Frågor och svar om GDPR

GDPR står för General Data Protection Regulation och brukar översättas till dataskyddsförordningen. Det är en EU-förordning som gäller i Sverige direkt såsom om den vore en svensk lag. Den ersätter personuppgiftslagen PUL, som inte längre gäller när GDPR trätt i kraft. GDPR precis som PUL reglerar rätten och sättet att behandla personuppgifter i organisationer.

En personuppgift definieras i GDPR art 4.1 som varje upplysning som direkt eller indirekt kan kopplas samman med en fysisk person som är i livet. Det kan exempelvis handla om namn, personnummer, e-postadress, IP-adresser, bilder, fingeravtryck eller mer abstrakta beskrivningar som "förbundsdirektören på Sveriges Ingenjörer".

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Sveriges Ingenjörer har avtal med flera aktörer som utgör personuppgiftsbiträden åt förbundet. Det är till exempel våra IT-leverantörer som administrerar våra olika IT-system.  Personuppgiftsbiträden är också de aktörer som administrerar utskick av tidningen Ny Teknik eller aktörer som vi samarbetar med för att erbjuda cv-granskning eller mentorskapstjänster exempelvis.  Vi har även personuppgiftsbiträdesavtal med försäkringsdistributionsbolag som administrerar gruppförsäkringar och erbjudanden om försäkringar till förbundets medlemmar.

Ansvarig för GDPR på Sveriges Ingenjörer är chefsjurist Heléne Robson.

Har du allmänna frågor om förbundets dataskyddsarbete kan du maila dessa till forhandling@Sverigesingenjorer.se.

Det går även att kontakta förbundets externa dataskyddsombud för frågor om personuppgiftsbehandling på dso@secify.com.

Det juridiska ansvaret för hur personuppgifter behandlas har Sveriges Ingenjörer. Ansvaret för personuppgiftsbehandling för Sveriges Ingenjörers medlemmar har förbundet centralt, även om hanteringen sker hos den lokala akademikerföreningen. Akademikerföreningen behandlar i förekommande fall personuppgifterna för förbundets räkning.

Enligt GDPR ska organisationer som behandlar känsliga uppgifter utse ett dataskyddsombud. Sveriges Ingenjörer behandlar i sin kärnverksamhet regelbundet känsliga personuppgifter i form av facklig tillhörighet, och vi tillhör därför den kategori av organisationer som måste utse dataskyddsombud. Dataskyddsombudet är expert på dataskyddsfrågor och stödjer organisationen i sådant arbete. Ombudet har en hög grad av oberoende gentemot den personuppgiftsansvariga och har en lagstadgad uppgift att övervaka organisationens dataskyddsarbete. Den vars personuppgifter behandlas av Sveriges Ingenjörer har rätt att vända sig till dataskyddsombudet och få information om vår hantering. Sveriges Ingenjörer har ett externt dataskyddsombud. Hon heter Aida Rokni och är anställd på Secify by Sweden AB och nås per e-post på dso@secify.com.

Sveriges Ingenjörer har ett externt dataskyddsombud. Hon heter Aida Rokni och är anställd på Secify by Sweden AB och nås per e-post på dso@secify.com.

En medlem har rätt att få information om den personuppgiftsbehandling som förbundet utför, dels vid insamlandet, dels när denne begär det. Informationen ska omfatta information om vilken behandling som förekommer hos den personuppgiftsansvarige. Informationen ska vara sammanfattad och begriplig och lämnas i ett klart och tydligt språk. Information till medlemmen måste inte omfatta personuppgifter som denne själv lämnat till förbundet om det är klart att medlemmen redan känner till dessa, men däremot uppgifter som inhämtats från annat håll, exempelvis SPAR eller liknande. Medlemmen har alltid rätt att få information om vem som är personuppgiftsansvarig, vilket ändamålet är för hanteringen, om uppgifterna delats med annan part och om uppgifterna har förts utanför EU/EES-området.

GDPR började gälla den 25 maj 2018.

Integritetsskyddsmyndigheten (IMY)är tillsynsmyndigheten för dataskyddsfrågor och på deras hemsida finns information om GDPR. Det går också att kontakta Integritetsskyddsmyndigheten och ställa frågor. De har gett ut material med information om vad som gäller för dataskydd och integritet på arbetsplatser. Besök webbplatsen  www.imy.se

Med registerutdrag i GDPR:s mening avses en sammanställning av den personuppgiftsbehandling som förbundet vidtagit, enligt punkten ovan. Registerutdrag eller information ska lämnas så snart det är möjligt och som längst får det ta en månad att lämna ut informationen. Om en medlem begär ut ett registerutdrag från er kan du vända dig till förbundet centralt för att få rådgivning kring vad du ska lämna ut samt se om även information som hanteras av förbundet centralt ska lämnas ut enligt medlemmens begäran. 

Enligt GDPR har medlemmar rätt att bli "glömda". Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Sveriges Ingenjörers kansli.

Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller uppge vilka du företräder inför en arbetsbristförhandling.  Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen.

GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.

Sveriges Ingenjörer är gemensamt personuppgiftsansvariga med de andra Sacoförbund som har medlemmar i lokalföreningen och man kan därför se att föreningen och de centrala förbunden tillhör samma ”organ” i den mening som avses i  dataskyddsförordningen. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas ska det göras med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.

Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.

Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar och e-postsystem som tillhandahålls på arbetsplatsen. för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget. Du ska dock se till så att åtkomsten till servrarna är behörighetsstyrd så att enbart styrelsen i föreningen har åtkomst till informationen. 

All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas genom att skicka med hemlig kopia.

På samma sätt ska du göra när du skickar till exempel en outlookinbjudan eller en teamsinbjudan, det vill säga säkerställa att inte medlemmarna kan se vilka andra personer som fått dessa inbjudningar. 

 Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.

Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det.

Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.

All lagring måste ske på ett säkert sätt. Om det sparas i pappersform ska det hållas inlåst i utrymmen med begränsat tillträde. Om det lagras på en digital yta ska den vara behörighetsstyrd så att bara styrelsen i lokalföreningen har tillgång till den.  

Lönerevisionen är en viktig del av det fackliga arbetet och för att kunna tillvarata medlemmarnas intressen får vi behandla personuppgifter i sådant arbete. De generella åtgärderna för säker förvaring och hantering gäller även då. Vi har fått frågor om det är tillåtet att spara personuppgifter från tidigare lönerevisioner för att se utveckling över tid för enskilda medlemmar. Vår bedömning är att även detta är tillåtet så länge inte medlemmen avslutat sitt medlemskap eller bytt arbetsgivare. 

Du kan spara alla förhandlingsprotokoll under den tid en medlem har rättslig möjlighet att rikta rättsliga anspråk mot förbundet med anledning av tvisten. Det avgörs av vilken preskriptionstid som gäller. Enligt svensk lag gäller en preskriptionstid på tio år om inget annat följer av lag eller avtal. Du kan alltså spara förhandlingsprotokoll i tio år efter avslutad lokal förhandling, och i förkommande fall tio år efter avslutad central förhandling.

Ja, du kommer även fortsättningsvis att kunna se och ta fram listor på medlemmar i din lokalförening. I dagsläget finns dock ingen lösning för att kunna söka på specifika medlemmar. 

Nej, vårt medlemsregister innehåller bara uppgifter om medlemmar i Sveriges Ingenjörer. Men du kan få hjälp av oss att få en uppdaterad medlemsförteckning om du har en lista över de anställda på arbetsplatsen med personnummer. Du kan vända dig till forhandling@sverigesingenjörer.se för hjälp detta. 

Om du behandlar personuppgifter för anställda för att försöka rekrytera dessa kan du behandla dessa med stöd av en proportionalitetsavvägning. Det innebär att du har rätt att använda listorna i ditt rekryteringsarbete. Om en anställd klart och tydligt svarat att den inte vill bli rekryterad måste du dock föra bort den från listan.

Från ett GDPR-perspektiv är det okej att använda teams för medlemsmöten. Notera att om man har en teams-grupp med medlemmar så röjer man deras fackliga tillhörighet till resterande personer i teams-gruppen. Det ska därför vara möjligt att kunna ta del av information utan att behöva vara med i teams-gruppen. Teams ska inte användas som en yta där information om medlemmar lagras.