Menu luk

GDPR for tillidsvalgte

GDPR afgør, hvordan du må behandle dine medlemmers oplysninger, og hvilke arbejdsgange du skal følge, når du udfører dine opgaver som tillidsvalgt.

Når du behandler personoplysninger, er du omfattet af databeskyttelsesforordningen og databeskyttelseslovens regler – det gælder for kredse, faglige personaleforeninger, tillidsrepræsentanter og øvrige tillidsvalgte.

Det er derfor helt centralt, at du følger retningslinjerne, når du behandler personoplysninger om medlemmer samt potentielle og tidligere medlemmer.

Det skal du vide om GDPR

Følsomme og fortrolige personoplysninger

Det er som udgangspunkt ikke tilladt at behandle følsomme og fortrolige oplysninger, medmindre der er et specifikt grundlag for det – for dig som tillidsvalgt vil det typisk være, at det er nødvendigt for, at du kan varetage dit tillidshverv.

Følsomme personoplysninger er ifølge Databeskyttelsesloven:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

Imens fortrolige personoplysninger fx er strafbare forhold og CPR-nummer samt andre personoplysninger, der typisk opfattes som fortrolige. Det kan bl.a. være

  • Væsentlige sociale problemer
  • Bortvisningsgrundlag
  • Indtægts- og formueforhold
  • Arbejds-, uddannelses- og ansættelsesmæssige forhold.
  • Interne familieforhold, herunder oplysninger om f.eks.​ selvmordsforsøg og ulykkestilfælde.

Det betyder, at almindelige personoplysninger kan være underlagt samme krav om beskyttelse som følsomme personoplysninger. Og endelig omfatter fortrolige personoplysninger også oplysninger, der ved fx særlove er gjort fortrolige.

Medlemmerne har ret til indsigt

De personer, som du og Finansforbundet har oplysninger om, har en række rettigheder, som vi har pligt til at sikre os, at vi lever op til.

En af de mest centrale rettigheder er, at personerne har ret til at få oplyst, hvilke personoplysninger vi har registreret, og hvad formålet er. Hovedreglen er, at du som tillidsvalgt kun må opbevare oplysninger, som du har et arbejdsbetinget behov for, og at du kun må opbevare dem, så længe der er brug for oplysningerne.

Da Finansforbundet har dataansvaret for de personoplysninger, du behandler, vil din behandling af personoplysninger være tilladt, så længe du følger vores retningslinjer og persondatapolitik.

Hvis du modtager en indsigtsbegæring fra:

  • ​​En kunde eller en samarbejdspartner i din virksomhed, skal du følge virksomhedens GDPR-forretningsgang.
  • En registreret, der beder dig om indsigt i de oplysninger, du har om vedkommende i din egenskab af tillidsvalgt, skal du kontakte Finansforbundet på gdpr@finansforbundet.dk. Finansforbundets GDPR-gruppe vil sammen med dig vurdere, hvad indsigtsbegæringen omfatter. Samtidig skal du selv sørge for at finde alle de informationer, du har om personen, da de skal bruges til at opfylde indsigtsretten.​
Medlems- og arbejdsskadessager skal slettes, når de er forældede

Sager skal slettes, når de er ældre end fem år (samt det indeværende år).

Hvis du har overdraget en sag til Finansforbundet eller til kredsen, er det Finansforbundet eller kredsen, der har pligt til at gemme dokumenterne indtil sagen er forældet. Det betyder, at du som tillidsvalgt skal slette dokumenterne, når formålet med at have dem liggende er ophørt, hvilket normalt vil være senest, når sagen er afgjort.

Hvad gør du, hvis uheldet er ude?

Får du mistanke om et brud på persondatasikkerheden eller på retningslinjerne, skal du hurtigst muligt kontakte Finansforbundet – send en mail til gdpr@finansforbundet.dk eller ring på tlf. 3296 4600. I GDPR-gruppen vil vi sammen med dig vurdere, om der er tale om et brud, der skal indberettes til Datatilsynet, og om vi skal underrette de personer, der er berørt.

Finansforbundet har som dataansvarlig 72 timer fra konstateringen af bruddet til at indberette det til Datatilsynet. Det er derfor afgørende, at vi modtager besked hurtigst muligt, så vi dels kan minimere generne for de registrerede og dels – hvis det er nødvendigt - indberette bruddet inden for fristen.

Sådan overholder du GDPR i arbejdsgangene

E-mails

Når du send​​er e-mails, skal du huske at:

  • Du ikke må lave lister (distributionslister) med dine medlemmers kontaktoplysninger i mailsystemer, hvor andre har mulighed for at se listen. Hvis du har et arbejdsbetinget behov for at lave kontaktlister med dine medlemmer, skal du sikre dig, at listen kun er synlig for dig selv.
  • ​Sætte modtagerne i BCC-feltet, når du skriver til flere personer.
  • Markere e-mail med "privat", inden du sender den, så du sikrer, at den kun kan åbnes af den rette modtager - og ikke er tilgængelig i fælles postkasser.
  • E-mails der indeholder følsomme og/eller fortrolige oplysninger skal sendes krypteret i forsendelsen (minimum TLS1.2-kryptering). Hvis du ikke kan sende krypteret, skal du kontakte Jura & Forhandling.
  • E-mails der indeholder mange følsomme og/eller mange fortrolige oplysninger om et eller flere medlemmer skal sendes og modtages krypteret (end-to-end-krypteret). Det kan f.eks. være som sikker e-mail (NemID), hvis din virksomheds e-mailsystem understøtter det. Din virksomhed kan dog have andre måder at kryptere e-mails på. Hvis du ikke kan sende end-to-end-krypteret, skal du kontakte Jura & Forhandling.
  • Du ikke må videresende personoplysninger, medmindre du har et konkret og specifikt arbejdsmæssigt behov. Kontakt Finansforbundet på gdpr@finansforbundet.dk, hvis du er i tvivl.
  • Du ikke må bruge mailsystemer som arkiv over medlemssager, men kun til den løbende korrespondance. Hvis du har et arbejdsbetinget behov for at gemme, skal du løbende flytte mails til et sikkert opbevaringssted.
  • Kredsene kan bruge Finansforbundets nyhedsmailssystem Globase, når de sender nyhedsmails. Kontakt Finansforbundet på 32 96 46 00, hvis du har brug for vejledning eller hjælp.
Fortrolige og følsomme oplysninger til Finansforbundet

Hvis du skal sende en krypteret e-mail til Finansforbundet, kan du sende den til en af disse personer (husk at aftale det forinden):

​Navn

​Mailadresse

​Område

​Christina Nøhr Lørrits

​cnl@finansforbundet.dk

​Jura og forhandling

​Mette Bruun

mbr@finansforbundet.dk

​Jura og forhandling

​Anette Fischer

af@finansforbundet.dk

​Jura og forhandling

​Mette Hjøllund Schousboe

mhs@finansforbundet.dk

​Jura og forhandling

​Kim Erdmann 

ke@finansforbundet.dk  

​Jura og forhandling

​Jan Jeppesen

jj@finansforbundet.dk

​Jura og forhandling

​Evy Grønvall

eg@finansforbundet.dk

​Politikudvikling

                ​

Fysiske dokumenter
Du skal så vidt muligt undgå at udskrive dokumenter med personoplysninger.

Fysiske dokumenter skal du makulere efter brug eller:

  • ​Opbevare i en låst sikkerhedscontainer eller i et skab med nøgle, hvis du skal gemme dem over længere tid (mere end 1 dag).
  • Transportere forsvarligt, hvis du er nødt til at tage dem væk fra arbejdspladsen. Det kan f.eks. være i en aflåst bil, et aflåst hus eller i håndbagagen, hvis du rejser med fly.
Elektroniske dokumenter

Når du arbejder med elektroniske dokumenter, fx e-mail, Word og Excel, som indeholder personoplysninger om dine medlemmer, ska​l du:

  • ​Opbevare dem på sikre drev, som kun medarbejdere med arbejdsbetingede behov har adgang til. Virksomhedens ledelse eller HR har i denne sammenhæng ikke et arbejdsbetinget behov.
  • Følge principperne i afsnittet "E-mail", når du har brug for at vedhæfte dokumenter.
  • Sikre dem ved brug af en ikke-letgenkendelig kode, hvis du transporterer dem på din pc, så de er sikret mod uvedkommendes adgang.

Du må som udgangspunkt ikke:

  • Gemme personoplysninger på transportable datamedier som fx eksterne usb-drev, usb-sticks eller lignende. Hvis du i særlige tilfælde har et arbejdsbetinget behov for dette, skal du sørge for, at filerne er krypteret (låst) med en ikke-letgenkendelig adgangskode. Uploade dokumenter med personoplysninger til cloudbaserede løsninger. På Kredskontorerne kan I i stedet anvende 

Og husk som en generel ting, at du aldrig må videregive personoplysninger, medmindre du har et konkret og specifikt arbejdsmæssigt behov. Kontakt Finansforbundet på gdpr@finansforbundet.dk, hvis du er i tvivl. ​

Medlemsblade og nyhedsbreve

Det er ikke længere tilladt at uddele fysiske medlemsblade eller fysiske nyhedsbreve direkte til medlemmer på arbejdspladsen. Årsagen er, at det lovgivningsmæssigt sidestilles med at sende en mail ud, hvor modtagerne kan se, hvem der er medlem af Finansforbundet.

Hvis I ønsker at uddele fysiske blade, nyhedsbreve el., skal I uddele til alle ansatte eller på en måde, hvor det ikke kan udledes, hvem der er medlemmer af Finansforbundet, f.eks. i en lukket kuvert. Alternativet er, at I sender ud med post.​

Billeder

Billeder er også at betragte som en personoplysning, hvis det er muligt at genkende én eller flere personer.

Hvis det af sammenhængen direkte eller indirekte fremgår, at personerne er medlemmer af Finansforbundet, skal du indhente samtykke fra hver enkelt til at bruge billedet.

Er du i tvivl, kan du kontakte Finansforbundets grafikere på design@finansforbundet.dk.

Kontingentopkrævning

Hvis I betaler kontingent via løntræk i din virksomhed, skal du skal sikre dig, at medlemmet har givet samtykke til løntræk, før du beder HR-funktionen om at oprette løntræk. Du kan altid få oplyst, om der er givet samtykke, hvis du kontakter Finansforbundets Medlemsservice på tlf. 3296 4600 eller ved at sende en mail til medlem@finansforbundet.dk.

Det vil også være Medlemsservice, der kontakter dig, når et nyt medlem bliver meldt ind eller overflyttes fra en anden virksomhed, og dem der oplyser, om vedkommende har givet samtykke til løntræk, der endnu ikke er oprettet.​

Kontakt os

32 66 14 04

Du er velkommen til at ringe til Jan Jeppesen, GDPR-koordinator.

Du kan også skrive til gdpr@finansforbundet.dk