GDPR står för General Data Protection Regulation och brukar översättas till dataskyddsförordningen. Precis som PUL reglerar GDPR rätten och sättet att behandla personuppgifter i organisationer. GDPR började gälla den 25 maj 2018.
Med registerutdrag i GDPR:s mening avses en sammanställning av den personuppgiftsbehandling som förbundet vidtagit. Registerutdrag eller information ska lämnas så snart det är möjligt och som längst får det ta en månad att lämna ut informationen. I undantagsfall kan den registrerade behöva vänta längre. Om en medlem vill ha ut flera registerutdrag med kort mellanrum har förbundet rätt att ta betalt för det. Medlemmen ska vända sig till förbundet centralt för att begära ett registerutdrag.
Enligt GDPR har medlemmar rätt att bli ”glömda”. Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Civilekonomernas kansli.
Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller en arbetsbristförhandling. Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen. Det bör, ur ett GDPR-perspektiv, vara möjligt att vara ”hemlig medlem” i lokalföreningen, men det innebär att medlemmen inte kan bli företrädd i förhandlingar eller lönerevisioner och även att arbetsgivaren inte är skyldig att tillämpa Civilekonomernas eller annat Sacoförbunds kollektivavtal på medlemmen.
GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.
Civilekonomerna är personuppgiftsansvariga och lokalföreningen utgör ett personuppgiftsbiträde. Det föreligger ett avtalsmässigt förhållande mellan lokalföreningen och förbundet. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas är det extra viktigt att det görs med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.
Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.
Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar som tillhandahålls på arbetsplatsen. Tillsvidare gör Civilekonomerna ingen annan bedömning än att det går att fortsätta att använda arbetsgivarens servrar och e-post för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget.
All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas. Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.
Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det.
Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.
All lagring måste ske på ett säkert sätt. Om det sparas i pappersform ska det hållas inlåst i utrymmen med begränsat tillträde.
Lönerevisionen är en viktig del av det fackliga arbetet och för att kunna tillvarata medlemmarnas intressen får vi behandla personuppgifter i sådant arbete. De generella åtgärderna för säker förvaring och hantering gäller även då. Vi har fått frågor om det är tillåtet att spara personuppgifter från tidigare lönerevisioner för att se utveckling över tid för enskilda medlemmar. Vår bedömning är att även detta är tillåtet så länge inte medlemmen avslutat sitt medlemskap eller bytt arbetsgivare.
Du kan spara alla förhandlingsprotokoll under den tid en medlem har rättslig möjlighet att rikta rättsliga anspråk mot förbundet med anledning av tvisten. Det avgörs av vilken preskriptionstid som gäller. Enligt svensk lag gäller en preskriptionstid på tio år om inget annat följer av lag eller avtal. Du kan alltså spara förhandlingsprotokoll i tio år efter avslutad lokal förhandling, och i förekommande fall tio år efter avslutad central förhandling.
Om du behandlar personuppgifter för anställda för att försöka rekrytera dessa kan du behandla dessa med stöd av en proportionalitetsavvägning. Det innebär att du har rätt att använda listorna i ditt rekryteringsarbete. Om en anställd klart och tydligt svarat att den inte vill bli rekryterad måste du dock föra bort den från listan.
