Frågor och svar om dataskyddsförordningen (GDPR)

Förhållningssätt och säkerhet

Behöver jag som företrädare eller förtroendevald i en branschförening bry mig om dataskyddsförordningen (GDPR) eller sköts det av förbundet?

Att behandla personuppgifter är en del av att driva Ledarnas verksamhet. Därför behöver alla som arbetar för Ledarna som anställd, förtroendevald i en branschförening eller som Ledarnas företrädare på en arbetsplats bry sig om dataskyddsförordningen (GDPR).

Dessutom är fackligt medlemskap en känslig uppgift enligt den nya lagstiftningen. Det betyder att vi som hanterar uppgifter om människors fackliga tillhörighet måste vara extra varsamma, oavsett vilken roll eller uppdrag vi har. Utöver det hanterar många av oss fackliga ärenden eller andra arbetsuppgifter där det finns andra känsliga uppgifter om medlemmarna. Det kräver samma varsamhet.

Vad kan hända om man inte följer lagen?

Många skräms av att man kan få betala höga administrativa avgifter om man bryter mot dataskyddsförordningen (GDPR). Och det är sant att sanktionerna för att bryta mot lagen är stränga. Men den stora risken är nog ändå att förtroendet för Ledarna skadas om det visar sig att vi inte hanterat personuppgifter på det sätt som man ska. Vi ska vara rädda om medlemmarnas personuppgifter.

Kan man begära att ”bli bortglömd” eller ”raderad”? Ska vi verkligen ta bort uppgifter?

Ja och nej. Som registrerad kan du begära att den personuppgiftsansvarige ska radera uppgifter. Detta är självklart till exempel om det handlar om direkt felaktiga uppgifter.

Men frågan om att bli bortglömd är mera komplicerad än så. Den personuppgiftsansvarige kan ha både rätten och behovet att behålla uppgifterna ändå. Ett exempel är att skattelagstiftningen kräver att man sparar vissa uppgifter i tio år. Även om någon väljer att avsluta sitt medlemskap i Ledarna, kommer det att finnas kvar uppgifter om att hen var medlem och under vilken tid.

Det viktiga är att vi inte registrerar uppgifter som inte behöver och att vi följer rutinerna för att gallra så att vi inte behåller data längre än nödvändigt.

Hur ska jag förvara personuppgifter som jag behöver i mitt uppdrag?

Som företrädare hanterar du olika dokument och handlingar till exempel lönelistor, turordningslistor och annat som hör till förhandling eller överläggning med arbetsgivaren. Du är skyldig att förvara och hantera dem på ett säkert sätt.

Spara bara på de uppgifter som verkligen behövs och spara dem inte lägre än nödvändigt.

Under den tid som uppgifterna behövs gör du så här:

  • Skapa en särskild mapp för de dokument som hör till företrädaruppdraget.
  • Sätt behörighet på mappen så att bara du själv kommer åt den.
  • Sätt också lösenordsskydd på mappen.
  • Gå igenom mappen och radera dokument/innehåll i dokument så fort det inte längre behövs.
  • När du slutar som företrädare raderar du hela mappen och dess innehåll.

Vad ska jag göra om jag upptäcker att någon obehörig fått tag på mina medlemmars personuppgifter?

Ta alltid kontakt med Ledarnas kansli om du tror att personuppgifter oavsiktligt har förstörts, ändrats eller om någon obehörig har fått tag på dem. Incidenter ska anmälas till Datainspektionen inom 72 timmar, så det är viktigt att agera snabbt.

Alla incidenter ska bedömas av Ledarnas dataskyddsombud (DSO) innan en rapport skickas till Datainspektionen. Kontakta Ledarna via kontaktformuläret eller ring till företrädarjouren på telefon 0200-87 11 11 om du upptäcker att något hänt.

Några exempel på händelser som kan behöva rapporteras:

  • Någon har ändrat registrerade uppgifter om en medlem utan tillstånd.
  • Din dator, som innehåller uppgifter om medlemmar, blir stulen.
  • Medlemslistor skickas oskyddat via e-post till arbetsgivaren.

Mer information finns hos Datainspektionen.

Ansvar och dataskyddsombud

Vad betyder det att Ledarna och branschföreningarna och klubbarna har ett gemensamt personuppgiftsansvar?

Ledarna, branschföreningarna och klubbarna ska samarbeta för att tillsammans säkerställa att vi bedriver bästa möjliga verksamhet samtidigt som vi skyddar de registrerades rättigheter på det sätt som dataskyddsförordningen (GDPR) föreskriver. Som juridiska personer har vi ett gemensamt ansvar för detta.

Ledarnas anställda eller företrädare på arbetsplatser där det inte finns klubb agerar på uppdrag av Ledarna och ska följa lagen, men själva personuppgiftsansvaret ligger på Ledarna, branschföreningen eller klubben som är juridiska personer.

Måste människor samtycka varje gång deras personuppgifter behandlas?

Nej, samtycke är en av flera rättsliga grunder (läs mer i artikel 6 hos Datainspektionen) för att hantera personuppgifter. Oftast kommer samtycke inte att vara aktuellt. Istället hanteras personuppgifterna till exempel för att det finns ett avtal parterna emellan, för att kunna fullgöra rättsliga förpliktelser eller efter en så kallad intresseavvägning.

Behöver jag be medlemmar eller andra om samtycke för att hantera deras uppgifter?

Om en medlem eller annan persons namn och bild ska publiceras, till exempel på klubbens eller föreningens webb behövs samtycke. Samtycket får vara muntligt, men vi rekommenderar man tar in skriftliga samtycken. Om det blir aktuellt kontaktar du Ledarnas DSO och ber om en mall för att hantera samtycken.

För valda styrelseledamöter eller andra med förtroendeuppdrag behövs inget samtycke. Deras uppgifter anses offentliggjorda i och med att de tog på sig uppdraget.

Varför måste vi ha ett dataskyddsombud (DSO)?

Eftersom Ledarna, Ledarnas företrädare och klubbar hanterar känsliga personuppgifter i stor omfattning är vi enligt dataskyddsförordningen skyldiga att ha ett dataskyddsombud. Det är själva medlemskapet i en facklig organisation som klassas som känslig uppgift i den här lagstiftningen.

Från den 25 maj är Binta-Madina Stamenovic dataskyddsombud (DSO) på Ledarna. Har du frågor om de personuppgiftbehandlingar du gör som företrädare skickar du in dem via kontaktformuläret. Var tydlig med att frågan handlar om dataskyddsförordningen (GDPR).

DSO är en helt ny roll som kommer med införandet av den nya dataskyddsförordningen (GDPR). Den som är DSO ska ha en självständig ställning inom organisationen och ha de registrerades bästa för ögonen. Hen ska vara en slags internrevisor som stöttar, ger råd och övervakar att vi följer dataskyddsförordningen. Dataskyddsombudet ska också samarbeta med Datainspektionen.

För att uppnå en effektiv och samordnad syn på dataskyddsfrågor har vi valt att låta Ledarnas dataskyddsombud fungera som dataskyddsombud också för Ledarnas klubbar. Binta-Madina Stamenovic är alltså DSO för Ledarna, Ledarnas företrädare, klubbar och branschföreningar. Skulle klubben välja att utse och själv bekosta ett annat dataskyddsombud måste klubben meddela Ledarna detta.

Min arbetsgivare vill att alla fackklubbar och företrädare ska skriva på ett personuppgiftsbiträdesavtal (PuB-avtal). Ska jag skriva på det?

Nej, du som är företrädare ska aldrig skriva under ett sådant här avtal. Be arbetsgivaren kontakta Ledarnas kansli för en bedömning av om avtalet som behövs eller ej.

Det kan vara bra att veta att förbunden gör olika bedömningar av om klubbar/företrädare är personuppgiftsansvariga eller personuppgiftsbiträden. Vi på Ledarna har valt att se det som att Ledarna – Sveriges chefsorganisation, branschföreningarna, företrädarna och klubbarna ska samarbeta för att tillsammans säkerställa att vi bedriver bästa möjliga verksamhet samtidigt som vi skyddar de registrerades rättigheter på det sätt som dataskyddsförordningen (GDPR) föreskriver. Som juridiska personer har vi ett gemensamt ansvar för detta.

Skicka och ta emot, spara, hantera och rensa

Kan vi fortsätta att skicka e-post till medlemmarna?

Vi kommer att kunna fortsätta kommunicera med medlemmarna via e-post, men tänk på att e-posten omfattas av samma regler som dokument och listor.

En grundförutsättning är att är säkra på att medlemmen har lämnat en adress till oss där hen tycker att det är OK att ta emot post från Ledarna/branschförening/klubb/företrädare.

Ledarna utreder detta vidare och återkommer med mer information.

Kan jag använda den e-postadress jag har på jobbet för mitt fackliga uppdrag och/eller uppdrag i en förening?

Det är inga problem att i mejl behandla sådana personuppgifter som arbetsgivaren redan har, alltså de medlemmar du företräder på arbetsplatsen.

Om du arbetar i offentlig sektor hos en arbetsgivare som lyder under offentlighetsprincipen skulle det kunna vara ett hinder därför att det finns en risk för att mailen kan bli offentliga.

Men arbetsgivarens tekniska utrustning får inte innehålla personuppgifter om medlemmar hos andra arbetsgivare. Detta kan innebära problem för dig som arbetar med branschföreningarnas verksamhet.

Ledarna utreder detta vidare och återkommer med mer information.

Kan jag använda min arbetsgivares dator, mobil mm för mitt fackliga uppdrag och/eller uppdrag i en branschförening?

Det är inga problem att använda arbetsgivarens dator, så länge som du behandlar sådana personuppgifter som arbetsgivaren redan har, alltså de medlemmar du företräder på arbetsplatsen.

Men arbetsgivarens tekniska utrustning får inte innehålla personuppgifter om medlemmar hos andra arbetsgivare. Detta kan innebära problem för dig som arbetar med branschföreningarnas verksamhet.

Ledarna utreder detta vidare och återkommer med mer information.

Hur ska jag hantera protokoll, turordningslistor, förhandlingsframställan och andra uppgifter som jag hanterar i mitt uppdrag som företrädare?

Som företrädare hanterar du olika dokument och handlingar till exempel lönelistor, turordningslistor och annat som hör till förhandling eller överläggning med arbetsgivaren. Du är skyldig att förvara och hantera dem på ett säkert sätt.

Spara bara på de uppgifter som verkligen behövs och spara dem inte lägre än nödvändigt. Man behöver inte spara för att senare kunna lämna ut till exempel när någon begär registerutdrag.

Under den tid som uppgifterna behövs gör du så här:

  • Skapa en särskild mapp för de dokument som hör till företrädaruppdraget.
  • Sätt behörighet på mappen så att bara du själv kommet åt den.
  • Sätt också lösenordsskydd på mappen.
  • Tänk på att radera eventuella mejl som innehåller det du sparat i mappen.
  • Gå igenom mappen och radera ett dokument/innehåll i dokument så fort det inte längre behövs.
  • När du slutar som företrädare raderar du hela mappen och dess innehåll.

En medlem som vill veta vilka personuppgifter Ledarna har om denne har rätt att vända sig till dig som företrädare, till Ledarnas kansli eller till sin branschförening för att få ett registerutdrag. Det beror på att vi har ett gemensamt personuppgiftsansvar.

Om en registrerad person vänder sig till dig och ber att få ett registerutdrag ska du omgående vända dig till DSO.

Vi ska tillsammans arbeta för att medlemmar och andra registrerade ska kunna känna sig trygga med att vi är rädda om deras personuppgifter och att vi bara använder dem för de ändamål vi sagt och inte missbrukar dem på något sätt.

Därför ska vi ha ordning och reda och veta vad vi gör, varför vi gör det, hur vi gör det och vem som gör. Vi ska också kunna visa upp hur vi arbetar och ha dokumentation som stödjer det.

I förhandlingar får jag ofta underlag från arbetsgivaren som innehåller personuppgifter som rör mina medlemmar och andra personer, till exempel medlemmar i andra förbund eller oorganiserade. Hur ska jag hantera det?

Hantera alla uppgifter på samma sätt. Spara bara det du behöver för att fullgöra ditt uppdrag och släng uppgifterna när de inte längre är nödvändiga.

Kan vi fortsätta göra undersökningar och enkäter bland medlemmarna?

Ja, vi kan fortsätta att göra undersökningar och enkäter. I den mån vi använder underleverantörer eller konsulter kan vi komma att behöva nya typer av avtal med mera. Invänta Ledarnas riktlinjer.

Medlemslistor

Får jag som är företrädare på min arbetsplats ge min arbetsgivare uppgifter om vilka personer jag företräder/vilka som är medlemmar i Ledarna?

Nej, om arbetsgivaren begär att få en lista ska företrädaren hänvisa till Ledarnas kansli som gör en bedömning av om utlämning kan ske.

Medlemslistor är till för att du som är företrädare ska veta vilka medlemmar du företräder och ha rätt uppgifter om dessa. Du får endast information om de medlemmar du har mandat att företräda och listan innehåller endast för uppdraget relevant information.

När du hämtar medlemslistor hos Ledarna är personer med skyddade personuppgifter borttagna. Inte heller medlemmar som uppgivit till Ledarna att de vill stå utanför klubben och/eller inte vill att arbetsgivaren ska veta om deras fackliga tillhörighet finns med på listorna.

Med anledning av reglerna i dataskyddsförordningen (GDPR) gäller följande när du hämtar en medlemslista:

  • Listan är endast för eget bruk. Den får inte lämnas vidare till arbetsgivaren eller någon annan. När du avslutar ditt uppdrag ska eventuella medlemslistor du har raderas.
  • Du är skyldig att förvara och hantera listan på ett säkert sätt. Spara bara de uppgifter som verkligen behövs och spara dem inte längre än nödvändigt.
  • Listan ska slängas när uppgifterna inte längre är nödvändiga.

Medlemslistor och ekonomirapporter

Vilka regler gäller när jag hanterar medlemslistor?

Medlemslistor är till för att du som är företrädare ska veta vilka medlemmar du företräder och ha rätt uppgifter om dessa. Du får endast information om de medlemmar du har mandat att företräda och listan innehåller endast för uppdraget relevant information.

När du hämtar medlemslistor hos Ledarna är personer med skyddade personuppgifter borttagna. Inte heller medlemmar som uppgivit till Ledarna att de vill stå utanför klubben och/eller inte vill att arbetsgivaren ska veta om deras fackliga tillhörighet finns med på listorna.

Med anledning av reglerna i dataskyddsförordningen (GDPR) gäller följande när du hämtar en medlemslista:

  • Listan är endast för eget bruk. Den får inte lämnas vidare till arbetsgivaren eller någon annan. När du avslutar ditt uppdrag ska eventuella medlemslistor du har raderas.
  • Du är skyldig att förvara och hantera listan på ett säkert sätt. Spara bara de uppgifter som verkligen behövs och spara dem inte längre än nödvändigt.
  • Listan ska slängas när uppgifterna inte längre är nödvändiga.

Om arbetsgivaren begär att få en lista ska företrädaren hänvisa till Ledarnas kansli som gör en bedömning av om utlämning kan ske.

Medlemslistor och ekonomirapporter

Möten och aktiviteter

Kan vi fortsätta att kalla medlemmarna till möten?

Ja, du kan fortsätta kalla medlemmarna till möten på samma sätt som tidigare.

Får jag dela ut deltagarlistan?

Nej. Ledarnas rutin är redan idag att inte dela ut deltagarlistor, utan istället uppmanas deltagarna att byta kontaktuppgifter med varandra.

Rutiner för deltagarförteckningar vid aktiviteter 

Min roll som företrädare

Behöver jag som företrädare informera mina medlemmar om GDPR?

Som du säkert noterat valde Ledarna att inte mejla alla medlemmar när lagstiftningen trädde i kraft. Istället publicerade vi information på ledarna.se och i Medlemsnytt i mitten på juni.

Det finns inget krav på företrädare eller klubbar att själva informera om GDPR. Men om det finns frågor är det klokt att göra det ändå. Då föreslår vi att ni skriver så här:

Hej medlem i Ledarna,

Om du undrar hur vi på Ledarna behandlar dina personuppgifter kan du läsa om det på ledarna.se. Kortfattat är det så här:

Så skyddas dina personuppgifter

Vi är rädda om de uppgifter du och andra medlemmar lämnar till oss. Du ska kunna känna dig trygg med att vi inte missbrukar ditt förtroende, och att vi inte använder dina uppgifter till något annat än det vi sagt.

Dina rättigheter

Du som är medlem i Ledarna har rätt att:

  • Begära information om de personuppgifter vi har om dig.
  • Begära att vi rättar felaktiga personuppgifter.
  • Invända mot vår användning av dina personuppgifter.
  • Begära att vi raderar dina personuppgifter.
  • Begära att dina uppgifter inte behandlas för direktmarknadsföringsändamål, till exempel nyhetsbrev och inbjudningar.
  • Få del av dina personuppgifter i ett maskinläsbart format.

På den här sidan hittar du Ledarnas personuppgiftspolicy.

Vänliga hälsningar
// XXX

Vart vänder jag mig om jag har frågor om dataskyddsförordningen (GDPR) kopplade till mitt uppdrag?

Den här sidan uppdateras vartefter vi har fler eller mer fullständiga svar. Finns inte svaret här, kontaktar du Ledarna via kontaktformuläret. Var tydlig med att frågan handlar om dataskyddsförordningen (GDPR).

Kommer jag att få utbildning om GDPR?

Utöver den information du får löpande i Företrädarnytt kommer Ledarna även att ta fram utbildning i GDPR anpassat till ditt uppdrag som företrädare. Den kommer också att innefatta dina relationer med medlemmarna, arbetsgivaren och de andra fackförbunden på din arbetsplats. Du kommer att få en separat inbjudan till den.

Mina kontaktuppgifter och min bild finns på branschföreningens webbplats, ledarna.se och/eller arbetsgivarens intranät. Är det OK?

Ja, eftersom du är vald till ett uppdrag i branschföreningen/som företrädare/i klubben är dina uppgifter redan att betrakta som offentliggjorda. Det är viktigt att medlemmar och andra kan kontakta dig.

Jag ska lämna mitt företrädaruppdrag, vad ska jag göra med det jag har sparat från gamla förhandlingar och liknande?

Som företrädare hanterar du olika dokument och handlingar till exempel lönelistor, turordningslistor och annat som hör till förhandling eller överläggning med arbetsgivaren.

Du är skyldig att förvara och hantera dem på ett säkert sätt.

Spara bara på de uppgifter som verkligen behövs och spara dem inte längre än nödvändigt.

Under den tid som uppgifterna behövs gör du så här:

  • Skapa en särskild mapp för de dokument som hör till företrädaruppdraget.
  • Sätt behörighet på mappen så att bara du själv kommet åt den.
  • Sätt också lösenordsskydd på mappen.
  • Tänk på att radera eventuella mejl som innehåller det du sparat i mappen.
  • Gå igenom mappen och radera ett dokument/innehåll i dokument så fort det inte längre behövs.
  • När du slutar som företrädare raderar du hela mappen och dess innehåll.

Om du har en utsedd efterträdare kan du lämna över sådana dokument som rör pågående arbete.

Tillbaka till sidan dataskyddsförordningen – vad du som företrädare behöver veta