Frågor och svar om GDPR

Information in English.

De vanligaste frågor och svar om hur vi på Sveriges Ingenjörer hanterar personuppgifter enligt GDPR.

För dig som medlem

GDPR står för General Data Protection Regulation och brukar översättas till dataskyddsförordningen. Det är en EU-förordning som gäller i Sverige direkt såsom om den vore en svensk lag. Den ersätter personuppgiftslagen PUL, som inte längre gäller när GDPR trätt i kraft. GDPR precis som PUL reglerar rätten och sättet att behandla personuppgifter i organisationer.

GDPR börjar att gälla den 25 maj 2018.

Datainspektionen är tillsynsmyndigheten för dataskyddsfrågor och på deras hemsida finns information om GDPR. Det går också att kontakta Datainspektionen och ställa frågor. De har gett ut material med information om vad som gäller för dataskydd och integritet på arbetsplatser. Besök webbplatsen  www.datainspektionen.se

Ansvarig för förberedelser inför införandet av GDPR på Sveriges Ingenjörer är förbundsjurist Ola Sundström. Det går även att kontakta förbundets dataskyddsombud för frågor om personuppgiftsbehandling. Har du allmänna frågor om förbundets dataskyddsarbete kan du maila dessa till GDPR@Sverigesingenjorer.se.

Enligt GDPR ska organisationer som behandlar känsliga uppgifter utse ett dataskyddsombud. Sveriges Ingenjörer behandlar i sin kärnverksamhet regelbundet känsliga personuppgifter i form av facklig tillhörighet, och vi tillhör därför den kategori av organisationer som måste utse dataskyddsombud. Dataskyddsombudet är expert på dataskyddsfrågor och stödjer organisationen i sådant arbete. Ombudet har en hög grad av oberoende gentemot den personuppgiftsansvariga och har en lagstadgad uppgift att övervaka organisationens dataskyddsarbete. Den vars personuppgifter behandlas av Sveriges Ingenjörer har rätt att vända sig till dataskyddsombudet och få information om vår hantering. Sveriges Ingenjörers dataskyddsombud är anställd på Saco, men har inte tillträtt ännu, och nås tills vidare på telefon 08-613 48 00.

GDPR ersätter personuppgiftslagen (PUL). I stora delar är regelverket likalydande men några skillnader införs. En viktig skillnad är att den så kallade missbruksregeln försvinner. Tidigare omfattades inte ostrukturerat material, till exempel Word-dokument, mail mm, av PUL men detta omfattas av GDPR. Det innebär att även personuppgifter i löpande text, i mail, på Webben eller i ärendehanteringssystem omfattas av bestämmelserna.


En viktig skillnad är de nya administrativa sanktionsavgifterna. Avsikten är att bestämmelserna om personuppgiftsbehandling ska få ett större genomslag än de tidigare reglerna och därför är det uttryckt att sanktionsavgifterna ska vara högre än avgifterna/skadestånden i PUL.


En annan skillnad är att det tillkommer en utökad informationsskyldighet för personuppgiftsansvariga. Det innebär att de registrerade ska få information om vilken behandling som görs och även vissa rättigheter att få sina personuppgifter raderade eller att bli glömda av organisationer.

En personuppgift definieras i GDPR art 4.1 som varje upplysning som direkt eller indirekt kan kopplas samman med en fysisk person som är i livet. Det kan exempelvis handla om namn, personnummer, e-postadress, IP-adresser, bilder, fingeravtryck eller mer abstrakta beskrivningar som "förbundsdirektören på Sveriges Ingenjörer".

Det juridiska ansvaret för hur personuppgifter behandlas har Sveriges Ingenjörer. Ansvaret för personuppgiftsbehandling för Sveriges Ingenjörers medlemmar har förbundet centralt, även om hanteringen sker hos den lokala akademikerföreningen. Akademikerföreningen behandlar i de fall personuppgifterna för förbundets räkning.

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.


Sveriges Ingenjörer har avtal med flera aktörer som utgör personuppgiftsbiträden åt förbundet. Det är till exempel våra IT-leverantörer som administrerar våra ärendehanteringssystem och medlemsregister. Det är även andra förbund inom Saco som kan företräda våra medlemmar på arbetsplatser där de förbunden är större än Sveriges Ingenjörer eller lokalföreningar som företräder medlemmarna lokalt på arbetsplatsen. Personuppgiftsbiträden är också de aktörer som administrerar utskick av tidningen Ny Teknik och skrifter till Skyddsombud. Vi har även personuppgiftsbiträdesavtal med försäkringsbolag som administrerar gruppförsäkringar och erbjudanden om försäkringar till förbundets medlemmar.

En medlem har rätt att få information om den personuppgiftsbehandling som förbundet utför, dels vid insamlandet, dels när denne begär det. Informationen ska omfatta information om vilken behandling den personuppgiftsansvarige har gjort. Informationen ska vara sammanfattad och begriplig för medlemmen och lämnas i ett klart och tydligt språk. Information till medlemmen måste inte omfatta personuppgifter som denne själv lämnat till förbundet om det är klart att medlemmen redan känner till dessa, men däremot uppgifter som inhämtats från annat håll, exempelvis SPAR eller liknande. Medlemmen har alltid rätt att få information om vem som är personuppgiftsansvarig, vilket ändamålet är för hanteringen, om uppgifterna delats med annan part och om uppgifterna har förts utanför EU/EES-området.

För dig som förtroendevald

Ett registerutdrag för i dagligt tal tanken till en myndighet som för register, exempelvis belastningsregister, misstankeregister och dylikt. Med registerutdrag i GDPR:s mening avses en sammanställning av den personuppgiftsbehandling som förbundet vidtagit, enligt punkten ovan. Registerutdrag eller information ska lämnas så snart det är möjligt och som längst får det ta en månad att lämna ut informationen. Om en medlem vill ha ut flera registerutdrag med kort mellanrum har förbundet rätt att ta betalt för det.

Enligt GDPR har medlemmar rätt att bli "glömda". Det innebär att information om dem blir borttagen ur våra system. Det går inte att bli glömd samtidigt som man är medlem i förbundet, men däremot efter avslutat medlemskap. Om en tidigare medlem vill bli glömd ska denne kontakta Sveriges Ingenjörers kansli.

Om det ingår i ditt fackliga uppdrag att uppge vilka medlemmar som ingår i föreningen kan du lämna dessa uppgifter till arbetsgivaren. Du måste till exempel ange vilka medlemmar som ska omfattas av en lönerevision eller en arbetsbristförhandling. Om en medlem vill hålla hemligt för arbetsgivaren vilken facklig tillhörighet hen har kan du inte företräda hen. Det bör, ur ett GDPR-perspektiv, vara möjligt att vara ”hemlig medlem” i lokalföreningen, men det innebär att medlemmen inte kan bli företrädd i förhandlingar eller lönerevisioner och även att arbetsgivaren inte är skyldig att tillämpa Sveriges Ingenjörers kollektivavtal på medlemmen.

GDPR reglerar inte den frågan explicit. Däremot har arbetsgivaren alltid rätt att behandla personuppgifter om det finns en rättslig förpliktelse att fullgöra. Det finns olika rättsliga förpliktelser i arbetsrättsliga lagar och i kollektivavtal som kräver att arbetsgivaren tillhandahåller uppgifter inför vissa MBL-förhandlingar och lönekartläggningar. Olika arbetsgivare och arbetsgivareförbund bedömer saken olika men klart är att arbetsgivaren får lämna ut personuppgifter om det finns en rättslig förpliktelse.

Sveriges Ingenjörer är personuppgiftsansvariga och lokalföreningen utgör ett personuppgiftsbiträde. Det föreligger ett avtalsmässigt förhållande mellan lokalföreningen och förbundet. Det är med anledning av detta tillåtet att dela uppgifter mellan de två nivåerna. Självklart måste även sådan behandling omfattas av syftet med behandlingen och vara nödvändig för att bedriva fackligt arbete. När känsliga personuppgifter eller personuppgifter som omfattar personnummer skickas ska det göras med särskilda säkerhetsåtgärder vidtagna. Det kan innebära kryptering eller lösenordsskydd. Vid all personuppgiftsbehandling och särskilt gällande känsliga personuppgifter ska delning ske endast om det är nödvändigt.

Lokala medlemslistor måste hållas uppdaterade och uppgifter ska rensas om någon medlem går ur förbundet eller byter arbetsplats. Gamla medlemslistor får sparas under den tid det behövs för att kunna försvara sig mot rättsliga anspråk, såsom exempelvis krav på skadestånd. Om excelfilerna är del av den fackliga verksamheten får de sparas så länge de är en del av verksamheten.

Om inte arbetsgivaren har invändningar mot det kan ni använda de servrar som tillhandahålls på arbetsplatsen. Tillsvidare gör Sveriges Ingenjörer ingen annan bedömning än att det går att fortsätta att använda arbetsgivarens servrar och e-post för hantering av medlemmars personuppgifter inom ramen för det fackliga uppdraget.

All e-post som skickas ut till medlemmar kollektivt riskerar att avslöja facklig tillhörighet. Utskick till flera medlemmar ska därför alltid skickas på ett sätt så att de andra mottagarnas e-postadresser inte visas. Om e-posten innehåller känsliga personuppgifter eller personnummer är vår starka rekommendation att den krypteras och lösenordskyddas. Om det går att undvika personnummer så ska det göras.

Bilder på personer utgör personuppgifter om personen går att identifiera. Om ni vill behandla bilder genom lagring och framförallt genom publicering på webbplatsen eller i sociala medier ska ni alltid skaffa ett samtycke till det.

Förtroendevalda som har höga positioner inom förbundet, medlemmar i förbundsstyrelsen, och inom akademikerföreningar anses ha offentliggjort sin fackliga tillhörighet och får därmed räkna med att deras bilder publiceras. I osäkra fall ska även förtroendevalda tillfrågas om samtycke innan behandling och publicering.

All lagring måste ske på ett säkert sätt. Om det sparas i pappersform ska det hållas inlåst i utrymmen med begränsat tillträde.

Lönerevisionen är en viktig del av det fackliga arbetet och för att kunna tillvarata medlemmarnas intressen får vi behandla personuppgifter i sådant arbete. De generella åtgärderna för säker förvaring och hantering gäller även då. Vi har fått frågor om det är tillåtet att spara personuppgifter från tidigare lönerevisioner för att se utveckling över tid för enskilda medlemmar. Vår bedömning är att även detta är tillåtet så länge inte medlemmen avslutat sitt medlemskap eller bytt arbetsgivare. 

Du kan spara alla förhandlingsprotokoll under den tid en medlem har rättslig möjlighet att rikta rättsliga anspråk mot förbundet med anledning av tvisten. Det avgörs av vilken preskriptionstid som gäller. Enligt svensk lag gäller en preskriptionstid på tio år om inget annat följer av lag eller avtal. Du kan alltså spara förhandlingsprotokoll i tio år efter avslutad lokal förhandling, och i förkommande fall tio år efter avslutad central förhandling.

Ja, du kommer även fortsättningsvis att kunna se och ta fram listor på medlemmar i din lokalförening. I dagsläget finns dock ingen lösning för att kunna söka på specifika medlemmar. 

Det arbetet är inte färdigt ännu så det är oklart i nuläget.

Om du behandlar personuppgifter för anställda för att försöka rekrytera dessa kan du behandla dessa med stöd av en proportionalitetsavvägning. Det innebär att du har rätt att använda listorna i ditt rekryteringsarbete. Om en anställd klart och tydligt svarat att den inte vill bli rekryterad måste du dock föra bort den från listan.