Her kan du kan få svar på, hvordan du håndterer persondata i en række konkrete situationer
1.
Q: Hvad er mit grundlag for at behandle personoplysninger om medlemmer?
A: Det ligger i forlængelse af overenskomsten og medlemmets medlemskab af DM, at du må behandle oplysninger om medlemmet. Der er identitet mellem dig og DM, vi er en samlet dataansvarlig.
2.
Q: Må jeg behandle oplysninger om ikke-medlemmer?
A: Du må gerne behandle oplysninger om ikke-medlemmer, hvis det er relevant i forhold til dit tillidshverv, herunder behandling af en medlemssag eller i forbindelse med lønforhandlinger på arbejdspladsen.
3.
Q: Skal medlemmet give samtykke til, at jeg kontakter arbejdsgiver i en sag for medlemmet?
A: Ja.
4.
Q: Kan vi dele lønoplysninger frit i klubben?
A: Ja, der er ikke nogen problemer i at dele lønoplysninger inden for eget overenskomstområde i klubben, så længe der ikke er angivet fagforeningsmæssigt tilhørsforhold eller CPR-nummer. Det gælder for løn og tillæg og for begrundelser for tillæg, så længe de ikke indeholder negativt ladede udtalelser om medlemmet/ikke-medlemmet. Husk at bruge Bcc feltet, når du kommunikerer med flere medlemmer i samme mail.
5.
Q: Hvordan er den persondataretlige relation mellem arbejdsgiver og medlem?
A: Arbejdsgiver er altid dataansvarlig og medlemmet er datasubjekt (den person, som oplysningerne vedrører).
6.
Q: Må jeg rådgive medlemmet om persondata?
A: Vi rådgiver gerne om persondatabehandlinger i DM, men da området er under udvikling, ønsker vi at samle dette i DM’s sekretariat. Du skal derfor altid sende medlemmerne videre til DM, som vil stå for denne rådgivning.
7.
Q: Hvor finder jeg svar på spørgsmål om persondata i ansættelsesforhold?
A: Generelt er det arbejdsgiveres ansvar at informere og instruere i håndtering af persondata i forbindelse med jobfunktionen. Men drejer det sig om en ansættelsesretlig sag, sendes medlemmerne videre til DM.
8.
Q: Hvordan kan jeg indkalde til medlemsmøder?
A: Du kan sende e-mails, men brug altid Bcc-feltet, når du indkalder til klub- og medlemsmøder, så modtagerne ikke kan se hinanden og får hinandens adresseoplysninger. Du må heller ikke hænge lister op med navne, hvor man for eksempel skal krydse sig af. Sådan indkalder du til et møde med Bcc
9.
Q: Kan jeg sende en fællesmail til en gruppe medlemmer?
A: Ja, men brug altid Bcc-feltet, hvis du kommunikerer med flere medlemmer i samme mail.
10.
Q: Må jeg printe dokumenter eller korrespondance, hvor medlemmets persondata indgår?
A: Ja, men du skal sørge for, at de fysiske dokumenter opbevares på en forsvarlig måde, så de ikke er eksponeret for andre end dig selv, og data ikke risikerer at blive stjålet eller slettet. Er der følsomme oplysninger i dokumenterne, skal de altid låses inde, når du ikke bruger dem. Tager du print eller en notesbog med hjem, skal det låses forsvarligt inde.
11.
Q: Hvor ofte skal jeg slette personoplysninger?
A: Forhold dig løbende til, hvilke oplysninger, det er relevant for hvervet, at du gemmer. Modtager du personoplysninger om et medlem eller en anden person, som du som tillidsrepræsentant skønner ikke er relevante for varetagelsen af dit TR-hverv og den opgave, du skal løse, skal du slette dem, så snart du endeligt kan konkludere, at de ikke er relevante.
I DM’s sekretariat opbevarer vi medlemssager i 10 år, fra medlemmet har meldt sig ud af DM, eller 10 år fra medlemmet har forladt arbejdsmarkedet.
Eksempel: Hvis du i forbindelse med generelle lønforhandlinger modtager en liste fra HR indeholdende CPR-numre eller oplysninger om fagforeningsmedlemsskab, er det ikke relevante oplysninger at gemme, og du kan med fordel gøre HR opmærksom på, at du ikke vil modtage sådanne oplysninger fremover. Men navn, stilling, tillæg og lønsammensætning kan være relevante oplysninger at gemme.
Eksempel: Hvis du i forbindelse med en individuel lønforhandling modtager oplysninger om en kollegas seksuelle orientering eller politiske overbevisning, skal du slette oplysningerne allerede, når du modtager dem, fordi de ikke er relevante for lønforhandlingen.
Eksempel: I forbindelse med en afsluttet individuel lønforhandling må du opbevare personoplysninger i form af navn, stilling, titel, løn og begrundelse.
Eksempel: I forbindelse med en afskedigelsessag må du som udgangspunkt opbevare de personoplysninger, som du skønner er relevante for at kunne dokumentere forløbet i sagen og den rådgivning, der er givet. Oplysninger om fx andre kolleger, som ikke er relevante for din vurdering af afskedigelsessagen, skal slettes. Hvis medlemmet fratræder arbejdspladsen eller melder sig ud af DM, må du fortsat gemme personoplysningerne i afskedigelsessagen i 10 år.
12.
Q: Hvad gør jeg gøre, hvis et medlem beder om indsigt?
A: Et medlem har som udgangspunkt ret til at se de personoplysninger, som DM behandler om vedkommende, ligesom formålet med DM’s behandling skal oplyses. Du skal sende anmodningen videre til DM’s sekretariat, da DM har det fulde overblik over, hvilke oplysninger der opbevares om medlemmet.
Du skal desuden fremsende en liste over de oplysninger, du har gemt om medlemmet til DM, såsom navn, adresse, mv.
13.
Q: Kan arbejdsgiver afvise at skrive til mig i en sag under henvisning til persondatareglerne?
A: Nej, arbejdsgiver kan ikke afvise at kommunikere med dig i en sag under henvisning til persondatareglerne. Du kan oplyse arbejdsgiver, at du henvender dig på vegne af medlemmet i henhold til overenskomsten mv. Med andre ord, persondataforordningen har ikke medført nogen materiel ændring af persondatareglerne, og det har som arbejdsgiver hele tiden været muligt at kommunikere med tillidsrepræsentanten.
14.
Q: Hvornår kan jeg som TR kræve personoplysninger udleveret fra arbejdsgiver?
A: Når det er nødvendigt for dig at få oplysningerne fra arbejdsgiver, for at du kan udføre dit tillidshverv, eksempelvis i forbindelse med ansættelse af nye medarbejdere og som forberedelse til lønforhandlinger.
15.
Q: Hvad skal jeg gøre, hvis jeg modtager oplysninger om andre personer end medlemmet i en sag, fx kolleger til medlemmet eller medlemmets chef?
A: Du har som udgangspunkt oplysningspligt, og du skal orientere personen om, at du har registreret oplysninger om vedkommende, og hvad du skal bruge dem til. Du kan dog undlade at foretage underretning, hvis du skønner, at det vil forhindre dig i at udføre dine tillidsrepræsentantsopgaver og skade medlemmets sag.
Eksempel: I forbindelse med din behandling af et medlems afskedigelsessag, har medlemmet sendt dig en række oplysninger om sin arbejdsgiver og sine kollegaer i afdelingen, der viser, at hendes performance har ligget over de andres. I dette tilfælde skal du ikke oplyse dem om, at du behandler deres personoplysninger, da det vil kunne skade medlemmets sag.
16.
Q: Hvad skal jeg gøre, hvis et medlem beder mig slette alle oplysninger om medlemmet fx i forbindelse med, at medlemmet stopper på arbejdspladsen?
A: Henvendelser fra medlemmer om sletning af personoplysninger skal sendes til DM’s sekretariat, der har det fulde overblik over, hvilke oplysninger DM har om medlemmet. Medlemmet har som udgangspunkt ret til at få slettet oplysninger om sig selv, når det ikke længere er nødvendigt at have oplysningerne om vedkommende, eller hvis medlemmet trækker sit samtykke tilbage. Der kan dog være grunde til, at DM alligevel må beholde oplysningerne. Det kan fx være tilfældet, hvis der kører en afskedigelsessag eller der har været en arbejdsulykke, hvor der kan være behov for at kunne dokumentere at den juridiske rådgivning, der har været ydet, har været korrekt.
17.
Q: Må jeg sende medlemsoplysninger videre til andre fagforbund, som eksempelvis er med i den AC-gruppe, der forhandler overenskomsten på arbejdspladsen?
A: Du må kun videresende medlemsoplysninger til andre fagforbund, hvis der hjemmel til det i overenskomsten. Hvis du har brug for at vende en problemstilling om et medlem fx vedrørende en afskedigelsessag med et andet forbund, skal du gøre det i anonymiseret form.
18.
Q: Hvordan skal jeg opbevare persondata?
A: Du skal som TR sikre dig, at du kun gemmer de konkrete oplysninger, som du har brug for at behandle. Det hele skal gemmes i arbejdspladsens sikre system, hvor uvedkommende ikke kan tilgå oplysningerne. Det er ligeledes muligt at printe dokumenterne, men de fysiske dokumenter skal opbevares på en forsvarlig måde, så de ikke er eksponeret for uvedkommende tredjeparter, og data risikerer at blive stjålet eller slettet. Dokumenterne skal låses inde, når du ikke bruger dem og makulere dem, når du er helt færdig med at arbejde med dem.
19.
Q: Hvad skal jeg gøre med data, når jeg stopper som tillidsrepræsentant?
A: Når du fratræder som tillidsrepræsentant, skal du samle alle relevante persondata, du har behandlet og give dem til den nye tillidsrepræsentant. Hvis der ikke vælges en ny tillidsrepræsentant, skal persondata i forbindelse med hvervet makuleres.
20.
Q: Hvad skal jeg gøre, hvis min arbejdsgiver oplyser mig om, at jeg ikke må gemme og opbevare data i arbejdsgivers systemer?
A: Du fastholder, at det er i overensstemmelse med Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, at du gemmer og opbevarer i arbejdsgivers systemer. Hvis din arbejdsgiver trods Datatilsynets udmelding fastholder, at du ikke må gemme og opbevare data, skal du kontakte DM's sekretariat, så finder vi sammen en løsning.
21.
Q: Hvad skal jeg gøre, hvis jeg kommer til at begå databrud ved fx at sende en e-mail med en lønaftale til et medlem og efterfølgende opdager, at jeg har sendt det til en forkert e-mailadresse?
A: Du skriver til den forkerte modtager og beder den pågældende person om at slette e-mailen og bekræfte overfor dig, at den er slettet. Du kontakter straks DM på persondata@dm.dk for at anmelde databruddet. Herefter sender du lønaftalen til den korrekte adresse.
22.
Q: Hvad skal jeg gøre, hvis arbejdsgivers system bliver hacket?
A: Hvis arbejdspladsens it-system bliver hacket, kan det ikke udelukkes, at uvedkommende har haft adgang til personoplysninger. Det er din arbejdsgiver, der er ansvarlig for at anmelde bruddet til Datatilsynet for de personoplysninger, der er indhentet og bliver behandlet som led i virket på arbejdspladsen. DM er dataansvarlig for de oplysninger, du har som TR behandler på medlemmernes vegne, og DM er således ansvarlig for at anmelde et brud på medlemmernes datasikkerhed til Datatilsynet. DM er også ansvarlig for at vurdere, om de berørte personer skal orienteres om databruddet. Du vil sammen med DM efterfølgende være ansvarlig for at orientere de berørte medlemmer, hvis det vurderes nødvendigt.
Nyttige link
- Datatilsynets vejledninger
- Databeskyttelsesforordningen
- Databeskyttelsesloven
- DM's privatlivspolitik
- Aftale i staten om tillidsrepræsentanters behandling af personoplysninger i arbejdsgivers it-systemer
- Standardaftale i kommuner og regioner til behandling af personoplysninger under anvendelse af et IT-system/IT-systemer
- Sådan sletter du i fysiske og elektroniske dokumenter