GDPR-guiden

I medlemskapet ingår att bli företrädd lokalt på arbetsplatsen och därför är personuppgiftsbehandlingen som lokalföreningen/regionen utför tillåten. Den rättsliga grunden för att fullgöra det avtal som medlemskapet innebär är lag och kollektivavtal.

Sveriges Skolledare använder medlemmarnas uppgifter för att administrera medlemskap, tillvarata medlemmarnas intressen och fullgöra de skyldigheter förbundet har gentemot medlemmarna.

Förbundet behandlar därför personuppgifterna för att våra medlemmar ska:

• Få rådgivning och annat stöd i arbetsrättsliga, professions- och fackliga frågor (innefattar bland annat löneöversyn och rådgivning kring arbetslöshet och arbetsskada).
• Få rättshjälp genom att bli företrädd i samband med fackliga förhandlingar samt i processer i domstolar.
• Omfattas av kollektivavtals- och arbetsrättsliga förhandlingar.
• Få inkomstförsäkring som ingår i medlemskapet.
• Få möjlighet att teckna gruppförsäkringar.
• Få förbunds- och föreningstidningar.
• Få nyhetsbrev, medlemsinformation och liknande.
• Delta i utbildningar, seminarier och andra medlemsmöten.
• Betala rätt medlemsavgift.
• Kunna bli medlem i a-kassa.
• Omfattas av medlemsundersökningar.
• Omfattas av enkätutskick gällande bland annat lönestatistik.
• Få ta del av framställd lönestatistik.
• Ha aktuella kontaktuppgifter i medlemsregistret.

Vill lokalförening skicka ut egna enkäter till medlemmarna ska Monika Elowson godkänna detta, som enkätansvarig för förbundet. Vill ni skapa egen Facebooksida ska Maria Andén Bergström godkänna detta, som ansvarig utgivare.

Behandlingen får aldrig innebära att personuppgifter används för andra ändamål än för det som angavs när insamlingen skedde.

När lokalförening hämtar medlemslistor från förbundet ska du alltid fundera vilken information du behöver för det specifika ändamålet.

Ändamålen ska alltid anges i samband med insamlingen, till exempel löneöversyn. Detta bör alltid anges skriftligt. Det är inte alltid nödvändigt att ta ut listor eftersom medlemsförteckningen finns på Ombudsportalen.

Allt material som inte behöver sparas ska lokalföreningen göra sig av med på ett säkert sätt.

All lagring av personuppgifter i såväl elektronisk som annan form, måste ske på ett sådant sätt att inte fler än nödvändigt har tillgång till dem. Undvik därför att spara personuppgifter på flera ställen parallellt. Känsliga uppgifter ska hållas inlåsta.

Förbundet ska enligt krav i GDPR kunna kontrollera personuppgifter som lokalförening hanterar för förbundets räkning, ska lagringen av personuppgifter ske strukturerat.

Samla protokoll, anteckningar, korrespondens med mera i ett ärende och rensa akten när ärendet är avslutat. Om en medlem haft ett individuellt ärende hos lokalföreningen ska personuppgifter behållas i ärendet under den tid medlemmen kan rikta rättsligt krav mot förbundet, se nedan.

Undvik att lagra dokument i epostsystem, Outlook eller liknande. Vi rekommenderar fackliga företrädare att arkivera protokoll och andra handlingar, som behöver sparas i en mapp på ditt eget serverutrymme.

Tänk på att vara särskilt försiktig när du delar känsliga uppgifter och enbart dela när det är nödvändigt och med stor försiktighet.

Alla e-postutskick ska göras så att andra mottagares e-postadresser är dolda för mottagarna. Ställ e-posten till dig själv och ange mottagarna i fältet dold kopia. Det är också viktigt att i ämnesraden inte avslöjar en identitet. Undvik att använda personnummer.

E-postgrupper med fackligt förtroendevalda inom samma huvudman är undantagna. Här får e-postgruppens deltagare vara synliga. Detta gäller också förbundets fackliga företrädare i kommunikation sinsemellan. Använd neutralt formulerade ärenderubriker i e-postmeddelanden.

Om det är nödvändigt får personuppgifter delas inom styrelsen och endast till de styrelseledamöter som har ett berättigat behov att ta del av dessa. Alla i styrelsen behöver inte se allt och diskutera inte individärenden i plenum.

Om ni skickar lista på medlemmar i er lokalförening ska dessa alltid skickas krypterade och låsta samt skicka lösenordet separat, helst via sms för att öppna listan.

Förteckning över medlemmar och möjlighet att hämta listor finns i Ombudsportalen. Dela inte personuppgifter om det inte är nödvändigt för att fullgöra ändamålen i ditt fackliga arbete.

Det är tillåtet för lokalföreningen att dela personuppgifter med arbetsgivaren om det sker i samband med det fackliga arbetet, förhandling, löneprocess, information enligt MBL. Det är inte tillåtet att dela information med annan fysisk eller juridisk person.

Personuppgifter ska vara korrekta och uppdatering ska ske när det behövs. Ta ut aktuell medlemslista ur förbundets medlemsregister inför varje ny aktivitet och förhandling. Under arbetet ska handlingarna förvaras i låst skåp eller låda.

Släng dem sedan på ett säkert sätt när ärendet är klart, se vidare punkt 3 om lagring. Uppgifterna raderas genom att skriftliga dokument tuggas eller kastas i låst tunna.

Medlemmen har rätt att få information om den behandling som görs, att få sina uppgifter rättade och i vissa fall raderade. Medlemmen har också rätt att få sina uppgifter flyttade till en annan organisation eller företag.

Hänvisa medlem som begär att få redovisat vilka uppgifter förbundet har på medlem och hur de behandlas, till förbundets dataskyddsombud. Det är inte tillåtet att samla på sig information som är "bra" att ha.

När medlemmar slutar på arbetsplatsen har lokalföreningen inget berättigat ändamål att fortsätta spara och behandla personuppgifterna. I de fall lokalföreningen haft ärenden som behöver sparas, se vidare punkt 3 om lagring.

Tänk också på att uppgifter om hälsa som till exempel förekommer i rehabiliteringsärenden är extra känsliga.

Eftersom de flesta personuppgifter lokalföreningen behandlar är känsliga uppgifter enligt GDPR är det viktigt att du hela tiden är uppmärksam på det och är noga med att inte sprida dessa uppgifter till fler personer än vad som är nödvändigt och absolut inte till obehöriga.

Rapportera omedelbart till förbundskansliet i det fall personuppgifter förkommer genom olycka, ofrivilligt förstörs, ändras eller obehörigen röjs och därmed blir tillgängliga för obehörig.

Personuppgiftsansvarig är skyldig att senast inom 72 timmar anmäla en incident till Dataskyddsinspektionen. Kansliet informerar även dataskyddsombudet om händelsen.

Som förtroendevald agerar du lokalt på förbundets vägnar. För att du ska känna dig trygg i ditt uppdrag och för att tydliggöra rollerna inom förbundet finns mer att läsa i förbundets stadgar.

Det är nödvändigt att du behandlar personuppgifter enligt denna instruktion. Om reglerna inte följs kommer förbundsstyrelsen att hantera detta.

Förbundet tar fullt ansvar för eventuella skadeståndsanspråk från registrerade eller tillsynsmyndigheten och du som enskild blir aldrig skadeståndsansvarig för personuppgiftsbehandlingen.

Om en arbetsgivare kräver att lokalföreningen ska ingå ett avtal om att vara personuppgiftsbiträde för att till exempel godkänna lagring på sin server måste lokalföreningen kontakta förbundet. Det är Sveriges Skolledare som är personuppgiftsansvarig och som tecknar de personuppgiftsbiträdesavtal som krävs för att uppfylla reglerna i GDPR.

När du som förtroendevald sparar ner information om våra medlemmar på arbetsgivarnas dator gör du det i syfte att kunna bedriva facklig verksamhet och företräda medlemmarna lokalt.

Arbetsgivare behandlar personuppgifter i samband med bland annat förhandlingar och lönekartläggningsarbete. Det kan innebära att arbetsgivaren måste lämna personuppgifter och känsliga personuppgifter till lokalföreningen.

I vissa fall har arbetsgivaren hävdat att den inte kan lämna ut personuppgifter på grund av GDPR. Sveriges Skolledare är av uppfattningen att arbetsgivare har rätt att behandla personuppgifter med stöd av GDPR artikel 6 c och känsliga personuppgifter med stöd av artikel 9.2 b.

En arbetsgivare kan alltså inte vägra att lämna ut personuppgifter med stöd av GDPR. Det är i och för sig inte samma sak som att arbetsgivaren har en rättslig skyldighet att lämna ut personuppgiften till lokalföreningen. Det är förbundets uppfattning att de flesta arbetsgivarorganisationer delar denna uppfattning.

I de fall arbetsgivaren försvårar ditt fackliga uppdrag kontakta omgående förbundet centralt.