GDPR

Som tillidsvalgt i FOA er du en del af FOAs organisation. Det betyder, at FOA har ansvaret for, at din håndtering af personoplysninger, anvendt i forbindelse med dit tillidshverv, bliver behandlet i overensstemmelse med GDPR.

Som tillidsvalgt på det offentlige område har du jævnfør MED-aftalen ret til at få stillet udstyr til rådighed af din arbejdsgiver, som du har brug for i dit tillidshverv. Hvis du er ansat hos en privat arbejdsgiver, afhænger udstyret af FOAs overenskomst med arbejdspladsen.

Det betyder samtidig, at din arbejdsgiver har pligt til at sikre de tekniske sikkerhedsforanstaltninger i relation til anvendelsen af de tekniske hjælpemidler, der er stillet til rådighed for dit tillidsarbejde.

Det er derfor vigtigt, at du altid overholder din arbejdsgivers politikker og vejledninger i forbindelse med anvendelsen af det udstyr, som din arbejdsgiver stiller til rådighed for dit tillidshverv, så det sikres, at behandlingen af personoplysninger sker betryggende.

I forbindelse med udførelsen af dit tillidshverv kommer du i berøring med personoplysninger om dine kollegaer.

Det er derfor vigtigt, at du er opmærksom på at sikre, at disse personoplysninger udelukkende anvendes i forbindelse med dit tillidshverv og at oplysningerne opbevares sikkert, uanset om de er digitale eller i fysisk form.

Du har som led i udførelsen af dit tillidshverv ret til at bruge oplysninger om dine kollegaer. Herunder har du ret til at få oplysninger om lønninger for alle de overenskomstdækkede medarbejdere, du repræsenterer, fra din arbejdsgiver.

Udover lønninger, behandler du personoplysninger om dine kollegaer i form af navn, mail, fødselsdag, uddannelse, ansvarsområde, stillingsbetegnelse, anciennitet, faggruppe. Du har ligeledes ret til at få oplysninger om dine kollegaers løn og løntillæg og begrundelser for tildeling fra din arbejdsgiver.

Du kan ligeledes komme ud for at skulle behandle følsomme personoplysninger vedrørende dine kollegaers race eller etniske oprindelse, politiske overbevisning, religiøse overbevisning, helbredsoplysninger, herunder misbrug af medicin, narkotika, alkohol m.v., samt dine kollegaers seksuelle forhold eller seksuelle orientering.

Alle disse oplysninger har du ret til at behandle, så længe det sker i din varetagelse af dit tillidshverv.
Endvidere skal du huske på, at oplysning om fagforeningsmæssigt tilhørsforhold ligeledes er en følsom oplysning, der ofte vil kunne udledes af andre oplysninger end det direkte medlemskab af fagforeningen.

Du skal eksempelvis være særlig opmærksom i forbindelse med udsendelse af invitationer til klubmøder m.v. En indkaldelse til klubmøde vil kunne afsløre, hvem der er medlem af klubben/fagforeningen, hvis indkaldelsen ikke sker uden at andre kan se, hvem der ellers er inviteret (eksempelvis ved udsendelse af mail ved brug af BCC-feltet).

I forbindelse med at du hjælper medlemmerne i en konkret sag, kan du komme ud for at modtage både almindelige, fortrolige og følsomme personoplysninger. Du skal passe godt på alle typer oplysninger, men særligt vedrørende følsomme og fortrolige personoplysninger, hvor du skal være ekstra opmærksom.

Når du behandler personoplysninger, er det vigtigt, at du behandler disse fortroligt og ikke deler disse med uvedkommende, der ikke har et sagligt formål med behandlingen af personoplysningerne.

• Det er eksempelvis tilladt at dele oplysninger med FOA i forbindelse med FOAs støtte til dit arbejde som tillidsvalgt.
• Det er derimod ikke lovligt at dele oplysninger om dine kollegaer med andre, der ikke har et sagligt formål med behandlingen af personoplysningerne. Du må derfor ikke drøfte en konkret sag om en kollega med en anden uvedkommende kollega.

Dette betyder ligeledes, at:

• du skal overveje, om det er nødvendigt at printe oplysninger ud på papir,
• du skal låse personoplysninger inde i et skab, når du ikke bruger dem,
• du skal have et selvstændigt område på din arbejdsgivers it-system, som kun du har adgang til,
• du skal låse din PC og dit udstyr, når du ikke sidder ved det,
• du skal anvende BCC-feltet, når du udsender mails til flere modtagere.

Det er vigtigt at foretage en systematisk og beskyttet arkivering af de personoplysninger, som du anvender i forbindelse med dit tillidshverv. Ofte vil arbejdsgiver have stillet udstyr og/eller programmer til rådighed til dette.

Din arkivering skal sikre, at du kan fremfinde alle oplysninger om en person, såfremt denne beder om indsigt.

Din arkivering skal ligeledes sikre, at du kan foretage løbende sletning af personoplysninger, der ikke længere er et sagligt formål med at opbevare jf. FOAs slettepolitik for tillidsvalgte.

Hvis en registreret (eksempelvis en nuværende eller tidligere kollega) kontakter dig for at bruge sine anmodningsrettigheder, skal du tage kontakt til din FOA-fagforening.

Din FOA-fagforening vil hjælpe dig med indsamlingen af de nødvendige oplysninger og det videre arbejde, eksempelvis hvis en person anmoder om indsigt i, hvilke personoplysninger du behandler om vedkommende eller ønsker at få sine personoplysninger slettet eller rettet.

FOA har ansvaret for, at de personoplysninger, som du gemmer i din arbejdsgivers systemer, kun bliver anvendt til lovlige formål, kun indeholder relevante personoplysninger og kun opbevares i den periode, der er nødvendig for varetagelsen af tillidshvervet.

Når en af dine kollegaer stopper i virksomheden, skal personoplysninger vedrørende denne medarbejder slettes senest 6 måneder efter, medmindre medarbejderen har været involveret i en arbejdsskadesag eller anden fagretslig sag.

En gang om året skal du gennemgå alle dine data og slette de personoplysninger, du ikke længere skal bruge.

Husk, at du kun må gemme personoplysninger, hvor der er et sagligt og lovligt formål med at gemme. Eksempelvis kan sager om lønindplaceringer eller lokallønsforhandlinger være vigtige at bevare for at dokumentere aftaler, som du har indgået, da de kan have betydning for andres lønfastsættelse.

Hvis du er bekendt med eller har mistanke om, at der har været et brud på persondatasikkerheden, skal du straks (og senest indenfor 72 timer) kontakte din FOA-fagforening og anmelde bruddet.

Et brud kan eksempelvis være, at din PC er blevet stjålet, din taske med personoplysninger i papirform er blevet stjålet, en mail er sendt til en forkert person eller andre har fået adgang til dit område på din arbejdsgivers it-system.

Din FOA-fagforening vil herefter hjælpe dig med at få indsamlet de nødvendige oplysninger fra din arbejdsgiver og andre til brug for dokumentation, orientering af registrerede og evt. anmeldelse af bruddet til Datatilsynet.

Når dit tillidshverv ophører, skal du overdrage de personoplysninger, der ikke er faldet for en slettefrist, til den person, der overtager tillidshvervet efter dig.

Når dit hverv er ophørt, må du ikke længere have personoplysninger liggende fra din tid som tillidsvalgt. Personoplysninger, der ikke er faldet slettefristen eller er overdraget til en ny tillidsrepræsentant, kan overdrages til FOA-fagforeningen. Den viden, du har opnået som tillidsrepræsentant, er forsat fortrolig, også efter du er fratrådt.

Den dataansvarlige afgør, hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige.

Det er FOA, der er dataansvarlig for de personoplysninger, som du behandler i forbindelse med dit TR-hverv. Du er som TR en del af FOAs organisation, og du indgår derfor under dette dataansvar.

Det er FOA, der er dataansvarlig. Dette dataansvar udøves i praksis af dig som tillidsrepræsentant. Det vil således alene være dig som tillidsrepræsentant, der har adgang til it-systemerne (oftest stillet til rådighed af arbejdsgiver), uanset at det er FOA, der er dataansvarlig i forhold til din behandling af personoplysninger.

Nej, de oplysninger, som du modtager fra din arbejdsgiver, er FOA dataansvarlig for. Da du, som TR er en del af FOAs organisation, vil din behandling af personoplysningerne ske som dataansvarlig og ikke som databehandler.

Nej, de oplysninger, som du behandler i forbindelse med dit TR-hverv, er FOA dataansvarlig for. Da du, som tillidsrepræsentant, betragtes som en del af FOA, vil din behandling af personoplysningerne ske som dataansvarlig og ikke som databehandler.

Nej, din arbejdsgivers valg af databehandlere ændrer ikke på, at det er din arbejdsgiver, der skal stille udstyr til rådighed for dit TR-arbejde, og at arbejdsgiver er ansvarlig for den tekniske og organisatoriske sikkerhed.

Nej, du må som udgangspunkt ikke anvende andre systemer end dem, din arbejdsgiver eller FOA stiller til rådighed for dig i forbindelse med dit TR-hverv.

Du må ikke uden FOAs godkendelse bruge it-udstyr (hardware eller software), som ikke er stillet til rådighed af din arbejdsgiver eller FOA.

Din arbejdsgiver skal udlevere alle de oplysninger, der er nødvendige for, at du kan udføre dit tillidshverv. Det vil sige, at arbejdsgiver i forbindelse med overenskomstforhandlinger skal udlevere oplysninger om alle de medarbejdere, som du repræsenterer i forbindelse med forhandlingerne.

Oplysningerne omfatter eksempelvis medarbejdernr., navn, stilling, anciennitet, uddannelse, senest afsluttet eksamen, certificeringer, kurser, specielle kompetencer, grundløn, tillæg, arbejdsgivers pensionsbidrag, arbejdstimer m.v.

Ja, det må og skal arbejdsgiver gøre.

Din arbejdsgiver er forpligtet til at udlevere oplysninger til dig, så du kan udføre dit tillidshverv og opfylde dine forpligtelser efter overenskomsten, herunder forhandle løn for en nyansat.

Der findes nedenstående tre typer af personoplysninger:

Almindelige personoplysninger

Almindelige personoplysninger er alle de personoplysninger, der ikke er følsomme eller fortrolige personoplysninger. Almindelige personoplysninger kan fx være:

• Fornavn
• Efternavn
• Adresse
• Alder
• Uddannelse
• billede
• Familieforhold
• Eksamen
• Ansøgning
• CV
• Ansættelsesdato
• Stilling
• Arbejdsområde
• Arbejdstelefon
• Mv.

Følsomme personoplysninger

Følsomme personoplysninger er en specifik gruppe af oplysninger bestående af i alt 8 typer, og det er kun disse 8, der er følsomme personoplysninger. Kun nedenstående oplysninger er følsomme personoplysninger:

1. Race og etnisk oprindelse
2. Politisk overbevisning
3. Religiøs eller filosofisk overbevisning
4. Fagforeningsmæssige tilhørsforhold
5. Genetiske data
6. Biometriske data med henblik på entydig identifikation
7. Helbredsoplysninger
8. Seksuelle forhold eller seksuel orientering

Fortrolige personoplysninger

Fortrolige personoplysninger er oplysninger om rent private forhold. Fortrolige personoplysninger er fx:

• CPR-nr
• oplysninger om strafbare forhold
• Indtægts- og formueforhold
• Afslag på tillæg
• Oplysninger om ikke-bestået eksamen
• Bortvisningsårsag
• Ledighed
• Gældsforhold
• Andre oplysninger vedrørende arbejds-, uddannelses- og ansættelsesmæssige forhold
• Interne familieforhold, herunder selvmordsforsøg og ulykkestilfælde
• Mv.

Ja det må du gerne, når formålet er at informere om FOAs arbejde.

Et billede af deltagere i en demonstration afslører desuden ikke noget om medlemskab af FOA, idet alle i princippet kan deltage i en demonstration i det offentlige rum. Hvad angår talere til et offentligt arrangement, som er medlem af en fagforening, så har de selv valgt at stå frem, og dermed er der reelt ikke noget beskyttelsesbehov.

Du må dog kun offentliggøre et billede af en eller flere identificerbare personer på de sociale medier, så længe billedet ikke viser personer i situationer, som de fleste ikke vil ønske at blive set i, fx hvis de er meget fulde eller meget vrede. Personen på billedet må således ikke med rette føle sig krænket, udstillet eller udnyttet ved offentliggørelsen af billedet. Så husk altid at bruge din sunde fornuft, når du lægger billeder på de sociale medier.

Hvis en person på et billede efterfølgende beder om at få billedet slettet, bør du imødekomme dette ønske.

Generelt skal du være varsom med at dele billeder af dine kolleger på sociale medier, hvor billederne kan kædes sammen med deres medlemskab af en fagforening, da medlemskab af en fagforening er en personfølsom oplysning. Med mindre dine kolleger selv giver samtykke til, at du deler billeder af dem. Her skal du være opmærksom på, at samtykket skal være skriftligt, og at du skal opbevare samtykket som dokumentation. Dette vil i praksis være en smule besværligt.

Så hvis du gerne vil dele billeder på sociale medier fx fra et klubmøde, kan en løsning være at tage billedet langt fra eller nede fra et hjørne, så man ikke kan genkende ansigter og dermed ikke identificere nogen på billedet.

Hvis en person på et billede efterfølgende beder om at få billedet slettet, bør du imødekomme dette ønske.

Hvis du anvender ChatGPT eller andre sprogmodeller i forbindelse med dit tillidshverv, skal du være opmærksom på, at du i din samtale deler oplysninger, som potentielt kan tilgås af tredjepart. Du må derfor ikke dele personoplysninger i din chatsamtale, og generelt skal du udvise samme forsigtighed som på alle andre online platforme.

Du må dog gerne anvende ChatGPT i de sammenhænge, hvor det kan være dig behjælpeligt – oversættelser, hjælp til opsummering, korrekturlæsning eller forståelse af tekster – så længe du sikrer dig, at tekst eller spørgsmål, du deler med ChatGPT, ikke indeholder personoplysninger.

FOA varetager den samlede oplysningspligt overfor de personer, som FOAs tillidsrepræsentanter repræsenterer. Hvis en kollega gerne vil de oplysninger, du har på vedkommende, så kontakt afdelingen.

Et centralt element i oplysningspligten er FOAs persondatapolitik, som du finder her

Din arbejdsgiver har ikke ret til at bede om indsigt i de oplysninger, som du behandler i forbindelse med dit tillidshverv.

Ja, du må gerne opbevare personoplysninger i papirformat, men du skal være særlig opmærksom på, at du ofte har med følsomme oplysninger at gøre og disse oplysninger bør opbevares aflåst.

En god arkiveringsstruktur er den bedste måde at sikre, at du ikke behandler personoplysninger, som du ikke må behandle.

Du må behandle alle de oplysninger, der er nødvendige for din udøvelse af tillidshvervet, herunder personoplysninger i forbindelse med:

• Overenskomstforhandlinger
• Ansættelser
• Advarsler
• Bortvisninger
• Opsigelser
• Arbejdsskader
• Mobning, sexchikane, diskrimination m.v.

Som udgangspunkt skal du følge din arbejdsgivers instrukser i forbindelse med anvendelsen af arbejdsgivers it-udstyr.

Du skal dog være opmærksom på, at du behandler følsomme og fortrolige personoplysninger, hvorfor du selv skal være opmærksom på ikke at anvende usikre tjenester som Dropbox, WeTransfer m.v.

Ja, det må du gerne, hvis du har brug for det til at varetage dine opgaver som tillidsrepræsentant/fællestillidsrepræsentant.

Da du varetager dine opgaver som FOAs forlængede arm, er der ikke tale om en ”videregivelse” af personoplysninger i GDPRs forstand.

Hvis der er tale om oplysninger, som er nødvendige for, at du kan varetage dine kollegaers interesser i fremtidige lønforhandlingsrunder, må du gerne gemme oplysningerne, så længe det er et sagligt og lovligt formål.

Det kunne eksempelvis være, at ledelsen er kommet med løfter, der har betydning ved de kommende lønforhandlinger.

Ja, det må du gerne, så længe oplysningerne er relevante og nødvendige i forhold til dit TR-hverv, eksempelvis i forbindelse med lønforhandlinger på din arbejdsplads.

Ja, det må du gerne så længe, at du har sikret dig, at du kun har gemt de personoplysninger, der er nødvendige for at varetage dit TR-hverv.

Som udgangspunkt må du gerne skrive til dine kollegaer via sms.

Du skal dog være opmærksom på, at du ikke må anvende sms til kommunikation af følsomme oplysninger. Derfor må du ikke anvende sms til kommunikation om forhold, der kan henføres til, at den person, du kommunikerer med, er medlem af en fagforening.

Ja, det må du gerne, hvis listen indeholder både medlemmer og ikke-medlemmer.

En liste med resultaterne fra de årlige lønforhandlinger indeholder, ud over lønoplysninger, også navne på de ansatte, der fremgår af listen.

Da medlemskab af en faglig organisation er en følsom personoplysning, må du som tillidsrepræsentant ikke, hverken direkte eller indirekte, afsløre om en person er medlem af en faglig organisation.

Hvis modtagerne af en sådan masseudsendelse udelukkende er fagforeningsmedlemmer, må deres mailadresser ikke fremgå af selve e-mailen. Du skal derfor huske at sende mailen BCC.

Ja, du må gerne indkalde de medlemmer, du repræsenterer, til generalforsamlinger, klubmøder m.v.

Når du masseudsender en e-mail til foreningens medlemmer, skal du være opmærksom på ikke at afsløre medlemskab af en faglig organisation. Du skal derfor sende en sådan mail BCC.

Ja, det må du gerne, hvis du sender referatet som BCC og i øvrigt slette eventuelle navne fra referatet inden udsendelsen.

Hvis ikke navne slettes i referatet, skal de pågældende give deres samtykke (skriftlig tilladelse) til, at pågældende fremgår af referatet, da det afslører deres medlemskab af en faglig organisation.

Ja, du har en pligt til at slette/bortskaffe fysiske papirer i overensstemmelse med FOAs slettefrister for behandling af personoplysninger.

Det er vigtigt, at du husker at makulere fysiske personoplysninger, når du ikke har brug for dem i papirform længere.

Du skal slette personoplysninger, når der ikke længere er et sagligt formål med at gemme disse. Når oplysningerne ikke længere skal anvendes i dit TR-hverv, skal oplysningerne slettes.

Du skal mindst en gang om året foretage gennemgang af alle personoplysninger og sikre, at disse overholder FOAs slettepolitik.

Hvis du har mistanke om brud, skal du drøfte det med din FOA-fagforening, der vil hjælpe dig med at afgøre det videre forløb.

Du tager blot kontakt til din FOA-fagforening, der vil omstille dig til afdelingens GDPR-ansvarlige.