GDPR-vejledning til tillidsrepræsentanter
DTP har udarbejdet denne vejledning til dig, der er TR, så du altid ved, hvordan du skal håndtere dine kollegers personoplysninger.
Denne vejledning er tænkt som en hjælp og instruks og indeholder en beskrivelse af reglerne vedrørende persondata og DTP's forståelse af reglerne. Vejledningen gælder for alle TR, der er valgt på det kommunale og regionale område, herunder andre offentlige virksomheder, der følger SHK's overenskomster på det offentlige område. Formålet med denne vejledning er at sikre, at DTP fortsat kan beskytte medlemmernes personoplysninger, og at håndteringen af oplysningerne altid følger lovgivningen på området.
DTP er dataansvarlig for dig som TR på det offentlige område. Som TR betragtes du som en lokal repræsentant for DTP på arbejdspladsen. DTP har i forbindelse med valget af dit hverv som TR delegeret en række beføjelser til dig, herunder bl.a. retten til at forhandle løn på vegne af DTP. Disse beføjelser følger af MED-aftalen og det bemyndigelsesbrev/den mail du fik, da du blev anmeldt som TR til din arbejdsgiver. Som TR er du underlagt DTP's instruks. Det betyder, at DTP er dataansvarlig for din overholdelse af datareglerne (GPDR-forordningen og databeskyttelsesloven). Det betyder også, at DTP kan give dig bindende instrukser i forhold til din håndtering af persondata, og at du er forpligtet til at leve op til reglerne i denne vejledning. Det er kun i din funktion som TR, at du er omfattet af DTP's dataansvar og instruktionsbeføjelser.
Det betyder, at du, for at beskytte dig selv, skal holde dig inden for det mandat, vi har givet dig som TR, og det kun er inden for denne opgave, at du er beskyttet af, at det er DTP, der er dataansvarlig.
Vi beskriver dit mandat herunder for at tydeliggøre, hvad der er det allervigtigste, du skal forholde dig til.
TR's mandat
Din TR-opgave er afgrænset funktionen som TR og består overordnet i at være talsmand for dine kolleger over for ledelsen på ansættelsesstedet, hvilket adskiller sig fra det arbejde, som TR normalt udfører i sit ansættelsesforhold. Idet du som TR håndterer mange oplysninger, herunder personfølsomme oplysninger, har DTP valgt at definere dine opgaver konkret i denne instruks, således at du i forbindelse med din funktion handler under DTP's dataansvar. Det skal understreges, at såfremt du som TR foretager dig handlinger uden for de nedenstående områder, kan du vurderes at være dataansvarlig. Såfremt du er usikker på, om en opgave omfattes af denne instruks, og du ikke kan finde den på nedenstående liste, skal du kontakte en juridisk konsulent i DTP.
TR-opgaver
Opgaver som omhandler overenskomstmæssige forhold, herunder lokalt sikre, at overenskomsten efterleves (både for medlemmer og ikke medlemmer):
- Forhandle løn for tandplejere på arbejdspladsen
- Kontrollere, om overenskomsterne overholdes
Opgaver som omhandler arbejdsretlige forhold:
- Orienteres og rådgive om personalereduktion
- Orienteres og rådgive om konkrete fratrædelser
Bindeled mellem ledelse, de medarbejdere som TR repræsenterer og DTP:
- Informationer om forhold for kolleger som TR får af ledelsen
- Informationer om forhold for kolleger som TR får af kolleger
- Informationer om forhold for kollegaer som TR får af kollegaen selv
Medvirkende i tvisteløsning, i første omgang gennem lokal forhandling med ansættelsesstedets ledelse:
- Deltagelse i møde om konflikten med begge eller en af parterne
Brug kun computer som arbejdsgiveren har stillet til rådighed. Arbejdsgiveren har pligt til at stille en computer til rådighed for dit TR-arbejde. Normalt vil det være din arbejds-pc, som arbejdsgiveren stiller til rådighed. Dette sikrer, at der er en arbejdsplads, som tager hånd om og ansvar for sikkerheden på IT-udstyret. Derfor må du alene benytte disse redskaber til dit arbejde, og du må ikke bruge en privat computer eller gemme oplysninger på eksterne drev.
Hvad er personoplysninger
En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør denne identificérbar. Hvis oplysningerne derimod er anonyme, og medlemmer herved ikke længere kan identificeres, vil der ikke være tale om personoplysning.
Hvilke personoplysninger er der tale om?
Følsomme oplysninger:
- Fagforeningsmæssige forhold
- Oplysninger om helbredsmæssige forhold
- Seksuel orientering
- Racemæssig eller etnisk baggrund
- Politisk, religiøs eller filosofisk overbevisning
Almindelige oplysninger:
- Navn
- Privat adresse og privat telefonnummer
- CV og Uddannelse
- Billeder af medarbejdere
Fortrolige oplysninger:
- CPR-nummer er en kategori for sig og betragtes derfor ikke som en følsom oplysning, men det skal beskyttes lige så godt som personfølsomme oplysninger. Et CPR-nummer kan betragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et IT-system, hvorfor det falder inden for lovens område.
Grundlæggende principper for behandling af personoplysninger
Der er særligt fem hovedelementer i regelkomplekset, som du er forpligtet til at leve op til:
- Databrud
- Behandlingsregler og lagring af data
- Oplysningsforpligtelsen
- Indsigtsret
- Berigtigelse og sletning af data
Databrud
Det følger af datareglerne, at hvis der sker et databrud, skal den dataansvarlige vurdere, om der er pligt til at anmelde hændelsen til Datatilsynet. Anmeldelse skal ske inden for 72 timer efter hændelsen er konstateret.
Eksempler:
- Forkert behandling af persondata, fx videresendelse af oplysninger til en forkert modtager
- Mistet hardware, fx USB-nøgle, telefon, laptop
- Hacking, fx angreb udefra med risiko for tyveri af persondata
Hvis du bliver opmærksom på, at de oplysninger, du behandler som TR, kan være udsat for et af ovenstående eksempler, skal du straks tage kontakt til DTP. Det er derefter DTP's opgave at vurdere, om der skal foretages anmeldelse til Datatilsynet. Du skal som TR bidrage med oplysninger om hændelsesforløbet, så DTP får det fulde billede af episoden.
Behandlingsregler og lagring af data
Helt grundlæggende skal der ske en behandling af personoplysninger, før vi er inde i lovgivningen på området. Det kan fx være indsamling, registrering, systematisering, opbevaring og videregivelse af personoplysninger. For behandling af personoplysninger gælder der er række generelle principper, som altid skal være opfyldt, uanset hvilke personoplysninger der er tale om.
Overordnet skal oplysningerne behandles lovligt og på en gennemsigtig måde. Behandlingen skal have et lovligt formål og må hun behandles i forhold til formålet. Oplysninger, der behandles, skal begrænses til, hvad der er nødvendigt i forhold til formålet; ”dataminimering”. Oplysningerne må ikke opbevares i længere tid end nødvendigt, og behandlingen skal foretages på en sikker og fortrolig måde. Løbende og minimum en gang om året bør du gå dit TR-materiale igennem og sikre, at det materiale, du fortsat gemmer, er relevant for din funktion som TR.
Behandlingen skal foretages på en sikker og fortrolig måde: Medlemmernes personoplysninger skal altid behandles fortroligt. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et skrivebord, i en mappe på netværket eller i en fysisk mappe, som andre end du som TR har adgang til. Du bør derfor få et skab, der kan låses og en del af netværket fx et lokalt drev, som kun du og teknisk support fra IT-afdelingen har adgang til. Arbejdsgiver er jf. MED-aftalen på det kommunale og regionale område forpligtet til at stille et skab samt serverplads til rådighed for TR.
Du skal huske, når du er på arbejdspladsen:
- Rydde op på dit skrivebord – det vil sige ingen persondata på dit skrivebord
- ”Låse” din PC, når du forlader den
- Aldrig dele dit password med andre
- Makulere papir, der ikke længere er relevant at opbevare
- Send BCC, når du sender mail til flere modtagere
- Efterlad aldrig personoplysninger, så de kan læses af uvedkommende
Oplysningspligt
DTP har som dataansvarlig ansvaret for at oplyse medlemmerne om, at der behandles personoplysninger om dem, samt hvad formålet med behandlingen er og efter hvilke regler behandlingen foretages.
Indsigtsret
Medlemmer og ikke-medlemmer har ret til at se, hvilke personoplysninger du som TR har behandlet om vedkommende. Det betyder, at du skal kunne udlevere de pågældende oplysninger til den person, du behandler oplysninger om, hvis vedkommende ønsker det. Behandlingen skal ske inden for en måned, og hvis sagen er kompliceret, skal det ske inden for to måneder.
Rette og slette data samt berigtigelse
Den, du behandler persondata for som TR, har ret til at få berigtiget forkerte oplysninger. Hvis du er enig med personen i, at de persondata, du har registreret, er forkerte, skal du med det samme rette oplysningerne. Er du uenig i, at oplysningerne er forkerte, skal du sikre, at du ligeledes får registreret personens opfattelse af de persondata, som uenigheden vedrører.
Retten til at blive glemt
Du skal slette persondata, når det ikke længere er nødvendigt at opbevare data i forhold til de formål, hvortil de behandles. Det betyder fx, at når lønnen til et medlem er forhandlet på plads, har medlemmet ret til at få slettet persondata, som du har fået som en del af lønforhandlingen, medmindre du har brug for dem fortsat, for at kunne varetage dine forpligtigelser efter overenskomsten. Hvis du vil gemme oplysningerne herefter, er det et krav, at du anonymiserer oplysningerne, så oplysningerne ikke længere kan henføres til en person, eks. slette navn, e-mail, køn. Du kan kontakte arbejdspladsens IT-afdeling for at sikre, at data også bliver slettet i backuppen. Hvis du er i tvivl om, du er forpligtet til at slette oplysningerne, skal du kontakte en juridisk konsulent i DTP.
Hvis du stopper som TR
Når dit hverv som TR ophører, er du forpligtet til at gå de persondata, du har modtaget, igennem og videreoverdrage de persondata, du vurderer, forsat vil være nødvendige til varetagelsen af TR-hvervet til den nye TR. Evt. persondata, som ikke længere er relevante for TR-hvervet, eks. mails og fysiske dokumenter, skal slettes/makuleres. Hvis der ikke bliver valgt en ny TR i stedet for dig, skal du fremsende alle de persondata, du har modtaget i dit hverv som TR, til DTP.