Så påverkar GDPR dig som är förtroendevald

Sedan 25 maj 2018 gäller de nya dataskyddsreglerna inom EU, GDPR. De gäller även dig som är fackligt förtroendevald. Här samlar vi allt du som förtroendevald behöver veta om GDPR och dokumenthantering.

Detaljbild på händer vid ett tangentbord.

Vad är GDPR? 

GDPR står för General Data Protection Regulation och ersätter den svenska personuppgiftslagen PUL. Lagen gäller från 25 maj 2018, och är en gemensam lagstiftning inom EU som reglerar hur företag och andra aktörer får behandla personuppgifter – information som direkt eller indirekt kan knytas till en person så som namn, personnummer, adress. Om reglerna i denna förordning bryts, kan kännbara sanktionsavgifter bli resultatet.  

Hur påverkar det dig som är förtroendevald?

Syftet med den nya förordningen är att skydda personuppgifter, och förordningen betonar att facklig tillhörighet är en känslig uppgift vilket betyder att du som förtroendevald har ett stort ansvar att skydda våra medlemmars uppgifter.I ditt fackliga förtroendeuppdrag är det viktigt att du tar hänsyn till GDPR och är mån om att inte sprida eller spara känsliga personuppgifter. Om lagen bryts, måste en så kallad personuppgiftsincident rapporteras. Detta kan du göra här samt läsa mer om i dokumentet nedan.

GDPR-utbildning för fackligt förtroendevalda

Som förtroendevald i ett fackförbund behandlar du ibland medlemmarnas personuppgifter. Enligt GDPR är medlemskap i fackförbund en känslig personuppgift. Detta innebär att stränga regler och extra höga krav gäller för hantering av medlemsuppgifterna. Skaffa dig den kunskap du behöver med Sacos GDPR-utbildning för förtroendevalda. Utbildningen tar bara 30 minuter och avslutas med ett kunskapstest.

Spännande, ta mig till utbildningen!

GDPR och sociala medier

Vad behöver man som förening tänka på med hänsyn till GDPR i samband med publicering på sociala medier?
• Fråga publiken/föreläsaren om samtycke innan fotografering. Vi ska respektera en persons vägran att lämna samtycke. (Rättslig grund).
• Informera tydligt om att foton kommer att läggas upp på sociala medier och eventuellt andra platser. (Ändamål).
 
Ett bra tips är att anteckna de tillfällen som fotografering skett, och att godkännande har givits (dokumentationskrav). Rutinen kan tillämpas vid till exempel årsmöten, föreläsningar och mässor. Genom att ha en skriftlig rutin om dessa saker kan vi förebygga incidenter och missförstånd.

Dokumenthantering lokalt och regionalt

Det är viktigt att bevara vissa handlingar för framtiden, som kan spegla verksamheten historiskt. Det kan handla om forskning om fackförbundets egna historia, annan forskning, exempelvis om olika yrkesgruppers historiska utveckling samt om enskilda personer. Nedan finns förbundets dokumenthanteringsplan för lokal och regional organisation. Där framgår vad som ska levereras till förbundskansliet och vad som kan sparas för egna behov och vad som kan gallras.

Att tänka på

  • En personuppgift är i princip vad som helst som direkt eller indirekt kan användas för att identifiera en fysisk person.
  • Vid utskick till flera medlemmar samtidigt ska mottagarnas e-postadresser enbart stå i fältet Hemlig kopia. Det är viktigt eftersom vi inte vill röja vilka som är medlemmar då detta är en känslig personuppgift. Undvik även att i rubriken ange att mottagaren är medlem i ett förbund.
  • Använd endast kontaktuppgifter till medlemmar som ni har fått från förbundet.
  • Alla listor och dokument som innehåller uppgifter om medlemmar ska raderas så snart de inte längre är aktuella, och inga egna medlemslistor ska sparas. Om du behöver spara exempelvis en lista över löner efter avslutad lönerevision för att kunna följa löneutvecklingen måste denna avidentifieras eller att en sammanställning förs utan uppgift på individnivå.
  • Röj inte uppgifter om vilka personer som är medlemmar för någon annan än förtroendevald på arbetsplatsen. Kommer frågan från arbetsgivaren som vill kalla till förhandling och då vill veta om du ska företräda personen så har du rätt att svara på denna fråga.
  • Om någon medlem vill ta del av ett MBL-protokoll i vilket medlemmen berörs bör detta göras muntligen, i annat fall behöver protokollet avidentifieras så att endast personuppgifter från berörd medlem finns med.