Gå til sidens indhold

Persondatapolitik for tillidsrepræsentanter

Digitaliseringen betyder, at vi som fagforening og tillidsvalgte, har fået en større opgave i at passe på medlemmernes data. Denne politik er dit arbejdsgrundlag, som du skal læse og følge, når du udfører dine opgaver.

I maj 2018 trådte de opdaterede regler for behandling af persondata i kraft. Med de nye regler og vejledninger blev det også mere klart, at DM og DM’s tillidsrepræsentanter i fællesskab er forpligtet til at følge de samme regler, når vi behandler og tager vare på vores medlemmers persondata.

DM er dataansvarlig for din behandling af data som tillidsrepræsentant. Læs mere om bemyndigelsen og dataansvar.

For at gøre det så let og sikkert som muligt at leve op til kravene i persondatalovgivningen, har DM udarbejdet denne persondatapolitik. Som tillidsrepræsentant er du DM's lokale repræsentant på arbejdspladsen, og du håndterer oplysninger om medlemmerne sammen med DM.

Persondatapolitikken for DM-tillidsrepræsentanter indeholder derfor først og fremmest de samme definitioner og principper som de andre persondatapolitikker, der bliver brugt i DM's sekretariat, men den tager også højde for de opgaver, du sidder med som tillidsrepræsentant. Den anden del af politikken handler direkte om persondata i dit daglige arbejde. Og endelig er der udarbejdet en Q&A, som løbende bliver udvidet med nye spørgsmål og svar.

Området er nyt for alle, så der opstår hele tiden nye spørgsmål, og der vil også komme ændringer undervejs. Kontakt din faste konsulent i DM, hvis du har spørgsmål, undrer dig, eller møder en praksis på arbejdspladsen, som gør det vanskeligt at overholde persondatareglerne. Vi forsøger at gøre, hvad vi kan for at sikre, at de nye regler bliver til at håndtere i praksis.

Persondatapolitikken er et dynamisk dokument, som løbende vil blive opdateret med flere detaljer i takt med, at Datatilsynet fastlægger sin praksis i forhold til de nye persondataregler.

Når du læser politikken, vil du opdage, at der er flere situationer, som indebærer, at du som tillidsrepræsentant foretager et skøn indenfor den ramme, persondatapolitikken sætter. Fx er det dig som tillidsrepræsentant, der skønner, om det er nødvendigt at gemme alle de personoplysninger, du har indsamlet i forbindelse med en lønforhandling.

Til sidst i dette dokument kan du finde links til relevant lovgivning, datatilsynets vejledninger om databeskyttelse og DM’s privatlivspolitik.

Typer af personoplysninger 

Personoplysninger er alle oplysninger, der kan bruges til at identificere en bestemt person. Det gælder både direkte, fx når et navn står på en medarbejderliste og indirekte, fx når et navn er erstattet af et medarbejdernummer.

Der findes tre kategorier af personoplysninger:

 1) Almindelige personoplysninger: Alle personoplysninger, der hverken er følsomme eller fortrolige personoplysninger. Det er eksempelvis navn, adresse, fødselsdato, stillingsbetegnelse og telefonnummer – og listen er ikke udtømmende.

2) Følsomme personoplysninger: En fast gruppe oplysninger, der omfatter race, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og oplysninger om seksuelle forhold eller seksuel orientering.

3) Fortrolige personoplysninger: Personoplysninger om rent private forhold, herunder CPR-nummer, oplysninger om strafbare forhold samt negativt ladede oplysninger om blandt andet uddannelses- og ansættelsesmæssige forhold samt indtægtsoplysninger, eksempelvis afslag på tillæg, bortvisningsårsag, oplysninger om en ikke-bestået eksamen samt gældsforhold. Hertil kommer oplysninger om interne familieforhold, fx oplysninger om selvmordsforsøg og ulykkestilfælde.

Husk, at følsomhed og fortrolighed ikke er det samme.

Din hjemmel 

Helt overordnet kan man sige, at du altid skal have grundlag for (hjemmel til) at behandle personoplysninger. Det gælder både, når du behandler oplysninger om medlemmer, men også når du behandler oplysninger om andre, fx en arbejdsgiver, kolleger til et medlem eller medlemmets familie. Du vil i det daglige arbejde ofte have grundlag for at behandle personoplysninger i kraft af dit tillidshverv.

Læs mere om relationen mellem DM og tillidsrepræsentanter i forbindelse med behandling af persondata, og hvorfor tillidshvervet giver dig et grundlag for at behandle persondata.

Principper for behandling af personoplysninger 

Behandlingen af personoplysninger skal altid følge nedenstående fire principper:

1) Formålsbegrænsning, som betyder, at der skal være et klart formål med at indsamle og gemme personoplysningerne. Du må gerne indsamle og beholde oplysninger, som du skønner, at du får behov for, for at kunne varetage dit TR-hverv. Hvis du kommer i tvivl om formålet med at indsamle og behandle de enkelte oplysninger, skal du altid spørge din faste kontaktperson i DM.

Eksempel: Du må gerne indsamle og gemme personoplysninger, som du vurderer, du har behov for, for at kunne dokumentere forløbet og resultatet i en lønforhandling.

2) Dataminimering, som betyder, at du kun må behandle personoplysninger i det omfang, det er nødvendigt for at løse den opgave, du sidder med, og ellers skal du lade være. Hvis du modtager personoplysninger fra et medlem, der ikke er relevante for det, som du hjælper medlemmet med (eller for medlemskabet af DM), skal du slette oplysningerne. Når du etablerer lister eller oversigter, skal du ligeledes kun tage de oplysninger med, der er nødvendige.

Eksempel: Hvis du i forbindelse med en lønforhandling modtager oplysninger om en kollegas seksuelle orientering eller politiske overbevisning, skal du slette oplysningerne allerede, når du modtager dem, fordi de ikke relevante for lønforhandlingen.

Eksempel: I en lønliste vil CPR-nummer eller fagforeningsmedlemsskab ikke være nødvendige oplysninger, mens navn, tillæg og lønsammensætning kan være relevante oplysninger.

Eksempel: Hvis du vurderer, at du i dit TR-hverv har brug for en liste, hvor fagforeningsmedlemskab er relevant, kan du opbevare denne til egen brug, men du skal undlade at dele oplysningerne med andre.

3) Rigtighed, er et princip, der forpligter dig til at sørge for, at de personoplysninger, du og DM behandler, er korrekte og ajourførte, når du bliver gjort opmærksom på det. Det er en god ide med jævne mellemrum at minde medlemmerne om at gå ind på Mit DM på www.dm.dk og opdatere deres profiloplysninger.

Eksempel: Når du får en ny kollega, som du skal repræsentere, er det vigtigt, at du husker vedkommende på selv at opdatere sit nye ansættelsessted på Mit DM på www.dm.dk.

Eksempel: Hvis et medlem fortæller dig, at vedkommende er flyttet til en ny adresse eller har skiftet navn, er det vigtigt, at du husker medlemmet på at opdatere sine profiloplysninger på Mit DM på dm.dk.

4) Opbevaringsbegrænsning, som betyder, at du skal slette alle personoplysninger, der ikke længere er nødvendige for dig at have. Forhold dig løbende til, hvilke oplysninger det er relevant for hvervet, at du gemmer. I DM’s sekretariat opbevarer vi medlemssager i 10 år, fra medlemmet har meldt sig ud af DM, eller 10 år fra medlemmet har forladt arbejdsmarkedet.

Eksempel: I forbindelse med en afsluttet lønforhandling, kan du opbevare personoplysninger i form af navn, stilling, titel, løn og begrundelse. Du må også gerne opbevare f.eks. et C.V, hvis du vurderer det er relevant.

Eksempel: I forbindelse med en afskedigelsessag må du som udgangspunkt opbevare de personoplysninger, som du skønner er relevante, for at kunne dokumentere forløbet i sagen og den rådgivning, der er givet. Oplysninger om fx andre kolleger, som ikke er relevante for din vurdering af afskedigelsessagen, skal slettes. Hvis medlemmet fratræder arbejdspladsen eller melder sig ud af DM, må du fortsat gemme personoplysningerne i afskedigelsessagen i 10 år.

Databrud

Databrud betyder, at nogle personoplysninger ikke er blevet tilstrækkeligt beskyttet og potentielt er tilgængelige for folk, som de ikke bør være tilgængelige for. Risikoen for databrud forøges, når man arbejder med personoplysninger, der kræver en hurtig behandling.

DM arbejder på at hjælpe alle med at undgå, at der sker databrud, men indimellem vil de opstå. De klassiske former for databrud er:

  • hvis du kommer til at sende en e-mail til en forkert modtager med personoplysninger i
  • hvis din taske bliver stjålet med en medlemsliste i
  • hvis du ved en fejl sletter medlemsoplysninger
  • hvis DM's eller andre it-systemer bliver hacket.

Der er helt særlige regler for databrud og i den forbindelse nogle meget stramme tidsfrister, da DM som udgangspunkt er forpligtet til at give besked til Datatilsynet om databruddet inden for 72 timer. Hvis du oplever et databrud, eller hvis du er i tvivl, om der er sket et databrud, skal du altid hurtigst muligt kontakte persondata@dm.dk. Det er vigtigt, at du altid melder et databrud straks, så DM kan tage hånd om det.

Oplysningspligt 

Når det kommer til medlemmernes egne oplysninger, ved de allerede godt via deres medlemskab, at vi i DM og dermed også, at du som led i tillidsrepræsentanthverv behandler deres oplysninger, og derfor behøver du ikke foretage dig yderligere.

Oplysningspligten betyder grundlæggende set og som en hovedregel, at man har pligt til at kontakte de personer, hvis oplysninger man er i besiddelse af og orientere dem om, at man behandler deres oplysninger, og hvad der vil ske med deres oplysninger. Men det gælder ikke, hvis oplysningerne er omfattet af tavspligten, hvilket de som udgangspunkt vil være, når du kommer i besiddelse af personoplysninger i din egenskab af tillidsrepræsentant.

Tavshedspligten gælder også som en undtagelse når du behandler oplysninger om andre end medlemmer: Du har fx tavshedspligt, hvis et medlem har bedt om din hjælp, fordi han eller hun føler sig uretfærdigt behandlet eller vil rejse et krav om manglende løn eller godtgørelse, og du i den forbindelse modtager personoplysninger om andre end de medlemmer, du er tillidsrepræsentant for. Det kan være en arbejdsgiver eller andre kolleger. Som tillidsrepræsentant skal medlemmerne selvfølgelig kunne regne med din fortrolighed, når du hjælper dem.

Du kan altid kontakte din faste kontaktperson i DM for at høre mere om, hvornår der skal gives besked til andre end medlemmer om, at du behandler deres oplysninger. Men husk, at hvis der grundlæggende set ikke er nogen årsag til at gemme og behandle oplysningerne, så slet dem. På den måde undgår du helt at skulle overveje reglerne om oplysningspligt.

Dit daglige arbejde 

Når du hjælper medlemmerne i en konkret sag, modtager du i de fleste tilfælde både almindelige, fortrolige og følsomme personoplysninger. Du skal passe godt på alle typer oplysninger, men når det kommer til følsomme og fortrolige personoplysninger såsom CPR-numre, helbredsoplysninger og oplysninger om strafbare forhold, skal du være ekstra opmærksom.

De nye regler for behandling af persondata lægger op til, at fagforeningerne gentænker måden, som tillidsrepræsentanter og sekretariatet gemmer og videreformidler personoplysninger, især via e-mails.

DM samarbejder med Akademikerne og de andre faglige organisationer om at finde en god og brugbar løsning. Indtil da skal du fortsætte med at bruge de systemer, du har brugt hidtil, og gøre som du plejer. Hvis din arbejdsplads giver dig en anden besked, skal du endelig tage kontakt til en af DM’s konsulenter, og så finder vi en løsning.

Fysiske dokumenter

De fleste personoplysninger vil du i praksis arbejde med i elektroniske dokumenter og via e-mails. Nogle gange vil du formodentlig stadig have fysiske papirer, som du for eksempel har printet for at tage med til et møde. Generelt gælder det, at når du arbejder med fysiske dokumenter, har du ansvaret for at passe på dem: Sørg for at opbevare dem sikkert, indtil du kan smide dem ud, og husk, at dokumenter med personoplysninger altid skal i en makuleringsspand.

Det er vigtigt, at du husker, at sikkerhedskravene også gælder for de materialer, du har derhjemme. Det vil sige, at hvis du tager papirer med hjem, om det er print eller noter i en notesbog, skal du sørge for, at de låses inde et sted, hvor det kun er dig, der har adgang. På den måde er du med til at sikre, at medlemmerne ikke oplever databrud.

Videregivelse af medlemsoplysninger

Ordet videregivelse har en særlig betydning, når det kommer til persondata. For videregivelse af personoplysninger betyder, at du giver personoplysninger videre til en modtager udenfor DM, og at modtageren selv kan bestemme over oplysningerne, har ansvaret for dem, osv. Det vil fx være tilfældet, når du giver oplysninger til en arbejdsgiver – men ikke når du kommunikerer med en anden DM-tillidsrepræsentant/DM-tillidsrepræsentantsuppleant eller en konsulent i DM’s sekretariat.

Før du videregiver medlemsoplysninger til arbejdsgivere eller andre, skal du altid tjekke, at der er grundlag for, at du videregiver oplysningerne. Grundlag betyder her, at medlemmet har givet samtykke til det, ved fx konkret at bede dig om det. Hvis det ikke er tilfældet, må du sandsynligvis ikke videregive oplysningerne om medlemskabet, før du har fået samtykke. Spørg derfor altid gerne medlemmet en ekstra gang, hvis du er i tvivl.

Der kan også opstå situationer, hvor du skal videregive oplysninger til for eksempel myndigheder, forsikrings- og pensionsselskaber eller andre tredjeparter. I det tilfælde skal du også altid sørge for at undersøge, at du har et grundlag for at videregive oplysningerne.

Oplysninger om navn og lønforhold er nødvendige oplysninger i forhold til drøftelse af de forhandlinger, som foregår på arbejdspladsen. Du må derfor gerne videregive oplysningerne til de kolleger, der er omfattet af overenskomsten. Det gælder både medlemmer og ikke-medlemmer af DM, når medarbejderen blot er omfattet af overenskomsten.  Det gælder for løn og tillæg og for begrundelser for tillæg, så længe de ikke indeholder negativt ladede udtalelser om medlemmet/ikke-medlemmet.

Lønforhandling ved nyansættelser

Hvis DM har forhandlingsretten til at forhandle løn for nyansatte, må og skal din arbejdsgiver videregive oplysninger om de nyansattes navn, kvalifikationer og løn- og anciennitetsindplacering mv. til dig som tillidsrepræsentant, så du kan varetage dit tillidshverv. Når en forhandling er færdig, skal du sørge for at slette de oplysninger, du ikke har nogen grund til at gemme.

Eksempel: Du må gerne indsamle og gemme personoplysninger, som du vurderer, du har behov for, for at kunne dokumentere forløbet og resultatet i en lønforhandling.

Eksempel: Hvis du i forbindelse med en lønforhandling modtager oplysninger om en kollegas seksuelle orientering eller politiske overbevisning, skal du slette oplysningerne allerede, når du modtager dem, fordi de ikke er relevante for lønforhandlingen.

Generel lønforhandling

På de fleste arbejdspladser vil du som tillidsrepræsentant være inddraget i lønforhandlinger. For at du kan udføre opgaven, vil det normalt være nødvendigt, at arbejdsgiver videregiver en række lønoplysninger om de ansatte til dig som tillidsrepræsentant. Det skal arbejdsgiver gøre.

Arbejdsgiver skal videregive lønoplysninger eller andre oplysninger om alle de kolleger, du repræsenterer, både medlemmer af DM, medlemmer af andre fagforeninger og kolleger, der ikke er medlem af en fagforening, hvis oplysningerne er relevante for din udøvelse af forhandlingsretten eller for varetagelsen af tillidshvervet i øvrigt.

Eksempel: Din arbejdsgiver skal videregive oplysninger til dig om løn og løntillæg og begrundelser for tildeling.

Eksempel: Du må gerne indsamle og gemme personoplysninger, som du vurderer, du har behov for, for at kunne dokumentere forløbet og resultatet i en lønforhandling.

Eksempel: Hvis du i forbindelse med en lønforhandling modtager oplysninger om en kollegas seksuelle orientering eller politiske overbevisning, skal du slette oplysningerne allerede, når du modtager dem, fordi de ikke er relevante for lønforhandlingen

Personlig vidensdatabase

Du vil nogle gange modtage dokumenter fra DM’s sekretariat, advokater, arbejdsgivere eller andre med formuleringer eller afsnit, som er gode, og som du gerne vil gemme og søge inspiration i senere. Det kan være alt lige fra opsigelser og fratrædelsesaftaler til medlemslister og almindelige breve.

Alle de dokumenter må du gerne gemme i din egen eller en fælles vidensdatabase, men de må ikke indeholde personoplysninger. Du skal derfor anonymisere dokumenterne, oftest ved at slette navne, e-mailadresser, CPR-numre, arbejdssteder og titler. Din opgave er at sørge for, at ingen (heller ikke dig selv), der læser listen bagefter, kan gætte, hvem det handler om, heller ikke ved at lægge oplysninger sammen og søge på Google. Du må altså ikke opfinde dit eget nummersystem eller en anden nøgle, som du kan bruge til at finde ud af, hvem der er hvem.  

Du sletter nemmest i fysiske dokumenter ved at strege over med en sort tusch og i elektroniske dokumenter ved at strege over med sorte firkanter i pdf’er. Husk at sikre dig, at den sorte markering ikke kan slettes igen.

Gode arbejdsvaner

Mange kolleger på arbejdspladsen må ikke få adgang til de samme oplysninger om DM-medlemmer, som du har adgang til.

Sørg derfor for, at dine kolleger og andre medlemmer på din arbejdsplads ikke kigger dig over skulderen og ser med på din skærm, når du arbejder med dine tillidsrepræsentantopgaver. Du skal ligeledes huske at låse din skærm, hver gang, du forlader din computer og dine andre devices, som telefon, iPad, osv. Det gælder også, selvom du bare skal ud og hente en kop kaffe.

Hvis du arbejder på en bærbar computer, eksempelvis på arbejdspladsen, i toget, hjemme, eller på en café, skal du også sikre dig, at det ikke er muligt for andre at kigge med på din skærm. Du kan med fordel anvende et skærmfilter, som gør, at det kun er dig, der kan se, hvad der foregår på din skærm. Du skal bruge filteret, hver gang der er mennesker omkring dig, som ikke skal kunne følge med i, hvad du arbejder med.

Når du sender mail til mange, skal du altid bruge Bcc-feltet. Og hvis du gemmer dokumenter, skal du altid huske at slette personoplysninger.

Bemyndigelse og dataansvar

Relationen mellem tillidsrepræsentanter og DM som dataansvarlig skal ses i lyset af den almindelige tillidsrepræsentantsbemyndigelse. Det vil sige:

Valget af DM-tillidsrepræsentanter og DM-fællestillidsrepræsentanter sker på grundlag af reglerne om dette i den relevante overenskomst.

Tillidsrepræsentantens kompetencer beror også på overenskomsten. Når en tillidsrepræsentant eksempelvis har kompetence til at indgå generelle aftaler om løntillæg, skyldes det, at tillidsrepræsentanten i kraft af overenskomsten har en formel bemyndigelse til at indgå sådanne aftaler.

Relationen mellem fagforening og tillidsrepræsentant hviler på, at tillidsrepræsentanten i sit virke handler på vegne af DM og indgår på lige fod med alle andre, der er tilknyttet til DM som medarbejdere, bestyrelsesmedlemmer eller lignende. Tillidsrepræsentanten er så at sige DM’s forlængede arm på arbejdspladsen.

Tillidsrepræsentanter vil som en del af hvervet behandle personoplysninger herunder almindelige, fortrolige og følsomme oplysninger. Oplysningerne behandler tillidsrepræsentanten på vegne af DM og efter de samme principper, retningslinjer og politikker som DM har implementeret. DM har formelt set ansvar for og beføjelse til at instruere alle medarbejdere og tillidsrepræsentanter i, hvordan man som en del af DM håndterer og tager vare på persondata. Det gør vi blandt andet i vores politik for tillidsrepræsentanters behandling af persondata, som alle tillidsrepræsentanter får udleveret og bliver bedt om at læse.

Nyttige links

Datatilsynets vejledning (pdf) 

Databeskyttelsesforordningen

DM’s privatlivspolitik