarna ska samarbeta för att tillsammans säkerställa att vi bedriver bästa möjliga verksamhet samtidigt som vi skyddar de registrerades rättigheter på det sätt som Dataskyddsförordningen (GDPR) föreskriver. Som juridiska personer har vi ett gemensamt ansvar för detta.

Ledarnas anställda eller företrädare på arbetsplatser där det inte finns klubb agerar på uppdrag av Ledarna och ska följa lagen, men själva personuppgiftsansvaret ligger på Ledarna, branschföreningen eller klubben som är juridiska personer.

I lagtexten står det att de som har gemensamt personuppgiftsansvar ska skapa ett ”inbördes arrangemang” som beskriver hur det samarbetet går till. Ledarna utreder hur vi gör detta på bästa sätt och återkommer med information till dem som berörs.

4. Varför måste vi ha ett dataskyddsombud (DSO)?

Det är obligatoriskt för alla personuppgiftsansvariga som hanterar känsliga uppgifter och/eller stora mängder personuppgifter att utse ett dataskyddsombud till den 25 maj 2018. Eftersom fackligt medlemskap är en känslig uppgift måste Ledarna, Ledarnas branschföreningar och Ledarnas klubbar utse dataskyddsombud.

Dataskyddsombudet ska ha en självständig ställning inom organisationen och vara någon som har de registrerades bästa för ögonen. Hen ska vara en slags internrevisor som stöttar, ger råd och övervakar att vi följer Dataskyddsförordningen (GDPR). Dataskyddsombudet ska också samarbeta med Datainspektionen.

Ledarna rekryterar just nu en person till tjänsten som dataskyddsombud. Branschföreningar och klubbar kan anlita Ledarnas dataskyddsombud utan kostnad och kommer att få mer information från Ledarna om hur det går till.

Genom att utse Ledarnas dataskyddsombud till branschföreningens/klubbens dataskyddsombud förbinder sig branschföreningen/klubben att möjliggöra för denne att fullgöra sitt uppdrag.

5. Kan jag använda min arbetsgivares dator, mobil mm för mitt fackliga uppdrag och/eller uppdrag i en branschförening?

Det är inga problem att använda arbetsgivarens dator, så länge som du behandlar sådana personuppgifter som arbetsgivaren redan har, alltså de medlemmar du företräder på arbetsplatsen.

Men arbetsgivarens tekniska utrustning får inte innehålla personuppgifter om medlemmar hos andra arbetsgivare. Detta kan innebära problem för dig som arbetar med branschföreningarnas verksamhet.

Ledarna utreder detta vidare och återkommer med mer information.

6. Kan jag använda den e-postadress jag har på jobbet för mitt fackliga uppdrag och/eller uppdrag i en förening?

Det är inga problem att i mail behandla sådana personuppgifter som arbetsgivaren redan har, alltså de medlemmar du företräder på arbetsplatsen.

Om du arbetar i offentlig sektor hos en arbetsgivare som lyder under offentlighetsprincipen skulle det kunna vara ett hinder därför att det finns en risk för att mailen kan bli offentliga.

Likaså kan det bli ett problem om du i ditt föreningsuppdrag hanterar personuppgifter om medlemmar hos andra arbetsgivare. Detta beror i så fall på att din arbetsgivare genom sin mailserver skulle kunna se uppgifter om medlemmar hos andra arbetsgivare.

Se även svaret på fråga 13.

Ledarna utreder detta vidare och återkommer med mer information.

7. Betyder den nya lagen att människor måste samtycka varje gång deras personuppgifter behandlas?

Om det inte finns någon annan laglig grund för behandling behöver den personuppgiftsansvarige få ett samtycke från den person vars personuppgifter man vill behandla.

Ledarnas ambition är att så långt det är möjligt använda avtalet om medlemskap som rättslig grund när vi behandlar medlemmarnas personuppgifter, och att bara använda samtycke när det är nödvändigt. Det kommer att göra det enklare både för medlemmarna och för oss. För personer som inte är medlemmar kan vi komma att behöva hantera samtycken.

8. Får jag som är företrädare på min arbetsplats ge min arbetsgivare uppgifter om vilka personer jag företräder/vilka som är medlemmar i Ledarna?

Ja, det får du göra.

Undantaget är personer med skyddade personuppgifter eller medlemmar som uppgivit till Ledarna att de vill stå utanför klubben och/eller inte vill att arbetsgivaren ska veta om deras fackliga tillhörighet. När du hämtar medlemslistor hos Ledarna är dessa personer borttagna.

Är du tveksam är det bästa att fråga medlemmen om hen vill bli företrädd och förklara att du kommer att meddela arbetsgivaren om detta.

9. Kan jag fortsätta att hämta medlemslistor via ledarna.se?

Ja, du kan fortsätta att hämta listor precis som tidigare. Det kan handla om att du behöver dem för en förhandling eller för egen registervård = att du behöver veta vilka som är medlemmar eller ej.

Vi ber dig vara uppmärksam på den information du får i samband med att du hämtar listan. Den kommer att ändras inför att Dataskyddsförordningen (GDPR) träder i kraft.

Ledarna utreder frågan om vilka uppgifter som kan sparas respektive ska gallras bort och återkommer med mer information.

10. Hur ska jag hantera till exempel anmälningar och deltagarlistor till aktiviteter som branschföreningen eller klubben ordnar?

Vi ska tillsammans arbeta för att medlemmar och andra registrerade ska kunna känna sig trygga med att vi är rädda om deras personuppgifter och att vi bara använder dem för de ändamål vi sagt och inte missbrukar dem på något sätt.

Därför ska vi ha ordning och reda och veta vad vi gör, varför vi gör det, hur vi gör det och vem som gör. Vi ska också kunna visa upp hur vi arbetar och ha dokumentation som stödjer det.

Ledarnas rutin är redan idag att inte dela ut deltagarlistor, utan istället uppmanas deltagarna att byta kontaktuppgifter med varandra.

Ledarna utreder detta vidare och återkommer med mer information.

11. Hur ska jag hantera protokoll, turordningslistor, förhandlingsframställan och andra uppgifter som jag hanterar i mitt uppdrag som företrädare?

Vi ska tillsammans arbeta för att medlemmar och andra registrerade ska kunna känna sig trygga med att vi är rädda om deras personuppgifter och att vi bara använder dem för de ändamål vi sagt och inte missbrukar dem på något sätt.

Därför ska vi ha ordning och reda och veta vad vi gör, varför vi gör det, hur vi gör det och vem som gör. Vi ska också kunna visa upp hur vi arbetar och ha dokumentation som stödjer det.

Ledarna utreder detta vidare och återkommer med mer information.

12. Kan vi fortsätta att skicka e-post till medlemmarna?

Vi kommer att kunna fortsätta kommunicera med medlemmarna via e-post.

En grundförutsättning är att vi behöver vara säkra på att medlemmen har lämnat en adress till oss där hen tycker att det är OK att ta emot post från Ledarna/branschförening/klubb/företrädare.

Men eftersom det är helt nytt i Dataskyddsförordningen (GDPR), jämfört med PUL, att e-post omfattas av lagstiftningen finns det oklarheter. Ett exempel är att det kan finnas känsliga uppgifter i själva e-postmeddelandet som behöver skyddas – till exempel genom kryptering.

Ledarna utreder detta vidare och återkommer med mer information.

13. Kan vi göra undersökningar och enkäter bland medlemmarna? Behövs samtycke för det?

Ja, vi kan fortsätta att göra undersökningar och enkäter, men i den mån vi använder underleverantörer eller konsulter kan vi komma att behöva nya typer av avtal med mera. Invänta Ledarnas riktlinjer.

För vissa typer av frågor kommer medlemsavtalet att räcka. För andra kommer det att krävas ett samtycke.

Ledarna utreder detta vidare och återkommer med mer information.

14. Behöver vi skriva nya medlemsavtal med alla som redan är medlemmar?

Nej, men vi kommer att publicera information till befintliga medlemmar på ledarna.se så att de vet hur Ledarna, branschföreningarna och klubbarna arbetar för att följa Dataskyddsförordningen (GDPR) och hantera deras personuppgifter på ett tryggt sätt.

15. Kan man begära att ”bli bortglömd” eller ”raderad”? Ska vi verkligen ta bort uppgifter?

Ja och nej. Som registrerad kan du begära att den personuppgiftsansvarige ska radera uppgifter. Detta är självklart till exempel om det handlar om direkt felaktiga uppgifter. Men frågan om att bli bortglömd är mera komplicerad. Den personuppgiftsansvarige kan ha både rätten och behovet att behålla uppgifterna ändå. Ett exempel är att skattelagstiftningen kräver att man sparar vissa uppgifter i tio år.

Även om någon väljer att avsluta sitt medlemskap i Ledarna, kommer det sannolikt att finnas kvar uppgifter på kansliet om att hen var medlem och under vilken tid.

Det viktiga är att vi inte registrerar uppgifter om vi inte verkligen behöver dem, att vi har laglig grund för att göra det och att vi följer våra rutiner för att gallra så att vi inte heller behåller data längre än nödvändigt.

16. Mina kontaktuppgifter och min bild finns på branschföreningens webbplats, ledarna.se och/eller arbetsgivarens intranät. Är det OK?

Ja, eftersom du är vald till ett uppdrag i branschföreningen/som företrädare/i klubben är dina uppgifter redan att betrakta som offentliggjorda. Det är viktigt att medlemmar och andra kan kontakta dig.

17. Vad kan hända om man inte följer lagen?

Många skräms av att man kan få betala höga administrativa avgifter om man bryter mot Dataskyddsförordningen (GDPR). Och det är sant att sanktionerna för att bryta mot lagen är stränga. Men den stora risken är nog ändå att förtroendet för Ledarna skadas om det visar sig att vi inte hanterat personuppgifter på det sätt som man ska. Vi ska vara rädda om medlemmarnas personuppgifter.

18. Den nya tekniken kan spåra människors beteenden på webben. Det gör att vi kan lära oss vad man vill ha och hur man konsumerar Ledarnas erbjudande. Hur påverka den här lagstiftningen Ledarnas möjligheter att följa medlemmars/besökares beteende på ledarna.se?

I de här sammanhangen är det sällan intressant vad en enskild person gör. Istället söker man efter mönster, till exempel att flera människor gör på samma sätt. Den typen av analyser kommer vi kunna fortsätta göra.

Ledarna utreder frågan vidare och återkommer med mer information.

19. Vart vänder jag mig om jag har frågor om Dataskyddsförordningen (GDPR) kopplade till mitt uppdrag?

Den här sidan uppdateras vartefter vi har fler eller mer fullständiga svar. Finns inte svaret här, kontaktar du Ledarna.

  • Gäller frågan ditt förtroendeuppdrag i en branschförening: foreningar@ledarna.se.
  • Gäller frågan din roll som företrädare eller klubben hör du av dig via kontaktformuläret. Var tydlig med att frågan handlar om Dataskyddsförordningen (GDPR).

Ordlista GDPR

Tillbaka till sidan Ny lag för att skydda personuppgifter