Du som fackligt förtroendevald är kärnan i Naturvetarnas verksamhet. Det ska vara lätt att utföra förtroendeuppdraget, men också säkert. På denna sida finns råd och rutiner som du måste följa för att få hantera personuppgifter som du får av Naturvetarna, samt mer information om vad dataskydd och GDPR är.
GDPR kan förefalla krångligt men är till stora delar samma reglering som den tidigare personuppgiftslagen (PUL), men utan regeln att man får hålla "stökiga register". Nytt är också de hårda sanktioner för den personuppgiftsansvarige som bryter mot reglerna.
För att du i din roll som förtroendevald och medlem i Naturvetarna ska garantera att personuppgifter som du kommer i kontakt med hanteras korrekt, krävs att du läser följande råd och rutiner (inklusive informationen under de utfällbara flikarna).
Allmänna råd vid hantering av personuppgifter
- Tänk hela tiden i termer av "medlemmens skydd av personuppgifter".
- Försök minimera personuppgifterna. Behövs alltid personnummer? Hela namn? Telefonnummer?
- E-post är ett enkelt sätt vi har för att nå våra medlemmar. Men Naturvetarna måste vid användning av e-post begränsa risken för att personuppgifter hamnar fel. Därför är det att föredra att använda en e-postadress som är säker och där det tydligt framgår att mejl skickade dit är av facklig natur.
- Se till att du har en säker och för ändamålet upprättad e-postinloggning som bara du kan använda.
- Anmäl din e-post till medlemmarna och till Naturvetarnas förtroendemannaservice.
- Var tydlig till medlemmar att personuppgifter lämnas över om handlingen/ärendet lämnas över till Naturvetarnas kansli.
- Gå igenom dagens e-post och gallra den på obsolet eller irrelevant information.
- Fundera på om all information du begär in eller lämnar ut verkligen behövs.
- Gallra även gamla listor enligt ovan.
- Spara inga personuppgifter endast "för säkerhets skull".
- Om känslig information ändå kommer på villovägar kontaktar du Naturvetarnas dataskyddsombud omedelbart.
Gallringsrutiner
Följande gallringsruitiner gäller om det finns personuppgifter i handlingarna.
- Styrelseprotokoll, stämmoprotokoll eller liknande: Sparas utan begränsning i tiden
- Verksamhetsberättelser eller liknande: Sparas utan begränsning i tiden
- Lokala kollektivavtal eller liknande (t ex avtalsturordningslistor): Sparas utan begränsning i tiden
- Lokala förhandlingsprotokoll: Sparas utan begränsning i tiden
- Rehabärenden och tillbudsrapporter: Sparas 10 år efter avgjort ärende
- Ärenden som innefattar process i domstol (brottmål - se nedan): Sparas i tre år efter dom vunnit laga kraft.
- Personuppgifter vid fällande brottmålsdomar: Personuppgifter kring en fällande dom ska raderas så snart ärendet är avslutat
- Andra handlingar/ärenden med personuppgifter: Tre år efter ärendet avslutats (påminn därför medlemmen att själv spara uppgifterna)
- Medlemslistor: Så snart syftet med listan har uppfyllts (t ex mötet är avklarat, kursen genomförd, informationen är fullgjord). Listor ska aldrig finnas kvar i onödan.
- Ärenden som tillsammans med handlingar i sin helhet har överlämnats till Naturvetarnas kansli: Raderas så snart ärendet mottagits av Naturvetarnas ombudsmän.
- Övrigt material: Gallras så snart handlingen har uppfyllt sitt syfte.
Ta del av personuppgifter
För att kunna ta del av medlemslistor med personuppgifter från Naturvetarna krävs att du läst all information på denna webbsida och att du förbinder dig att följa den. Formulär för beställning av medlemslistor finns under respektive sektor på förtroendevalda.
Undrar du något kring det juridiska är du välkommen att e-posta till din fråga till dataskyddsombud@naturvetarna.se.
Om dataskyddsförordningen (GDPR)
Nedan hittar du svar på frågor som du som förtroendevald kan ha hjälp av i ditt uppdrag gällande den nya förordningen. Eftersom det är en helt ny lagstiftning och det inte finns praxis kommer materialet uppdateras löpande allteftersom.
Mer riktlinjer kring personuppgifter hittar du nedan.
Mer om GDPR för förtroendevalda
Vad är GDPR?
GDPR är en EU-gemensam lag som gäller för organisationer, företag eller myndigheter som hanterar personuppgifter. Den nya lagen GDPR ersätter den tidigare lagen personuppgiftslagen men kommer att kompletteras med nationell (svensk) lag.
GDPR reglerar balansgången mellan människors integritet och till exempel möjligheten att utföra ett uppdrag. Riskerna för att personuppgifter sprids ska minimeras och personuppgifter ska alltid hållas så begränsade det går.
Varför berör GDPR förtroendevalda?
Du som förtroendevald är kärnan i vår verksamhet har ett angivet mandat att för Naturvetarnas räkning driva facklig verksamhet, därför ska också den personliga integriteten beaktas på det planet. Det gäller alla, från skyddsombud på arbetsplatsen till ledamot i förbundsstyrelsen.
När börjar GDPR gälla?
Förordningen börjar gälla den 25 maj 2018.
Varför införs förordningen?
Förordningen införs i syfte säkerställa individens integritet inom hela EU. Samma regler ska gälla för alla.
Vad är en personuppgift?
En personuppgift är information som direkt eller indirekt går att koppla till en individ, till exempel namn eller personnummer. Men personuppgifter är också information som medlemsnummer, mobilnummer, foton, IP-nummer och e-postadress.
Varför är GDPR viktigt för Naturvetarna?
Naturvetarna har att följa lagen och skydda våra medlemmars integritet. Medlemskap i fackförbund är enligt GDPR en känslig uppgift, vilket ställer extra höga krav på oss att hantera informationen rätt. Andra känsliga uppgifter är ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om en fysisk persons sexualliv eller sexuella läggning, uppgifter om hälsa som till exempel kost och allergier.
Var hittar jag information om GDPR?
Det kommer succesivt att publiceras information på förtroendevaldas sidor på Naturvetarna.se. Du kan också hitta mer information på Datainspektionens webbsida.
Anställda på Naturvetarna som kommer i kontakt med utlämnande eller hantering av personuppgifter kommer att kunna bistå med svar och råd.
Vem ansvarar för GDPR hos Naturvetarna?
Naturvetarna såsom juridisk person är personuppgiftsansvarig. Förbundsstyrelsen har det yttersta ansvaret och de kommer att besluta om allmänna riktlinjer för om hur vi ska jobba med implementeringen av GDPR. Förbundsdirektören som har hand om den löpande verksamheten har utsett förbundsjuristen som dataskyddsombud. Du når ombudet på dataskyddsombud@naturvetarna.se.
Kan jag som förtroendevald drabbas av GDPR-sanktioner?
Nej, det är förbundet som är ytterst ansvarig. Så några sanktionsavgifter kan du som förtroendevald inte drabbas av. Den enskilde medlemmen som drabbas av en ekonomisk skada på grund av brister i dataskyddet inom Naturvetarna kan få ersättning av Naturvetarna.
Vad kan min förening/styrelse börja förbereda?
Det viktigaste är att ni kommer igång med att gallra information som innehåller personuppgifter. Tänk på att en e-postadresser utgör personuppgift och att det också gäller alla typer av dokument, till exempel Word och Excelfiler med sådan information. Se även nedanstående information om gallring.
Vilken information som ska sparas eller gallras är svårt att svara på. Det blir något för dig som förtroendevald att avgöra efter ni har tagit del av denna information.
Var information sparas och vilket system som används för att skicka e-post är också viktigt. Naturvetarna avråder från att använda arbetsgivarens system eftersom vi då inte har kontroll över vad som sker med de personuppgifter som sparas. Se diskussion nedan.
Måste allt vara helt klar 25 maj?
Det är viktigt att prioritera jobbet inför GDPR, men vissa saker kan ta tid och om allt inte är helt klar i maj så ska vi alla fortsätta att förbättra rutinerna. Allteftersom reglerna förtydligas i praxis kommer en anpassning att ske från Naturvetarna.
Medlemmens rättigheter
Vad har en enskild medlem rätt att se för information?
En medlem kan begära att få se all information som finns rörande denne och som är sparad hos Naturvetarna. Det gäller både för kansliet och i den lokala organisationen och omfattar all information i alla våra system. Även det system där du förvarar personuppgifter för din förtroendemannaroll. Fysiskt material kan också omfattas om personen går att utläsa ur handlingen.
Naturvetarna har antagit en personuppgiftspolicy för medlemmar. Denna är en information hur Naturvetarna behandlar deras personuppgifter. Den hittar du här.
En medlem vill ha ett registerutdrag - vad innebär det?
Det innebär att Naturvetarna ska ta fram all information om medlemmen som vi har i våra register. Det gäller vårt medlemsregister, men också andra dokument och vår e-post, både i kansliet och i den lokala organisationen. Om du får en sådan förfrågan, be medlemmen kontakta kansliet på e-post info@naturvetarna.se och meddela kansliet om du själv behandlar personuppgifter rörande medlemmen.
En medlem vill bli glömd - vad innebär det?
Det innebär att hen vill att alla uppgifter vi har om medlemmen ska raderas. Det går inte att bli glömd och kvarstå som medlem. Man kan heller inte bli glömd i till exempel bokföringsmaterialet som vi måste spara av legala skäl i 7 år. Om du får en sådan förfrågan, be medlemmen kontakta kansliet på info@naturvetarna.se.
E-post
Går det att skicka e-post till medlemmarna på arbetsgivarens e-post?
Naturvetarna menar att det enligt GDPR är tillåtet - men inte alltid optimalt - att använda arbetsgivarens e-post eftersom förbundet då inte har egen kontroll över personuppgifter som skickats med e-post.. Om arbetsgivaren tillhandahåller arbetsytor för facklig verksamhet enligt förtroendemannalagen bör du ändå kontrollera att arbetsgivaren inte har åtkomst till systemet.
Arbetsgivarens e-postsystem kan användas för fackliga ändamål om andra säkrare system inte finns att tillgå. Eftersom arbetsgivaren med stöd av 3 § förtroendemannalagen ska ge en lokalfacklig organisation möjlighet att använda arbetsgivarens e-postsystem, t ex för att skicka ut information till medlemmar om den pågående fackliga verksamheten, kan arbetsgivaren tillämpa undantaget i artikel 9 p 2 b) när man behandlar facklig e-post inom sitt datasystem.
Rekommendationen är att vara restriktiv med e-post från arbetsgivarens system till medlemmar och aldrig ange information som kan härledas till facklig tillhörighet i rubrikraden. Detta är särskilt viktigt vid offentlig verksamhet.
Får jag skicka e-post med uppgifter om personer, i så fall vilka uppgifter?
Att skicka personuppgifter i e-post bör minimeras då det anses som ett osäkert sätt att hantera personuppgifter. Istället rekommenderar vi att informationen sparas på ett säkert sätt och delas från den platsen. När informationen inte längre används ska den gallras.
Du ska inte dela personinformation till mottagare utanför Naturvetarna utan att ha kontrollerat att personuppgiftsbiträdesavtal finns.
Är det tillåtet att skicka ut e-post till flera medlemmar eller massutskick (ej dolt) till medlemmar via arbetsgivarens eller min privata e-post?
Nej, det är inte tillåtet. En medlem ska inte se en annan medlems uppgifter. Om du ska skicka ut massutskick, till exempel medlemsbrev eller inbjudningar ska du alltid skicka via "Hemlig kopia". Tänk på att inte ange en rubrik i utskicket som direkt talar om att mottagaren är medlem i Naturvetarna.
Att dela information
Kan jag dela information till min arbetsgivare? Till exempel om vilka som är medlemmar i Naturvetarna?
Grundregeln är att vi inte kan dela personuppgifter till några andra utanför Naturvetarna. För att få dela information utanför organisationen ska ett personuppgiftsbiträdesavtal upprättas. Samma gäller naturligtvis när arbetsgivaren skickar information kring våra medlemmar.
För att inte alla förbund ska behöva skriva avtal med alla arbetsgivare pågår nu diskussioner centralt mellan arbetsgivare och fackförbund. Frågan är om informationsdelning ska tas med i kollektivavtalet (eller avtalas på annat sätt centralt), men vi vet i dagsläget inte än om det kommer att bli så.
Om du får information från din arbetsgivare så var noga med att radera informationen/listan när du arbetat klart med uppgiften.
Inför en lönerevision eller inför en annan facklig fråga kan arbetsgivaren ha ett berättigat intresse att få del av vem som är medlem i Naturvetarna varför informationen kan lämnas ut, det ligger i vårt uppdrag gentemot medlemmen och kräver inget särskilt samtycke.
Kan jag dela information till kursanläggningar och liknande?
De anmälda ska först ges möjlighet att samtycka till att vi delar informationen. Skriv in det i inbjudan. Om du skriver ut listor eller annat ska de förstöras så snart aktiviteten är klar. Detta är särskilt viktigt eftersom de kan innehålla information om kost och hälsotillstånd (allergier med mera).
Hur öppet kan jag prata om vilka som är medlemmar på en arbetsplats med mina fackliga kollegor eller andra?
Du ska inte berätta för andra, förutom för egna ombud eller styrelse på arbetsplatsen, vilka som är medlemmar i Naturvetarna, eller annat fackförbund för den delen.
Lagring och gallring
Hur länge ska dokument sparas och vilka är det absolut som ska sparas med den nya dataskyddsförordningen?
Grundregeln är att du bara ska spara information som du behöver för att kunna utföra ditt uppdrag, men medlemsärenden ska sparas i 10 år och bokföringsmaterial i 7 år. Listor med personer som anmält intresse för att gå med i Naturvetarna ska gallras så snart det kan ske, men senast inom 3 månader. Protokoll ska alltid bevaras men hållas på ett säkert ställe.
Det är viktigt att du går igenom din e-post och de ytor som du sparar dokument på idag och gallrar det som du inte längre aktivt behöver. Tänk på att även t ex e-postadresser är personuppgifter som löpande behöver gallras.
Får gamla medlemslistor och andra Excel- eller Wordfiler med personuppgifter sparas och när måste man gallra bort dem?
Excel-filer och andra dokument med medlemsuppgifter ska gallras bort så snart de inte används längre. Gallra till exempel bort Excel-listor med löner när kollektivavtalsperioden eller lönerevisionen är över. Om du vill spara för statistik kan du avidentifiera uppgifterna eller bara spara sammanställningar där inte enskilda personuppgifter finns med. Tänk också på att spara informationen på en säker lagringsyta under tiden den används.
Omfattas digital information på USB-minnen och externa hårddiskar också av GDPR?
Ja, det är ingen skillnad. Men se till att känslig information inte landar på en disk som du inte har fullständiga rättigheter till.
Hur förvarar och lagrar jag anteckningar, protokoll eller bilder?
Du ska bara lagra sådan information som är aktuell och som behövs i uppdraget.
Dokument och bilder som innehåller personuppgifter hanteras i icke ändringsbart PDF-format. Tänk också på att inte spara (eller publicera) bilder utan att först säkerställa att alla som är med på fotot tycker att det är okej.
Hur hanterar vi styrelseprotokoll där enskilda medlemmar nämns i olika sammanhang (kommande ärenden, pågående ärenden, avslutade ärenden)?
Hänvisa inte till personer i protokollen, använd i så fall "medlem A och B eller liknande". Om ni går igenom status på ärenden så använd en lista för detta som ni sedan förstör. De protokoll som finns ska bevaras på lagringsplats med begränsad behörighet.
Får vi spara riskbedömningar eller tillbudsutredningar som skyddsombud ingår i? Var kan vi spara dessa?
Dokument som hör till arbetsskadeärenden ska sparas i 10 år. Antingen på lagringsyta med begränsad behörighet eller fysiskt i låst utrymme. Påminn också medlemmen om att denne själv sparar sina egna personuppgifter.
När det gäller tidigare rehabärenden, ska man gallra/slänga/förstöra dessa?
Rehabärenden ska sparas i 10 år. Antingen på lagringsyta med begränsad behörighet eller fysiskt i låst utrymme.
Hur gör vi med ombudslistor, förteckning över ombud som finns både hos oss och hos arbetsgivaren?
Både medlemmar och arbetsgivare behöver veta vilka som är ombud på arbetsplatsen så listorna behövs. Som förtroendevald ingår det också att medlemmarna vet om vilka som är ombud. Se till att listorna är aktuella och att tidigare inaktuella listor gallras.
Kan jag spara lönestatistik?
Ja, men spara den avidentifierad. Listor med individuella löner per person ska gallras när kollektivavtalsperioden är över.
Kan jag spara turordningslistor?
Ja, de ingår i ett ärende och ska sparas i 10 år. Tänk på att lagra dem på säker plats med begränsad behörighet.
Hur synkroniserar vi att handlingar sparas lika länge som hos arbetsgivarsidan?
Arbetsgivaren får göra sin egen bedömning av detta.
Kan jag spara övriga MB-protokoll, protokoll från tvisteförhandlingar med mera?
Ja, de ingår i ett ärende och ska utan begräsning i tiden. Tänk på att lagra dem på säker plats med begränsad behörighet.
Kan vi dela ut protokoll till de medlemmar som berörs?
Protokoll ska aldrig lämnas ut om det innehåller personuppgifter. Istället beskrivs för medlemmen den del av protokollet som medlemmen omfattas av. Personuppgifter kan hanteras så att originalhandlingen kopieras, i denna maskeras personuppgifter med svart filtpenna och därefter tas en kopia av maskerad handling och den senare lämnas ut. På så sätt går personuppgifter inte att uttolkas.
Hur länge ska vi spara verksamhetsberättelser och årsbokslut?
De har bevarandestatus utan tidsgräns och ska inte gallras.
Hur tar jag som förtroendevald fram medlemslistor över alla medlemmar?
Det gör du via ett formulär under respektive sektor. Du kan bara göra det efter att du har meddelat oss att du läst igenom informationen på denna webbsida.
Får vi använda oss av personnummer?
För att säkert kunna identifiera en medlem, medlemmar kan ha samma namn, måste vi registrera personnummer i medlemssystemet. Internt ska vi undvika att referera till personnumret utan istället använda medlemsnummer för att utomstående inte ska kunna identifiera vem uppgifterna handlar om.
Om en person ringer till Naturvetarna hur vet vi att hen är den person hen utger sig för att vara?
Naturvetarna kommer under 2018 att skapa en identifiering på webben och i kontakt med kansliet. Rent praktiskt innebär det att man får legitimera sig med BankID innan samtalet påbörjas. BankID är en avancerad elektronisk underskrift enligt eIDAS-förordningen (EU nr 910/2014).
Fram till detta sker, eller för dem som inte kan identifiera sig med BankID kommer kanslipersonalen ställa kontrollfrågor för att säkerställa identiteten.
Aktiviteter och kurser
Är det ok att tala om vem som ska delta i en utbildning när vi anlitar extern konferensanläggning?Kan vi uppge namn och personnummer och eventuella kostpreferenser eller allergier?
Ja, så länge ni endast skickar de uppgifter som är nödvändiga. Säkerställ att mottagaren deletar listan efter att dess syfte är uppnått.
Kan jag använda anmälningslista inför ett möte för att veta vilka som anmält sig och vilka som behöver påminnas?
Ja, du kan använda en lista eftersom du behöver den för att kunna utföra ditt uppdrag. När mötet är genomfört ska du radera listan.
Medlemsrekrytering
Kan jag använda egna register eller listor för medlemsrekrytering?
Nej, hänvisa potentiella medlemmar till Naturvetarnas webbplats www.naturvetarna.se för att ansöka om medlemskap.
Vad ska jag tänka på vid medlemsrekrytering?
Det är viktigt att du talar om för den potentiella medlemmen att du registrerar dennes personuppgifter och att någon från Naturvetarnas kansli kommer att ta kontakt för att berätta mer om ett medlemskap.
Sociala medier
Är det tillåtet att skriva om andra eller lägga ut bilder från fackliga aktiviteter m.m. i sociala medier?
Du kan bara skriva om andra och lägga ut bilder i sociala medier om du har fått deras uttryckliga godkännande (samtycke) att göra detta. Ett mejlsvar räcker.
Kan jag i fackliga sammanhang dela bilder och tagga personer i sociala medier?
Du ska bara göra det om du vet att det är okej för de/den berörda personen. Ett skriftligt samtycke är att föredra.
Hur Naturvetarnas kansli arbetar med GDPR
Naturvetarnas tjänstemän vid kansliet som har kontakt med medlemmar kommer som tidigare angivits att vara informerade kring GDPR. Kanslipersonal vid medlemsservice och koordinatorer blir de enda som får överföra personuppgifter av typen medlemslistor till dig. Detta för att öka den personella säkerheten.
Naturvetarna arbetar för att under 2018 börja använda ett tekniskt säkerhetssystem som gör att en fil som skickas över får en "livslängd" och raderas automatiskt därefter.
Naturvetarnas e-post är krypterad och ska vara säker under överföring.
Naturvetarnas webbplats kommer under hösten att implementera BankID för inloggning.
Vid telefonsamtal kommer din identitet att säkerställas med kontrollfrågor.
Övriga frågor
Är det ok att publicera namn, arbetsplats och telefonnummer på skyddsombud, arbetsplatsombud eller styrelse på arbetsgivarens interna webb?
Ja, är man skyddsombud eller har ett förtroendeuppdrag ingår det i uppdraget att vara kontaktbar och medlemmarna måste ju veta vilka som är kontaktpersoner för Naturvetarna.
I verksamhetsberättelsen finns en lista över vilken medlem som har vilka uppdrag hos oss. Är det okej?
Har man ett förtroendeuppdrag så ingår det i uppdraget att vi kan skriva om personen i verksamhetsberättelsen.