Menu luk

GDPR for tillidsvalgte

GDPR afgør, hvordan du må behandle dine medlemmers oplysninger, og hvilke arbejdsgange du skal følge, når du udfører dine opgaver som tillidsvalgt.

Når du behandler personoplysninger, er du omfattet af databeskyttelsesforordningen og databeskyttelseslovens regler – det gælder for kredse, faglige personaleforeninger, tillidsrepræsentanter og øvrige tillidsvalgte.

Det er derfor helt centralt, at du følger retningslinjerne, når du behandler personoplysninger om medlemmer samt potentielle og tidligere medlemmer.

Følsomme og fortrolige personoplysninger

Det er som udgangspunkt ikke tilladt at behandle følsomme og fortrolige oplysninger, medmindre der er et specifikt grundlag for det – for dig som tillidsvalgt vil det typisk være, at det er nødvendigt for, at du kan varetage dit tillidshverv.

Følsomme personoplysninger er ifølge Databeskyttelsesloven:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

Imens fortrolige personoplysninger fx er strafbare forhold og CPR-nummer samt andre personoplysninger, der typisk opfattes som fortrolige. Det kan bl.a. være

  • Væsentlige sociale problemer
  • Bortvisningsgrundlag
  • Indtægts- og formueforhold
  • Arbejds-, uddannelses- og ansættelsesmæssige forhold.
  • Interne familieforhold, herunder oplysninger om f.eks.​ selvmordsforsøg og ulykkestilfælde.

Det betyder, at almindelige personoplysninger kan være underlagt samme krav om beskyttelse som følsomme personoplysninger. Og endelig omfatter fortrolige personoplysninger også oplysninger, der ved fx særlove er gjort fortrolige.

Medlemmerne har ret til indsigt

De personer, som du og Finansforbundet behandler oplysninger om, har en række rettigheder, som vi skal sikre os, at vi lever op til.

To af de mest centrale rettigheder er, at personer har ret til at få oplyst, hvilke personoplysninger vi behandler, og hvad formålet/formålene er med behandlingen samt, retten til, i visse situationer, at få slettet deres oplysninger.

Hvis du modtager en indsigtsbegæring eller en anmodning om at få slettet oplysninger, skal du kontakte Finansforbundet på gdpr@finansforbundet.dk.

Finansforbundets GDPR-gruppe vil sammen med dig vurdere, hvad en indsigtsbegæring omfatter. Samtidig skal du selv sørge for at finde alle de informationer frem, du har om personen, da de muligvis skal bruges til at opfylde indsigtsretten.​

Medlems- og arbejdsskadessager skal slettes, når de er forældede

Sager skal slettes, når de er ældre end fem år (samt det indeværende år).

Hvis du har overdraget en sag til Finansforbundet eller til kredsen, er det Finansforbundet eller kredsen, der har pligt til at gemme dokumenterne indtil sagen er forældet. Det betyder, at du som tillidsvalgt skal slette dokumenterne, når formålet med at have dem liggende er ophørt, hvilket normalt vil være senest, når sagen er afgjort.

Hvad gør du, hvis uheldet er ude?

Får du mistanke om et brud på persondatasikkerheden eller på retningslinjerne, skal du hurtigst muligt kontakte Finansforbundet – send en mail til gdpr@finansforbundet.dk eller ring på tlf. 3296 4600. I GDPR-gruppen vil vi sammen med dig vurdere, om der er tale om et brud, der skal indberettes til Datatilsynet, og om vi skal underrette de personer, der er berørt.

Finansforbundet har som dataansvarlig 72 timer fra konstateringen af bruddet til at indberette det til Datatilsynet. Det er derfor afgørende, at vi modtager besked hurtigst muligt, så vi dels kan minimere generne for de registrerede og dels – hvis det er nødvendigt - indberette bruddet inden for fristen.

E-mails

Når du sender e-mails, skal du huske at:

  • Sikre dig, at den person du er ved at sende en mail til, er den korrekte modtager. Hvis dit e-mailprogram benytter Auto-complete af e-mailadresser, skal du være ekstra opmærksom på, om den e-mailadresse der foreslås, er den rigtige, inden du trykker på send.
  • Du ikke må have lister (distributionslister) med dine medlemmers kontaktoplysninger i mailsystemer, hvor andre har mulighed for at se listen. Hvis du har et arbejdsbetinget behov for at have en kontaktliste med dine medlemmer, skal du sikre dig, at listen kun er synlig for dig selv.
  • ​Sætte modtagerne i BCC-feltet, når du skriver til flere personer.
  • Markere e-mail med "privat", inden du sender den, så du sikrer, at den kun kan åbnes af den rette modtager - og ikke kan åbnes fx af en kollega, der passer en e-mail postkasse.
  • E-mails der indeholder følsomme og/eller fortrolige oplysninger skal sendes krypteret i forsendelsen (minimum TLS1.2-kryptering). Hvis du ikke kan sende krypteret, skal du kontakte Jura & Forhandling.
  • E-mails der indeholder mange følsomme og/eller mange fortrolige oplysninger om et eller flere medlemmer skal sendes og modtages krypteret (end-to-end-krypteret). Det kan f.eks. være i form af et dokument (Word, Excel), som du har krypteret med en adgangskode. Adgangskoden til dokumentet skal sendes i en separat meddelelse til modtager.
  • Du ikke må videresende personoplysninger, medmindre du har et konkret og specifikt arbejdsmæssigt behov. Kontakt Finansforbundet på gdpr@finansforbundet.dk, hvis du er i tvivl.
  • Du ikke må bruge mailsystemer som arkiv over medlemssager, men kun til den løbende korrespondance. Hvis du har et arbejdsbetinget behov for at gemme, skal du løbende flytte mails til et sikkert opbevaringssted.
  • Du løbende skal rydde op og slette i ind- og udbakke.

Kredsene kan bruge Finansforbundets nyhedsmailsystem Agillic, når de sender nyhedsmails. Kontakt Finansforbundet på 32 96 46 00, hvis du har brug for vejledning eller hjælp.

Fysiske dokumenter

Du skal så vidt muligt undgå at udskrive dokumenter med personoplysninger.

Fysiske dokumenter skal du makulere efter brug eller:

  • ​Opbevare i en låst sikkerhedscontainer eller i et skab med nøgle, hvis du skal gemme dem over længere tid (mere end 1 dag).
  • Transportere forsvarligt, hvis du er nødt til at tage dem væk fra arbejdspladsen. Det kan f.eks. være i en aflåst bil, et aflåst hus eller i håndbagagen, hvis du rejser med fly.
Elektroniske dokumenter

Når du arbejder med elektroniske dokumenter, fx e-mail, Word og Excel, som indeholder personoplysninger om dine medlemmer, ska​l du:

  • ​Opbevare dem på sikre drev, som kun medarbejdere med arbejdsbetingede behov har adgang til. Virksomhedens ledelse eller HR har i denne sammenhæng ikke et arbejdsbetinget behov.
  • Følge principperne i afsnittet "E-mail", når du har brug for at vedhæfte dokumenter.
  • Sikre dem ved brug af en ikke-letgenkendelig kode, hvis du transporterer dem på din pc, så de er sikret mod uvedkommendes adgang.

Du må som udgangspunkt ikke:

  • Gemme personoplysninger på transportable datamedier som fx eksterne usb-drev, usb-sticks eller lignende. Hvis du i særlige tilfælde har et arbejdsbetinget behov for dette, skal du sørge for, at filerne er krypteret (låst) med en ikke-letgenkendelig adgangskode.
  • Uploade dokumenter med personoplysninger til cloudbaserede løsninger. Kredskontorerne kan  benytte Finansnet, som er stillet til rådighed af Finansforbundet.  

Og husk som en generel ting, at du aldrig må videregive personoplysninger, medmindre du har et konkret og specifikt arbejdsmæssigt behov.

Kontakt Finansforbundet på gdpr@finansforbundet.dk, hvis du er i tvivl. ​

Medlemsblade og nyhedsbreve

Det er ikke længere tilladt at uddele fysiske medlemsblade eller fysiske nyhedsbreve direkte til medlemmer på arbejdspladsen. Årsagen er, at det lovgivningsmæssigt sidestilles med at sende en mail ud, hvor modtagerne kan se, hvem der er medlem af Finansforbundet.

Hvis I ønsker at uddele fysiske blade, nyhedsbreve el., skal I uddele til alle ansatte eller på en måde, hvor det ikke kan udledes, hvem der er medlemmer af Finansforbundet, f.eks. i en lukket kuvert. Alternativet er, at I sender ud med post.​

Billeder

Billeder er også at betragte som en personoplysning, hvis det er muligt at genkende én eller flere personer.

Hvis det af sammenhængen direkte eller indirekte fremgår, at personerne er medlemmer af Finansforbundet, skal du indhente samtykke fra hver enkelt til at bruge billedet.

Er du i tvivl, kan du kontakte Finansforbundets grafikere på design@finansforbundet.dk.

Kontingentopkrævning

Hvis I betaler kontingent via løntræk i din virksomhed, skal du skal sikre dig, at medlemmet har givet samtykke til løntræk, før du beder HR-funktionen om at oprette løntræk. Du kan altid få oplyst, om der er givet samtykke, hvis du kontakter Finansforbundets Medlemsservice på tlf. 3296 4600 eller ved at sende en mail til medlem@finansforbundet.dk.

Det vil også være Medlemsservice, der kontakter dig, når et nyt medlem bliver meldt ind eller overflyttes fra en anden virksomhed, og dem der oplyser, om vedkommende har givet samtykke til løntræk, der endnu ikke er oprettet.​

Må du behandle oplysninger om personer på din arbejdsplads, der ikke er medlemmer af Finansforbundet?

Ja, det må du gerne, fx når du forsøger at hverve nye medlemmer.

Når du forsøger at hverve et nyt medlem af Finansforbundet, handler du som tillidsrepræsentant på Finansforbundets vegne. Og da Finansforbundet som faglig organisation har en legitim ret til at forsøge at hverve medlemmer på arbejdspladserne inden for det finansielle område, har du som Finansforbundets repræsentant på arbejdspladsen den samme legitime ret til at forsøge at få flere medlemmer. Derfor må du i forbindelse med hvervning behandle almindelige personoplysninger, som fx navn, arbejdstelefon og mail.

Må du benytte virksomhedens interne telefonlister, når du skal finde kontaktoplysninger?

Ja, det må du gerne.

Hvilke oplysninger må du behandle, når du forsøger at hverve et nyt medlem?

Når du forsøger at hverve, må du behandle oplysninger som: navn, arbejdstelefon og mail. Du må også behandle oplysninger, som medarbejderen selv har offentliggjort på sociale medier som fx Facebook, LinkedIn. Du må ikke behandle cpr-nr., følsomme oplysninger, oplysninger om straffedomme eller oplysninger, der er fortrolige.

De grundlæggende principper for behandling af personoplysninger, når du hverver

Oplysningerne

  • skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til personen
  • må behandles til det, de er indsamlet til – i dette tilfælde til forsøg på hvervning. De må ikke behandles til andre formål, medmindre det/de andre formål er foreneligt med det formål, oplysningerne er indsamlet til
  • skal være relevante og begrænsede til, hvad der er nødvendigt i forhold til formålet (hvervning)
  • må ikke behandles i et længere tidsrum end nødvendigt og skal slettes, når formålet med behandlingen er ophørt
  • skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende oplysninger.
Hvorfra kan du få oplysninger fra, når du vil hverve?

Når du hverver, har du brug for oplysninger, der kan komme fra flere forskellige steder:

  • det kan være personen selv, der har givet dig oplysningerne
  • det kan være en kollega, der har givet dig oplysningerne
  • oplysningerne kan komme fra din arbejdsgiver (måske jeres HR-funktion) som har pligt til at informere den stedlige tillidsrepræsentant om nyansættelser
  • du kan selv have fundet oplysningerne i virksomhedens telefonlister
  • du kan have fundet oplysninger, der tydeligvis er offentliggjort af personen selv, fx på LinkedIn eller Facebook

Der kan formentlig være andre kilder til oplysninger, når du skal hverve. Fælles for alle kilder er, at du har lov til at bruge oplysningerne til at kontakte personen, og forsøge at hverve til medlemskab.

Må du give oplysningerne videre internt i virksomheden?

I har muligvis aftalt i jeres tillidsrepræsentantgruppe, at I hjælper hinanden med hverveopgaven. I den forbindelse må I gerne dele eller videregive personoplysninger til en TR-kollega, som så kan benytte oplysningerne til at forsøge at hverve.

Når I deler eller videregiver personoplysninger, gælder de grundlæggende principper for behandling af personoplysninger, som beskrevet ovenfor.

Må du sammenholde virksomhedens telefonliste med din medlemsliste fra Finansforbundet?

Ja, det må du gerne gøre manuelt, blot det ikke får karakter af automatisk registersamkøring, hvor der gælder helt særlige regler i registerlovgivningen.

Må du videregive personoplysninger til Finansforbundet?

Ja, du må gerne videregive personoplysninger til Finansforbundet, hvis formålet er at kunne kontakte personerne om medlemskab af Finansforbundet. Det er vigtigt i den forbindelse at være særligt opmærksom på reglerne i GDPR om åbenhed og gennemsigtighed i behandling af personoplysninger. Det er vigtigt, at der er fuld gennemsigtighed om, hvor oplysningerne kommer fra, hvad årsagen er, til at oplysningerne videregives til Finansforbundet (dialog om medlemskab), og at det sker på en måde, så det er tydeligt for den person, man videregiver oplysninger om.

Det betyder, at du ikke må videregive oplysninger til Finansforbundet uden at give besked om det til den person, oplysningerne handler om. Beskeden skal gives, inden du sender oplysningerne videre.

Kontakt os

32 66 14 04

Du er velkommen til at ringe til Jan Jeppesen, GDPR-koordinator.

Du kan også skrive til gdpr@finansforbundet.dk