Rollbeskrivning för sekreterare och GDPR-ansvarig

GDPR är en förkortning för General Data Protection Regulation.

En personuppgift är information som direkt eller indirekt går att koppla till en individ. Exempel
på sådana är namn eller personnummer men även medlemsnummer, mobilnummer, foton, IP-nummer och e-postadress räknas som personuppgifter.

Med känsliga personuppgifter avses uppgifter om:
• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter och
• biometriska uppgifter som entydigt identifierar en person.

Genetiska och biometriska uppgifter liksom uppgifter om sexuell läggning är nya kategorier som lagts till som känsliga uppgifter i dataskyddsförordningen jämfört med personuppgiftslagen. Genetiska uppgifter är personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken, vilka till exempel kan framgå av en dnaanalys. Biometriska uppgifter är personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken som erhållits genom en särskild teknisk behandling, till exempel fingeravtrycksuppgifter.

Medlemskap i ett fackförbund är enligt GDPR en så kallad känslig uppgift. Det ställer därför extra höga krav på ett fackförbund att hantera information rätt. Andra känsliga uppgifter är ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om en fysisk persons sexualliv eller sexuella läggning, uppgifter om hälsa som till exempel kost och allergier.

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, dvs. en laglig grund. De lagligagrunderna är avtal, uppgift av allmänt intresse, intresseavvägning, rättslig förpliktelse, skydd av den registrerades grundläggande intressen, myndighetsutövning och samtycke.
Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Exempelvis måste föreningen följa de grundläggande principerna och tillvarata individens rättigheter.

Ett personuppgiftsbiträde är en extern part utanför organisationen som får ta del av information.
Exempel på personuppgiftsbiträden kan vara en arbetsgivare som tillhandahåller plats på sina datorer åt föreningen, en IT-leverantör eller ett tryckeri. För att kunna dela information till extern part ska ett personuppgiftsbiträdesavtal upprättas. I ett sådant avtal ska bl.a. anges vad informationen får användas till och hur den ska gallras.

Enligt GDPR ska organisationer som hanterar känsliga uppgifter i stor skala och som del av sin kärnverksamhet tillsätta ett dataskyddsombud. Eftersom fackförbund i stor skala hanterar känslig information om sina medlemmar är fackförbund enligt GDPR skyldiga att tillsätta dataskyddsombud. På SLF har förbundssekreteraren den uppgiften, på SYLF kanslichefen. Lokalföreningarna bör ha någon i sin styrelse som är särskilt ansvarig för dataskydd och att kontrollera att man följer reglerna, förslagsvis sekreteraren.

Ett dataskyddsombud är en person med mycket goda kunskaper om dataskyddslagstiftning och dataskydd. Dataskyddsombudet ska övervaka dataskyddsarbetet inom organisationen och vid behov ange riktlinjer för hur dataskyddsarbetet ska bedrivas. Detta gäller särskilt vid förändringsarbete. Dataskyddsombudet har också en rådgivande funktion inom organisationen.

Om det finns ett specifikt syfte som exempelvis vid en löneöversyn har ni rätt att ta emot lönelistor från arbetsgivaren. Dessa får då användas för att förbereda själva löneöversynen och kontrollera att era medlemmar finns med i underlaget. Efter avslutad lönerevision är det viktigt att listan raderas.

På SYLF görs majoriteten av medlemsutskicken (nyhetsbrev och kallelser) centralt via läkarförbundets medlemsregister och utskicksprogram. I vissa fall gör avdelningarna själva utskick. För utskick till flera medlemmar samtidigt, ska du alltid skicka via ”Hemlig kopia”. Detta för att undvika att alla som får ta del av e-post ska se vilka det har skickats till. Tänk bara på att i rubriken till utskicket inte ange att mottagaren är medlem i ett förbund.

Om det finns ett klart syfte kan det finnas laglig grund för att svara på denna fråga. Gäller det exempelvis en fråga där arbetsgivaren vill kalla till förhandling och då behöver veta om ni ska företräda personen har ni rätt att svara på denna fråga. Annars gäller i grunden att ni inte ska svara på om en person har ett fackligt medlemskap.

Nej, du ska inte berätta för andra om vilka som är medlemmar. Undantag gäller endast förtroendevald på arbetsplatsen.

Grundregeln är att du bara ska spara information som du behöver för att kunna utföra ditt uppdrag. Arbetsrättsliga ärenden exempelvis tvister där du företrätt medlem ska sparas i tio år enligt preskriptionslagen och ekonomiska dokument ska enligt bokföringslagen sparas i sju år. Ha en rutin om att i samband med årsmöte/överlämning gå igenom e-posten och andra ytor där du sparar dokument och radera det som du inte längre behöver

Listor och dokument som innehåller uppgifter om medlemmar ska raderas så snart som de inte längre är aktuella. Exempel på sådana är exceldokument med uppgifter om medarbetares löner som tagits fram i samband med lönerevisionen. När revisionen är över ska denna raderas.

Svar från SYLF:s enkäter till lokala medlemmar är ett annat exempel. I syfte att skapa kontinuitet och följa löneutvecklingen eller arbetsmiljöutvecklingen på arbetsplatsen kan uppgifterna avidentifieras. Alternativet är att göra en sammanställning utan uppgifter på individnivå.

Ja, samtliga former av elektronisk lagring omfattas.

Lagra endast sådan information som är aktuell och som behövs i uppdraget. Lagring får göras i separat mapp i arbetsgivarens nätverk eller inlåst i utskriven form. Ibland förekommer det att enskilda medlemmar diskuteras vid styrelsemöten. Närvaro av styrelseledamöter bör kunna skrivas ut i protokoll. I övrigt bör inga personuppgifter nämnas i protokoll som offentliggörs. Om det är tvunget att hänvisa till personer i protokoll, välj istället att döpa dem till
Person A, Person B, Person X osv.

Lagra uppgifterna i särskilda mappar med begränsad tillhörighet. Säkerställ att listorna raderas när lönerevisionen är avslutad och de inte längre behövs. Listor och lönestatistik utan information om enskilda medlemmar kan sparas för att exempelvis skapa kontinuitet kring lönerevisionen.

Vid en anmälan till exempelvis ett seminarium ger man sitt samtycke till att uppgiften lagras tillfälligt samt att personuppgifter också skickas till lokalen där seminariet hålls såsom preferenser i fråga om mat. Efter att seminariet och eventuellt efterarbete är avklarat raderas uppgifterna.

Personerna som är med på bilderna har rättigheter enligt GDPR. Informera därför besökarna på aktiviteten att bilderna kan komma att användas för att informera om verksamheten på webbplatsen och att de har möjlighet att invända mot detta. Informera också om vem de i så fall ska kontakta. Ni måste inte samla in namn på alla som är med på bilderna endast för att kunna följa reglerna i förordningen, men om någon identifierar sig själv och vill utöva sina rättigheter gäller rättigheterna i förordningen. För mer information se länk till Datainspektionen.

Ja, det är tillåtet. En verksamhetsberättelse är en sammanställning över föreningens organisation och verksamhet under den senaste verksamhetsperioden. Förtroendevalda är offentliga och måste kunna redovisas för föreningens medlemmar.