Behandling av personopplysninger

- Veileder for tillitsvalgte i Tekna

Veilederens formål

Denne veilederen regulerer hvordan Teknas tillitsvalgte lovlig skal behandle personopplysninger etter bestemmelsene i personopplysningsloven og personvernforordningen, The General Data Protection Regulation, GDPR.

Den hovedtillitsvalgte plikter å sørge for at innholdet i denne veilederen gjøres kjent for de øvrige tillitsvalgte i sin virksomhet. Alle tillitsvalgte plikter å sette seg inn i og følge innholdet i denne veilederen.

Organisering

Teknas sekretariat ved generalsekretæren er øverste ansvarlige for at behandlingen av personopplysninger foregår etter personopplysningslovens bestemmelser.

Den tillitsvalgte har ansvaret for behandlingen av medlemmenes personopplysninger lokalt.

Hvilke opplysninger behandles og hvorfor

Den tillitsvalgte behandler personopplysninger for å ivareta medlemmenes interesser. Tillitsvalgte behandler i denne forbindelse oftest medlemsopplysninger, lønnsopplysninger, opplysninger knyttet til konfliktberedskap, samt opplysninger tilknyttet individuell bistand til det enkelte medlem.

Tillitsvalgte behandler opplysninger om medlemmer med behandlingsgrunnlag i personopplysningsloven § 6 og personvernforordningen, jf GDPR art 9 nr 1 og 2 og GDPR art 6 nr 1 b (medlemsavtalen med Tekna).

Tilgang til personopplysninger

Tilgang til personopplysninger skal være rollestyrt. Det vil si at kun den i styret lokalt som er oppnevnt som saksbehandler har tilgang til saksbehandlingsrelaterte personopplysninger. Har flere tillitsvalgte et saklig behov for tilgang til de samme dokumentene, kan disse lagres på et fellesområde med tilgangskontroll. Dette gjelder både e-post, andre elektroniske dokumenter og papir.

Om e-post spesielt, må det merkes at tillitsvalgte kan benytte sin normale epostadresse hos arbeidsgiver, men e-post mottatt i funksjon av å være tillitsvalgt må da lagres i et mappesystem som tydelig viser at innholdet er tillitsvalgtrelatert. F.eks. merket «Teknas bedriftsgruppe i …» Dette på grunn av at arbeidsgiver i noen situasjoner kan ha saklig grunnlag for tilgang til e-posten din.

Sikker oppbevaring og behandling av personopplysninger

Papirdokumenter

Alle papirdokumenter med personopplysninger skal til enhver tid oppbevares og behandles på en måte som minimerer uvedkommendes innsyn. Ved arbeidsdagens slutt skal alltid slike dokumenter oppbevares i låst skap.

Elektroniske dokumenter

Arbeidsgiver skal sørge for at IT-systemene ivaretar krav til sikkerhet. Teknas tillitsvalgte har et medvirkningsansvar for dette.

Ekstern tilkobling til arbeidsplassen skjer gjennom kryptert VPN-tunnel eller sikkerhetstiltak med tilsvarende sikkerhetsnivå.

Elektroniske forsendelser

Der sensitive personopplysninger sendes elektronisk, herunder medlemslister som avslører fagforeningsmedlemskap, skal dette være kryptert og passordbeskyttet. 

Ansvar for å oppdatere opplysninger

Den enkelte tillitsvalgt har ansvaret for at opplysningene er så korrekte og oppdaterte som mulig i forhold til formålet med behandlingen. Ansvaret gjelder før databehandling skjer. Det er ikke krav til at opplysningene skal være oppdaterte hele tiden.

Skifte av tillitsvalgt

Ved skifte av tillitsvalgt gjennomgår tidligere tillitsvalgt lagrede personopplysninger og sletter de som ikke lenger er nødvendige, for deretter å overføre opplysningene til personen som tar over vervet eller den nærmere oppfølgingen.

Dersom den avgåtte tillitsvalgte har bistått et medlem i en enkeltsak, må medlemmet samtykke til at personopplysningene i saken overføres til ny tillitsvalgt.

Sletting av personopplysninger

Personopplysninger skal slettes når det ikke lenger er lovlig behandlingsgrunnlag for oppbevaring:

  1. Tillitsvalgte er ansvarlig for personopplysninger i forbindelse med eget medlemsregister, og skal sørge for at personopplysninger til enhver tid er oppdaterte og korrekte, og at opplysningene slettes ved utmelding.
  2. Den enkelte tillitsvalgt er ansvarlig for personopplysninger i forbindelse med oppfølging av det enkelte medlem. Tillitsvalgt skal påse at det ikke lagres/oppbevares flere personopplysninger om medlemmet enn nødvendig for formålet. Etter avsluttet saksbehandling slettes opplysningene. Tillitsvalgte bør oppfordre medlemmet til å ta vare på relevant dokumentasjon.
  3. Tillitsvalgte er ansvarlig for fortløpende sletting av dokumenter med personopplysninger lagret på eventuelt fellesområde. Dokumentene slettes når det ikke lenger er saklig behov for å oppbevare dem.
  4. Dokumenter tilknyttet tillitsvalgtes rolle i ansettelsesutvalg slettes senest etter 5 år, dette for å sikre likt grunnlag og lønnsvekst.
  5. Lønnsopplysninger i medlemsoversikter over flere år kan benyttes i forbindelse med lønnsforhandlinger, men medlemmer som har sluttet i bedriftsgruppen må enten slettes eller anonymiseres.  Lønnslister relatert til navn i forbindelse med lønnsforhandlinger skal også slettes senest etter 3 år, dette for å kunne vise til historikk, sikre likt grunnlag og lønnsvekst.

Innsyn i behandling av personopplysninger

Medlemmer av Tekna har krav på innsyn i lagrede opplysninger om seg selv, både sentralt og lokalt i foreningen. Medlemmet kan kreve at denne informasjon blir gitt skriftlig. Innsyn og/eller utskrift av lagrede personopplysninger skal gis uten unødig opphold og senest innen 30 dager fra forespørsel er mottatt. Tillitsvalgt kan be om skriftlig forespørsel, for å kunne dokumentere svartid. Personvernombudet kan alltid kontaktes.

Det enkelte medlem kan også be om innsyn i egne personopplysninger i Teknas sekretariat på post@tekna.no

Lønnsopplysninger - innsyn

A.    Innsyn i egne medlemmers lønnsopplysninger

Tillitsvalgte blir enkelte ganger nektet innsyn i lønnsopplysninger om medlemmer i egen bedrifts- eller etatsgruppe. Behandlingsgrunnlaget for å kreve slikt innsyn er da medlemsavtalene med Tekna, samt tariffavtalen som hjemler lokale, kollektive lønnsforhandlinger for de av våre medlemmer som er tilsluttet en lokal bedriftsgruppe. Riktig hjemmel er GDPR art 6 nr 1 bokstav b (medlemsavtalen med Tekna), samt personopplysningsloven § 6, jf art 9 nr 2 bokstav d, se lenker pkt 18. Datatilsynet har verifisert at dette er riktig lovanvendelse.

B.     De viktigste bestemmelsene om innsyn i lønnsopplysninger i virksomheten ut over egne medlemmer er:

  1. Innsyn i lønnsopplysninger i privat virksomhet kan gjøres dersom lønnsopplysningene kategoriseres i lønnsgrupper dersom det er fem eller flere ansatte innenfor samme stillingskategori.
  2. Innsyn på lønnsgrupper færre enn fem kan gis dersom den tillitsvalgte signerer taushetserklæring. Forutsetningen da er at innsynet ikke avslører fagforeningsmedlemskap.
  3. Innsyn i lønnsopplysninger i offentlig virksomhet gis med grunnlag i offentlighetsloven. Slike opplysninger kan det likevel ikke gis innsyn i dersom innsynet avslører fagforeningsmedlemskap.

Husk at medlemmenes interesser også kan ivaretas ved at tillitsvalgte i andre fagforeninger ikke gis innsyn i Tekna- medlemmenes lønnsvilkår.

Annen saksbehandling

Utlevering av personopplysninger til tredjepart

Tillitsvalgte skal ikke utlevere medlemmenes personopplysninger til tredjepart dersom det ikke er et lovlig behandlingsgrunnlag for utlevering av slike opplysninger. Lovlig behandlingsgrunnlag kan f eks være: Personopplysninger utleveres arbeidsgiver i forbindelse med de lokale, kollektive lønnsforhandlingene, eller ved varsel om plassoppsigelse til Riksmekler i forbindelse med arbeidskonflikt.

Utsendelse av medlemspost

Informasjon til flere medlemmer via e-post sendes ut ved å plassere mottakerne i blindkopifeltet.

Innsyn i e-post

Tillitsvalgte kan bli involvert i saker hvor arbeidsgiver krever innsyn i ansattes e-post. Dette fordi arbeidstaker, dersom praktisk mulig, kan be en tillitsvalgt om å være tilstede under gjennomføringen av innsynet, se Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale.

Oversendelse av personopplysninger til Teknas sekretariatet

Den enkelte tillitsvalgte er ansvarlig for oversendelse av personopplysninger til sekretariatet. Eventuelle kopier, duplikater samt overskuddsmateriale slettes/makuleres umiddelbart etter oversendelsen.

Ansvar for å føre protokoll

Det kan være hensiktsmessig å sette opp en mindre protokoll for oversikt over personvernrutinene lokalt med følgende overskrifter og eksempler: 

Type data

Formål

Grunnlag

Risiko, følsomhet

Behandlingsansvarlig og praksis

Lokal medlemsliste med informasjon om:

– medlemsnummer

– eksamensår

– doktorgradår

– ansettelsesforholdet – lønn

– om vedkommende ønsker å være innmeldt i lokal gruppe

 

 

For å ivareta avtalen som medlemskapet innebærer lokalt og sentralt, herunder:

- Ha grunnleggende data for lokale lønnsforhandlinger.

- Arbeide for at forskjeller skal være basert på prestasjoner og ikke usaklige diskriminerende faktorer.

- Tillate medlemmene å kontrollere lokal virksomhet gjennom årsrapport og årsmøte

- Formidle opplysninger til VIRKSOMHETEN som vi er pålagt å formidle i hht hovedavtalen og hovedtariffavtalen.

- Formidle opplysninger til Tekna sentralt som Tekna sentralt trenger som forberedelse til sentrale forhandlinger.

 

Forordningens artikkel 9 punkt 2.d,
GDPR art 6 nr 1 b (medlemsavtalen med Tekna),

samt nasjonale tilpasninger i personopplysnings-loven § 6.

 

Fagforeningsmedlemskapet og endringer i dette kan være følsom.

Eksamensår og doktorgradår er lite følsomt.

Data om ansettelsesforholdet inkludert e-post er i stor grad åpent tilgjengelig for alle ansatte og følsomt kun ovenfor eksterne.

Lønn offentlig sektor er prinsipielt sett offentlig informasjon og lite følsomt.

Tilgang: Styret i den lokale gruppen

 

Statusendring og sletting:

Medlemmer blir slettet ett år etter registrert fratreden fra arbeidsplassen eller ett år etter utmelding av Tekna sentralt.

 

Egenkontroll

Rutiner og tiltak beskrevet her bør gjennomgås årlig for å bekrefte at de fungerer etter hensikten.

Avvikshåndtering

Ved vesentlig brudd på personopplysningssikkerheten, skal tillitsvalgte umiddelbart ta kontakt med personvernombudet i Tekna som står for dialogen med Datatilsynet og de berørte medlemmene.

Personvernombudet skal melde fra til Datatilsynet, med mindre det er lite trolig at bruddet vil medføre risiko for fysiske personers rettigheter og friheter. Varsling må skje senest 72 timer etter at tillitsvalgte har fått kjennskap til bruddet. Også de berørte medlemmene skal varsles, med mindre det er truffet etterfølgende tiltak som sikrer at det er lite trolig at den høye risikoen vil oppstå. Personvernombudet holder berørte tillitsvalgte informert om avvikshåndteringen.

Definisjoner

Behandling er all bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet.

Databehandleravtale er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles av databehandler på vegne av behandlingsansvarlig.

Internkontroll er systematiske tiltak som skal sikre at aktivitetene i en virksomhet planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i lov eller forskrift. Risikovurderinger og avvikshåndtering er sentrale elementer i et internkontrollsystem.

Lovlig behandlingsgrunnlag er rettslig grunnlag for å behandle personopplysninger. Dette kan for eksempel være; avtale, formell lov, berettiget interesse eller samtykke.

Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Sensitive personopplysninger (GDPR art 9 og 10 «særlige kategorier av personopplysninger» og «straffedommer og lovovertredelse») er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforening.  

Tips

  • Det er krav om personvernombud, men Teknas personvernombud kan fungere som personvernombud også for ditt lokallag.
  • Husk at fagforeningsmedlemskap er en sensitiv personopplysning.
  • Oppdater medlemslisten via  Minside med jevne mellomrom.
  • Virksomhetens system for informasjonssikkerhet skal følges.
  • Personopplysninger på papir som ikke lenger skal brukes kastes i sikkerhetsdunker eller makuleres.
  • Send alltid saksdokumenter i egen e-post (ikke i møteinnkalling) ettersom mange deler sine kalendre.
  • Vurder om møteinnkallinger kan sendes slik at den vises som privat for utenforstående.
  • Meld fra umiddelbart dersom du mister PC, mobiltelefon eller adgangsbrikke.
  • Lenker eller vedlegg fra kilder du ikke stoler på skal ikke åpnes.
  • Meld fra dersom du registrerer vesentlige avvik fra rutiner og retningslinjer.

ikke nøl med å ta kontakt med Teknas personvernombud eller informasjonssikkerhetsansvarlig hvis du har spørsmål!

Sist oppdatert: 4. september 2018