Dataskydd för förtroendevalda i förening/avdelning

Transkript

1 Dataskydd för förtroendevalda i förening/avdelning

2 Dataskyddsförordningen, eller GDPR som är den engelska förkortningen, trädde i kraft 25 maj 2018 och gäller alla oss som behandlar personuppgifter. Som förtroendevald i Ledarna behandlar du personuppgifter i flera olika sammanhang för att kunna utföra ditt uppdrag, till exempel när du kallar till möten. Det är uppgifter som behandlas helt eller delvis på automatisk väg, framförallt med dator, men även personuppgifter som ingår i eller kommer att ingå i ett register. Eftersom just uppgiften om fackligt medlemskap räknas till känslig personuppgift i dataskyddsförordningen behöver vi vara särskilt varsamma med att alla krav i förordningen är uppfyllda när vi behandlar personuppgifter.

3 Principerna för dataskydd

4 Dataskyddsförordningen gäller alla som behandlar personuppgifter I Ledarnas fall kan det vara till exempel anställda, på en arbetsplats, förtroendevalda i förening, konsulter eller andra leverantörer och samarbetspartners. Alla vi ska se till att medlemmar och andra registrerade känner sig trygga med att vi är rädda om deras personuppgifter, att vi bara använder dem för de ändamål vi sagt och inte missbrukar dem på något sätt.

5 Grundläggande principer för personuppgiftsbehandling I dataskyddsförordningen finns ett antal grundläggande principer som gäller för all personuppgiftsbehandling. Det innebär bland annat att: Måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter. Bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål. Inte ska behandla fler personuppgifter än vad som behövs för ändamålen. Ska se till att personuppgifterna är riktiga. Ska radera personuppgifterna när de inte längre behövs. Ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs. Ska kunna visa att och hur du lever upp till dataskyddsförordningen.

6 Vad är en personuppgift? Personuppgifter är all slags information om en identifierbar fysisk person, till exempel namn, IP-adress, fotografier, ljudfiler, beteenden, preferenser, löneuppgifter och uppgifter om utbildning. Känsliga personuppgifter är till exempel facklig tillhörighet, politisk uppfattning, sexuell läggning eller hälsotillstånd. Det är förbjudet att behandla känsliga personuppgifter om man inte uppfyller något av kriterierna i dataskyddsförodningen artikel 6 och i artikel 9. Det betyder att vi som hanterar uppgifter om människors fackliga tillhörighet måste vara extra varsamma och mycket noga med att alla kriterier för att göra det är uppfyllda, oavsett vilken roll eller uppdrag vi har. Därför ska vi ha ordning och reda och veta vad vi gör, varför vi gör det, hur vi gör det och vem som gör. Dataskyddsförordningen kräver också att vi ska kunna visa upp hur vi arbetar och ha dokumentation som stödjer det.

7 Vad är en personuppgiftsbehandling? Personuppgiftsbehandling är det vi gör med personuppgifterna, till exempel att samla in och på olika sätt använda uppgifterna eller lämna ut dem till utomstående. Även passiva åtgärder som att lagra personuppgifter i IT-system är behandling. Och enkla saker som att skriva ut ett dokument är en personuppgiftsbehandling om det finns personuppgifter i dokumentet. Den person vars personuppgifter vi behandlar kallas för registrerad. I Ledarnas fall kan det vara en medlem eller en person som inte är medlem, till exempel en medlem i ett annat förbund eller en gäst som finns med på en deltagarlista.

8 Vad kan hända om man inte följer GDPR? Många skräms av att man kan få betala höga administrativa sanktionsavgifter om man bryter mot dataskyddsförordningen (GDPR). Och det är sant att sanktionerna för att bryta mot lagen är stränga. Datainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen. Det blir förmodligen inte vanligt att Datainspektionen beslutar om maximala sanktionsavgifter. Men den stora risken är istället att förtroendet för Ledarna skadas om det visar sig att vi inte hanterat personuppgifter på det sätt som man ska. Vi ska vara rädda om medlemmarnas personuppgifter.

9 Det gemensamma personuppgiftsansvaret ditt ansvar

10 Alla personuppgiftsbehandlingar i Ledarna har sitt ursprung i den verksamheten vi bedriver. Och grunden för all verksamhet definieras i Ledarnas stadgar. Det är också anledningen till att alla vi som arbetar i eller har uppdrag för Ledarna har ett gemensamt personuppgiftsansvar. Och det ger oss möjligheten att dela de personuppgifter som vi behöver för att fullgöra våra åtaganden med varandra inom Ledarna. Stadgar Förbundskansli Föreningar Avdelningar Styrelse Verkställande direktör Klubbar Förtroendevalda med klubb Anställda Förtroendevalda utan klubb HÄR FINNS DU!

11 Vem har ansvar för vad? I datasskyddsförordningen finns ett antal olika roller: Personuppgiftsansvarig är den som bestämmer över behandlingen av personuppgifter. Oftast är det en juridisk person, alltså ett företag eller en organisation, som har personuppgiftsansvar. Ledarna, branschföreningarna, avdelningarna och Ledarnas klubbar bestämmer över personuppgiftsbehandlingen i verksamheten. Du som är förtroendevald ska alltså tillsammans med Ledarnas anställda och andra som har uppdrag för Ledarna se till att reglerna följs. Du ska också säkerställa att vi bedriver bästa möjliga verksamhet samtidigt som vi skyddar de registrerades rättigheter på det sätt som dataskyddsförordningen föreskriver. Personuppgiftsbiträde är ett företag eller en organisation som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Ofta en underleverantör eller konsult. Ett personuppgiftsbiträdesavtal måste alltid upprättas. Det kan vara bra att veta att det finns fackliga organisationer som valt att se sina fackliga förtroendevalda som personuppgiftsbiträden och att det finns arbetsgivare som också vill se förtroendevalda på det sättet. Men Ledarna har alltså valt en konstruktion där vi alla anställda, företrädare och förtroendevalda i föreningar är personuppgiftsansvariga. Skulle det uppstå frågor i ditt uppdrag kring detta så kontaktar du Ledarnas dataskyddsombud så hjälps vi åt att reda ut vad som gäller och hur du ska agera.

12 Du ska kunna visa att du gör rätt En av de grundläggande principerna är att man ska kunna visa att, och hur, man lever upp till dataskyddsförordningen. Förteckningen över personuppgiftsbehandlingar är ett arbetsredskap som hjäper dig att uppfylla det här kravet (se förra avsnittet om principer för dataskydd).

13 Du ska ha rättslig grund En annan av de grundläggande principerna är att man måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter. Utan rättslig grund är personuppgiftsbehandlingen inte laglig. I personuppgiftsförteckningen finns det angivet vilken eller vilka rättliga grunder du stödjer din personuppgiftsbehandling på. Grunder för personuppgiftsbehandling - artikel 6 1. Avtal Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige. För Ledarnas del gäller att vi, så långt det är möjligt, använder medlemsavtalet som rättslig grund när vi behandlar medlemmarnas personuppgifter. Ledarnas medlemmar ingår ett avtal om medlemskap med Ledarna när de blir medlemmar. I den överenskommelsen ingår att Ledarna ska leverera det som ingår i medlemserbjudandet, till exempel förhandlingshjälp, utskick, få introduktion och delta i aktiviteter. Men också att medlemmen ska betala medlemsavgift och följa stadgarna.

14 2. Rättslig förpliktelse Det finns lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet. För Ledarnas del är det till exempel skattelagstiftning, bokföringsregler och liknande. 3. Intresseavvägning Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet. För Ledarnas del är det till exempel hantering av personuppgifter i samband med medlemsrekrytering. 4. Samtycke Den registrerade har sagt ja till personuppgiftsbehandlingen. De personuppgifter man lämnat samtycke till får inte användas för något annat än det ändamål man samtyckt till. Den som lämnat samtycket kan också återkalla det och då får personuppgifterna inte längre användas. För Ledarnas del gäller att vi, så långt det är möjligt, använder medlemsavtalet som rättslig grund när vi behandlar medlemmarnas personuppgifter. Vi kommer bara använda samtycke när det är absolut nödvändigt, till exempel för att medverka med namn och bild på webben, i sociala medier och i tryckt information. Det gör det enklare både för medlemmarna och för oss. 5. Myndighetsutövning och uppgift av allmänt intresse Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse. 6. Grundläggande intresse Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.

15 Den registrerades rättigheter De personer vars personuppgifter behandlas, de registrerade, har rättigheter enligt dataskyddsförordningen. De innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de också bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller begränade. De har också rätt att få ut eller flytta sina uppgifter. I avsnittet Ha koll och förvara säkert får du fler tips om hur du agerar så att du uppfyller de registrerades rättigheter.

16 Ta hjälp av dataskyddsombudet Om en registrerad person vänder sig till dig och ber att få ett registerutdrag ska du omgående vända dig till Ledarnas Dataskyddsombud (DSO) så att ni tillsammans kan sammanställa uppgifterna och på så sätt uppfylla medlemmens rättigheter som registrerad. Detsamma gäller om man hör av sig och säger att man vill bli bortglömd. Ledarna kan ha både rätten och behovet att behålla uppgifter även om den registrerade ber att alla eller delar av de uppgifter som finns ska raderas. Ett exempel är att bokföringslagen kräver att man sparar vissa uppgifter i sju år. Att en registrerad person har rätt att vända sig till dig som förtroendevalda har också sin grund i att vi har ett gemensamt personuppgiftsansvar. Det ska vara enkelt för de registrerade att få sina rättigheter tillgodosedda.

17 Dataskyddsombudet ger dig stöd och råd

18 Eftersom Ledarna, Ledarnas företrädare samt förtroendevalda hanterar känsliga personuppgifter i stor omfattning är vi enligt dataskyddsförordningen skyldiga att ha ett dataskyddsombud (DSO). Dataskyddsombudet är en slags internrevisor som stöttar, ger råd och övervakar att Ledarna följer dataskyddsförordningen. Dataskyddsombudet ska också vara kontaktperson för medlemmarna samt samarbeta med och vara kontaktperson för Datainspektionen. Ledarnas dataskyddsombud Binta-Madina Stamenovic är dataskyddsombud även för Ledarnas klubbar, Ledarnas förtroendevalda och branschföreningar. Vänd dig till dataskyddsombudet om du känner dig osäker på hur du ska agera eller över vilket ansvar du har när det gäller dataskyddsförordningen. Du ska också vända dig dit om en medlem hör av sig och vill ha ett registerutdrag eller vill bli bortglömd och raderad. Enklast når du henne via kontaktformuläret på ledarna.se. Var tydlig med att frågan handlar om dataskyddsförordningen (GDPR).

19 Att hålla koll och förvara säkert

20 Dataskyddsförordningen ställer höga krav på ordning och reda Du som är förtroendevald fungerar som personuppgiftsansvarig och: får bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål ska inte behandla fler personuppgifter än vad som behövs för ändamålen ska se till att personuppgifterna är riktiga ska radera personuppgifterna när de inte längre behövs ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs.

21 Personuppgiftsförteckningen är ett arbetsredskap För ordföranden och kassörer finns medlemsförteckningar att hämta på ledarna.se som ger en överblick och är ett arbetsredskap. Där ser man att syftet med de personuppgiftsbehandlingar som förtroendevalda vanligen gör är: Medlemsmöten Registervård Eventuella styrelsemöten eller årsmöten Eftersom du ska ha förteckningen aktuell och kunna skicka in den till Ledarnas dataskyddsombud på begäran behöver du gå igenom förteckningen och stämma av den mot de personuppgiftsbehandlingar du gör. Om du behöver, komplettera listan med eventuella övriga personuppgiftsbehandlingar som du gör i egenskap av förtroendevald. Skaffa dig också en rutin att revidera listan regelbundet.

22 Dataskydd i förtroendeuppdraget Hantera alla uppgifter på samma sätt. Spara bara det du behöver för att fullgöra ditt uppdrag och släng uppgifterna när de inte längre är nödvändiga. Gör så här: Skapa en särskild mapp för de digitala dokument som hör till förtroendeuppdraget. Sätt behörighet på mappen så att bara du själv kommet åt den. Sätt också lösenordsskydd på mappen. Tänk på att radera eventuella mejl som innehåller det du sparat i mappen. Gå igenom mappen regelbundet och radera ett dokument eller innehåll i dokument så fort det inte längre behövs.

23 Medlemslista = känsliga personuppgifter Medlemslistor är till för att du som är förtroendevald ska veta vilka medlemmar du är förtroendevald för i annan förening och ha rätt uppgifter om dessa. När du hämtar medlemslistor hos Ledarna får du endast information om medlemmarna i din förening/avdelning. Personer med skyddade personuppgifter är borttagna. Tänk på att uppgift om fackligt medlemskap är en känslig personuppgift. Tänk också på att du inte får lämna ut listan utan att du bara hämtar den för att kunna utföra ditt uppdrag som förtroendevald. Följande gäller när du hämtar en medlemslista: Listan är endast för eget bruk. Den får inte lämnas vidare. Du är skyldig att förvara och hantera listan på ett säkert sätt. Spara bara de uppgifter som verkligen behövs och spara dem inte längre än nödvändigt. Listan ska raderas när uppgifterna inte längre är nödvändiga. När du avslutar ditt uppdrag ska eventuella medlemslistor du har raderas.

24 Kan man bli bortglömd? En registrerad kan begära att den personuppgiftsansvarige ska radera uppgifter. Detta är självklart till exempel om det handlar om direkt felaktiga uppgifter. Men frågan om att bli raderad och bortglömd är mera komplicerad än så. Den personuppgiftsansvarige kan ha både rätten och behovet att behålla uppgifterna ändå. Ett exempel är att bokföringslagen kräver att man sparar vissa uppgifter i sju år. Ett annat exempel är uppgifter som behövs om medlemmen eller en före detta medlem skulle framställa krav mot Ledarna med påstående om felaktig rådgivning. Förhandlingsprotokoll och noteringar om råd kan vi alltså inte radera, utan ska spara i tio år. Även om någon väljer att avsluta sitt medlemskap i Ledarna, kommer det att finnas kvar uppgifter om att hen var medlem och under vilken tid.

25 Att ha kontakt med medlemmarna I ditt uppdrag som förtroendevald behöver du ha kontakt med medlemmarna. Tänk på att allt som skickas med e-post omfattas av dataskyddsförordningens regler. Det innebär att du behöver tänka till kring vad du e-postar och hur. Tips för e-post: Skicka bara de personuppgifter som verkligen behövs för den specifika situationen. Undvik att skicka med personnummer i e-posten. Skicka ett mejl i taget så att du undviker långa mejltrådar Om du har flera mottagare skicka som hemlig kopia så ser inte mottagarna varandra

26 Dataskydd vid möten och aktiviteter Upplys deltagarna redan vid anmälan om hur deras person uppgifter kommer att hanteras. En deltagarlista är till för att pricka av närvaro och annan administration i direkt anknytning till en aktivitet. Ha så lite som möjligt på deltagarlistan eftersom du inte ska behandla personuppgifter i onödan. Det räcker med förnamn, efternamn, organisation och telefonnummer. Se till att den som är ansvarig vet hur hen ska göra före, under och efter aktiviteten Pricka av närvaro på plats individuellt istället för att skicka ut listan med e-post. Tänk in tid för detta när du planerar aktiviteten. Ge deltagarna möjlighet att själva skriva en namnskylt. Meddela vid start vad som gäller för fotografering och film. Ingen publicering om inte alla på bilden samtyckt. Lämna aldrig ut deltagarlistan. Uppmana istället deltagarna att själva byta kontaktuppgifter med varandra. Ta med den avprickade listan efter aktiviteten. Spara den om det behövs. Vi har rätt att spara deltagarlistor för viss administration, till exempel för att skicka kursutvärdering eller som redovisningsunderlag. Deltagarlistor får inte publiceras i några kanaler, inte heller i inloggat läge på webben. Ge deltagarna möjlighet att själva skriva en namnskylt. 10. Om externa föreläsare eller konsulter begär eller behöver ha åtkomst till deltagarlistan ska det framgå i avtalet vilka regler som gäller.

27 Dataskydd vid möten och aktiviteter Detta innebär också att: Vi meddelar antal deltagare till konferensanläggning, men inte namn på deltagarna. Undantaget är konferens med övernattning. Då har vi rätt att skicka deltagarnas förnamn och efternamn. Skriv in i avtalet med den som har lokalen/konferensanläggningen att behandling av personuppgifter ska ske enligt dataskyddsförordningen (GDPR). Vi meddelar behov av specialkost och hjälpmedel, men inte namn på dem som ska ha det. Observera att information som rör hälsa är känsliga uppgifter som ska slängas så fort de inte längre är nödvändiga. Notera att vi aldrig kan publicera bilder på webb och i sociala medier och redaktionellt material om inte alla på bilden samtyckt. Man ska alltid upplysa om att man tar bilder och filmar så att deltagarna kan säga till om de inte vill vara med. Observera att personuppgiftsbehandlingen börjar så fort det finns en bild i kameran. Det är alltså inte publiceringen som är problemet.

28 Om något händer incidentrapportering

29 Ta alltid kontakt med Ledarna om du tror att personuppgifter har förkommit eller om någon obehörig har fått tag på dem. DSO ska anmäla till Datainspektionen Alla sådana här incidenter ska bedömas av Ledarnas dataskyddsombud innan en eventuell rapport skickas till Datainspektionen. Dataskyddsombudet har 72 timmar på sig att anmäla allvarliga incidenter, så det är viktigt att du agera snabbt. Den som är drabbad måste få veta Dataskyddsombudet har också som sitt ansvar att omedelbart informera de registrerade om det är stor risk för att deras rättigheter och friheter kan påverkas, till exempel om det finns risk för id-stöld eller bedrägeri. Kontakta Ledarna via kontaktformuläret om du upptäcker att något hänt. Kom ihåg! I att alla vi som har uppdrag för Ledarna ska se till att medlemmar och andra registrerade känner sig trygga med att vi är rädda om deras personuppgifter.