TR-guide til at håndtere persondata

Publiceret 29.07.2021 Af konsulent Louise Lund Christensen

Guide til hvordan TR skal håndtere personfølsomme oplysninger på vegne af Dansk Psykolog Forening. Få svar på de mest stillede spørgsmål om GDPR, udveksling af informationer, mails og referater, der er en del af din opgaveportefølje.

Du er dataansvarlig på vegne af Dansk Psykolog Forening

Som TR i det offentlige håndterer du mange oplysninger, herunder personfølsomme oplysninger, og dem håndterer du på vegne af  Dansk Psykolog Forening, der har det formelle data-ansvar for oplysninger om dine kolleger. Foreningen delegerer ansvaret til dig i rollen som TR. Du skal derfor være bekendt med reglerne for håndtering af oplysninger herunder persondataforordningen (GDPR) og databeskyttelsesloven, når du løser din TR-opgave.

 

Hvordan skal data håndteres?

Beskyttelse af persondata handler bl.a. om:

  • Hvilken type data du opbevarer og videreformidler om dine kolleger.
    – Fx betragtes medlemskab af fagforening som en følsom oplysning, der som udgangspunkt ikke må deles.
  • Hvor du opbevarer data, og hvor længe de må opbevares.
    – Fysisk og digitalt.
  • Hvem der har adgang til persondata.
    – Dine kolleger har ret til at få oplyst, hvilke data foreningen har om dem, og ret til at få rettet og slettet oplysninger.
  • Hvordan du benytter mail.
    – Nogle personoplysninger må ikke deles offentligt, derfor skal mails med personfølsomme oplysninger være krypterede og det er sjældent en god idé at udsende masseforsendelser, hvor modtagerne kan se hinandens mailadresser.
  • Pligten til at oplyse om hvilke data, der behandles og en særlig opmærksomhed ved databrud.
  • Oprydning af data, når du stopper som TR.
    – Læs retningslinjer for opgaver ved TRs ophør nederst på siden.

Sørg for at orientere dig i de fem vigtige principper nedenfor.
Og få svar på, hvordan du som TR bør håndtere data i nedenstående FAQ.

 

Dine opgaver som dataansvarlig 

Du behandler typisk data i forbindelse følgende TR-opgaver:

  • Opgaver koblet til overenskomstmæssige forhold, herunder lokalt at sikre, at overenskomsten efterleves
    (både for fagforeningsmedlemmer og ansatte, som ikke er fagforeningsmedlemmer):

    • Forhandle løn for psykologer på arbejdspladsen
    • Kontrollere, om overenskomsterne overholdes
  • Opgaver koblet til arbejdsretlige forhold:
    • Orienteres og rådgive om personalereduktion
    • Orienteres og rådgive om konkrete fratrædelser
  • Bindeled mellem ledelse, de medarbejdere, som TR repræsenterer og TR’s faglige organisation:
    • Informeres om forhold om kollegaer som TR af ledelsen
    • Informeres om forhold om kollegaer som TR af kollegaer
    • Informeres om forhold om kollegaer som TR af kollegaen selv
  • Medvirkende i tvisteløsning, i første omgang gennem lokal forhandling med ansættelsesstedets ledelse:
    • Deltagelse i møde om konflikten med begge eller én af parterne

Det er kun i din funktion som tillidsrepræsentant, at du er omfattet af Dansk Psykolog Forenings dataansvar og instruktionsbeføjelser, og din opgave er derfor afgrænset. Listen ovenfor er ikke udtømmende, der kan være andre TR-opgaver, hvor du bør være opmærksom på din  behandling af data. Hvis du er i tvivl om en opgave er omfattet af reglerne, er du velkommen til at kontakte os.

Reglerne gælder for alle tillidsrepræsentanter, der er valgt på det statslige, regionale og kommunale område, herunder andre offentlige virksomheder, der følger AC’s overenskomster på det offentlige område.

5 grundlæggende principper du skal følge

Der er særligt fem regler, som TR er forpligtet til at leve op til:

  • Det følger af datareglerne, at hvis der sker et databrud, skal den dataansvarlige vurdere, om der er pligt til at anmelde hændelsen til Datatilsynet. Anmeldelse skal ske inden for 72 timer, efter hændelsen er konstateret.

    Eksempler:

    • Forkert behandling af persondata, fx videresendelse af oplysninger til en forkert modtager
    • Mistet hardware, fx USB-nøgle, telefon, laptop
    • Hacking, fx angreb ude fra med risiko for tyveri af persondata

    Hvis du bliver opmærksom på, at de oplysninger, du behandler som tillidsrepræsentant, kan være udsat for et brud på datareglerne, skal du straks tage kontakt til DP. Det er derefter DP’s opgave at vurdere, om det skal anmeldes til Datatilsynet. Du skal som tillidsrepræsentant bidrage med oplysninger om hændelsesforløbet, så DP får det fulde billede af episoden.

  • Lovgivningen gælder først når du helt konkret behandler personoplysninger. Det kan fx være:

    • indsamling
    • registrering
    • systematisering
    • opbevaring
    • videregivelse af personoplysninger.

    Der er en række generelle principper, som altid skal være opfyldt, uanset hvilke personoplysninger der er tale om:

    Lovligt formål
    Overordnet skal oplysningerne behandles lovligt og på en gennemsigtig måde. Behandlingen skal have et lovligt formål, og må kun behandles i forhold til formålet. Opstår der et nyt behandlingsformål, må det ikke være foreneligt med det oprindelige formål. Oplysninger, der behandles, skal begrænses til, hvad der er nødvendigt i forhold til formålet; ”dataminimering”.

    Kun så længe opbevaring er nødvendig
    Du må ikke opbevare oplysningerne længere end nødvendigt, og du skal behandle dem på en sikker og fortrolig måde.
    Løbende og minimum en gang om året bør du gå dit materiale igennem og sikre, at det materiale, du fortsat gemmer, er relevant for din funktion som tillidsrepræsentant.

    Behandl oplysninger fortroligt
    Medlemmernes personoplysninger skal du altid behandle fortroligt. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et skrivebord, i en mappe på netværket eller i en fysisk mappe, som andre end du som tillidsrepræsentant har adgang til. Du bør derfor få et skab, der kan låses og en del af netværket fx et lokalt drev, som kun du og teknisk support fra IT-afdelingen har adgang til.

    Din arbejdsgiver er forpligtet til at stille et skab samt serverplads til rådighed for dig.

    Brug kun computer som arbejdsgiveren har stillet til rådighed
    Arbejdsgiveren har pligt til at stille en computer til rådighed for dit TR-arbejde. Normalt vil det være din arbejds-pc, eventuelt suppleret af en hjemmearbejdsplads, som arbejdsgiveren stiller til rådighed. Dette sikrer, at der er en arbejdsplads, som tager hånd om og ansvar for sikkerheden på IT-udstyret. Derfor må du alene benytte disse redskaber til dit arbejde, og du må ikke bruge en privat computer eller gemme oplysninger på eksterne mobildrev.

    HUSK at

    • Rydde op på dit skrivebord – det vil sige ingen persondata på dit skrivebord
    • Låse din pc, når du forlader den
    • Aldrig dele dit password med andre
    • Makulere papir, der ikke længere er relevant at opbevare
    • Vælge BCC, når du sender mail til flere modtagere
    • Aldrig efterlade personoplysninger, så de kan læses af uvedkommende
  • DP har som dataansvarlig ansvaret for at oplyse medlemmerne om, at vi behandler deres personoplysninger, hvad formålet med behandlingen er og efter hvilke regler.

    Se DP’s data- og privatlivspolitik

  • Medlemmer og ikke-medlemmer har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har behandlet om dem. Det betyder, at du skal kunne udlevere de pågældende oplysninger til den person, du behandler oplysninger om, hvis vedkommende ønsker det.

  • Berigtigelse
    Den, du behandler persondata for som tillidsrepræsentant, har ret til at få berigtiget forkerte oplysninger. Hvis du er enig med personen i, at de persondata, du har registreret, er forkerte, skal du med det samme rette oplysningerne. Er du uenig i, at oplysningerne er forkerte, skal du sikre, at du ligeledes får registreret personens opfattelse af de persondata, som uenigheden vedrører.

    Retten til at blive glemt
    Du skal slette persondata, når det ikke længere er nødvendigt at opbevare data i forhold til dine formål. Det betyder fx, at når lønnen til et medlem er forhandlet på plads, har medlemmet ret til at få slettet persondata, som du har fået som en del af lønforhandlingen, medmindre du har brug for dem fortsat for at kunne varetage dine forpligtelser efter overenskomsten. Hvis du vil gemme oplysningerne herefter, er det er krav, at du anonymiserer oplysningerne, så oplysningerne ikke længere kan henføres til en person. Fx kan du slette navn, e-mail og køn.

    Du kan kontakte arbejdspladsens IT-afdeling for at sikre, at data også bliver slettet i backuppen.

    Hvis du er i tvivl om, hvorvidt du er forpligtet til at slette oplysningerne, så kontakt os.

Ofte stillede spørgsmål om personfølsomme oplysninger og GDPR

  • En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør denne identificérbar. Hvis oplysningerne derimod er anonyme, og medlemmer herved ikke længere kan identificeres, vil der ikke være tale om personoplysning.

    Følsomme oplysninger:

    • Fagforeningsmæssige forhold
    • Oplysninger om helbredsmæssige forhold
    • Seksuel orientering
    • Racemæssig eller etnisk baggrund
    • Politisk, religiøs eller filosofisk overbevisning

    Almindelige oplysninger:

    • Navn
    • Privat adresse
    • Privat telefonnummer
    • CV
    • Uddannelse
    • Billeder af medarbejdere

    Fortrolige oplysninger:

    • CPR-nummer er en kategori for sig og betragtes derfor ikke som en følsom oplysning, men det skal beskyttes lige så godt som personfølsomme oplysninger. Et CPR-nummer kan betragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et IT-system, hvorfor det falder inden for lovens område.
  • Du skal som TR kunne varetage dit arbejde og har ret til at få adgang til oplysninger om de medlemmer, du repræsenterer. Oplysningerne må udelukkende bruges til at varetage de opgaver, som er underlagt TR-hvervet. Det kan fx være at få tilsendt en krypteret liste med navn og mail på DP’s medlemmer på din arbejdsplads. Oplysningerne skal være relevante ift. formålet og må ikke bruges ud over det oprindelige formål.

    Vi hjælper dig med arbejdsrelaterede oplysninger om medlemmer på din arbejdsplads, ligesom du gerne må viderebringe personoplysninger til DP, hvis du har brug for råd, vejledning eller bistand i en konkret sag.

    TR og DP er i denne sammenhæng en samlet enhed, og der er derfor tale om en intern medlemsbehandling. Det betyder, at de oplysninger, du har modtaget lovligt og kan behandle som TR, kan du også videregive til DP lovligt.

  • Du må gerne indkalde de medlemmer, du repræsenterer, til generalforsamlinger, klubmøder m.v. Når du sender en mail som masseudsendelse til foreningens medlemmer, skal du være opmærksom på, hvor du angiver modtagernes mailadresser. Modtagerne af masseudsendelsen bør ikke fremgå af selve e-mailen, da det fagforeningsmæssige tilhørsforhold er en personfølsom oplysning, som du ikke må videregive.

    Det er derfor en god ide at placere modtagernes e-mailadresser i e-mailens bcc-felt. Når du placerer deres e-mailadresser i bcc-feltet, kan modtagerne ikke se hinandens e-mailadresser.

  • Hvis du nævner medlemmer i referatet, kræver det samtykke fra de nævnte, hvis du sender referatet ud til andre end dem, der deltog på mødet. Det fagforeningsmæssige tilhørsforhold er nemlig en personfølsom oplysning. I DP anbefaler vi, at du som TR gør det, der er mindst indgribende, dvs. kun sætter navne på, hvis det er absolut nødvendigt og husker at bede om samtykke. Alternativt kan du slette navne i referatet.

  • Når du skal sende e-mails, som indeholder fortrolige eller følsomme personoplysninger (fx lønsedler, kontraktudkast eller cv med angivelse af CPR-nummer), skal du kryptere oplysningerne. På Datatilsynets hjemmeside finder du en vejledning.

  • Du må ikke videregive begrundelser for lønforhandlinger, tildeling/afslag af tillæg m.v., der indeholder negativt ladede udtalelser om et medlem til andre uden samtykke fra medlemmet. Hensynet til det enkelte medlem overstiger interessen for at videregive disse oplysninger. Det enkelte medlem vil normalt have en berettiget interesse i at holde eventuelle negative tilkendegivelser for sig selv.

  • Arbejdsgiver må gerne informere de øvrige ansatte om, at en medarbejder er fratrådt sin stilling, men må ikke videregive detaljerede oplysninger om årsagen til afskedigelsen af en medarbejder.

  • Arbejdsgiver er forpligtet til at udlevere disse oplysninger til dig som TR, for at du kan udføre dit tillidshverv. Det er nødvendigt for dig at få alle de fornødne oplysninger om den nyansatte. Det er derfor ikke nødvendigt for arbejdsgiver at indhente samtykke fra den nyansatte for at videregive oplysningerne til dig

  • Arbejdsgiver må gerne videregive oplysninger om de ansatte til TR eller DP, hvis det sker for at overholde en retlig forpligtelse eller for at overholde overenskomsten. Du har som TR forhandlingsretten for de personer, som er medlemmer af DP og repræsenteret af TR. En liste over de ansatte (som omfatter både medlemmer og ikke-medlemmer) indeholder ikke følsomme oplysninger.

  • Dataminimering betyder, at du som TR ikke bør indhente eller få tilsendt oplysninger, som ikke er nødvendige for din funktion som TR i en given sag. Ligesom du heller ikke må videresende oplysninger, som ikke er relevante for den givne sag.

  • Når du sender en liste ud med resultaterne for de årlige lønforhandlinger (forudsat åben lønpolitik), fremgår medlemmernes navne. Før du sender listen, skal du indhente samtykke fra alle på listen. Samtykket er påkrævet, hvis de ansattes fagforeningsmæssige tilhørsforhold fremgår, og det betragtes som en følsom oplysning.

    Hvis de ansattes fagforeningsmæssige tilhørsforhold ikke fremgår af listen med de årlige lønforhandlinger, kan du sende listen uden samtykke.

    Du må som TR hverken direkte eller indirekte afsløre, om en medarbejder er medlem eller ikke-medlem.

  • Hvis det er nødvendigt for den ansattes ansættelsesforhold, må du gerne sende fx navn, adresse eller erhvervserfaring til arbejdsgiver med henblik på at kunne indplacere den ansatte på det rigtige lønniveau, og så arbejdsgiver/HR kan udforme ansættelsesbrev/kontrakt til medarbejderen.

  • Som TR har du en særlig stilling på arbejdspladsen. Vurderingen af, hvad du må skal enten følge en kollektiv aftale eller følge behandlingsreglerne i databeskyttelsesloven.

    Arbejdsgiver må godt sende personoplysninger til dig, hvis der er grundlag i en kollektiv aftale. I TR-reglerne fremgår det, at TR skal kunne varetage sit hverv, og derfor bør du blive orienteret om alle væsentlige forhold på en sådan måde, at du har mulighed for at varetage dit hverv og repræsentere og bistå medlemmerne bedst muligt.

  • Du bør som TR skrive ”TR – fortroligt” eller lignende i emnefeltet, når du sender en mail, som relaterer sig til dit TR-hverv.

  • Som TR skal du behandle personoplysninger om dem, du repræsenterer, fortroligt. Oplysningerne må ikke være tilgængelige for tredjepart. DP’s råd er derfor, at du opbevarer dine TR-relevante dokumenter i et aflåst skab eller en aflåst mappe, som kun du som TR har adgang til.

    Læs også princippet om behandling og opbevaring af data ovenfor.

  • Medlemmer, du repræsenterer som TR, har ret til at se, hvilke personoplysninger du har om dem. Du skal derfor udlevere de pågældende oplysninger til medlemmet, du repræsenterer, hvis du bliver spurgt om det.

  • Der er ikke noget krav om, at et samtykke skal være skriftligt. Vi anbefaler dog altid et skriftligt samtykke af hensyn til evt. senere bevisbyrde og generel dokumentation.
    Et samtykke skal være specifikt, informeret og frivilligt. Det bør fremgå af samtykkeerklæringen, hvilke oplysninger der behandles af hvem og til hvilket formål. Derudover skal det fremgå, at samtykket kan trækkes tilbage.

Hvis du stopper som tillidsrepræsentant

Når dit hverv som tillidsrepræsentant ophører, er du forpligtet til at gennemgå de persondata, du har modtaget og overdrage de persondata, du vurderer, forsat vil være nødvendige til varetagelsen af tillidsrepræsentanthvervet til den nye tillidsrepræsentant. Evt. persondata, som ikke længere er relevante for tillidshvervet, eks. mails og fysiske dokumenter, skal du slette/makulere.

Hvis der ikke bliver valgt en ny tillidsrepræsentant i stedet for dig, skal du slette alle de persondata, du har modtaget i dit hverv som tillidsrepræsentant eller sende det til os.

Husk, at du altid skal sende afsluttede lønaftaler og ansættelseskontrakter til DP til registrering.

  • Lønaftaler m.v. inden for staten, kommuner og private sendes til Mette Gorski
  • Lønaftaler m.v. inden for Regionerne sendes til Marianne Rostock

Få hjælp til TR-opgaven

Som TR er du DP’s lokale repræsentant og dine kollegers talerør. Find hjælp og støtte til at løse din opgave her:

  • TR/AMR Nyt med nyheder og inspiration
  • Kurser og møder for tillidsvalgte – Se aktuelle arrangementer
  • Rådgivning om psykisk arbejdsmiljø – Kontakt DP
  • TR-værktøjskassen – Find materialer til TR-opgaven
  • For at være godt rustet til opgaven kan du trække på rådgivning hos DP’s konsulenter
  • I særligt vanskelige sager og i afskedigelsessager, hvor der fx er brug for juridisk bistand tager DP opgaven for dig.

Husk at opdatere dine oplysninger

For at kunne rådgive så godt som muligt skal vi have opdaterede oplysninger om din arbejdsplads. Derfor er det vigtigt, at du informerer sekretariatet om indgåede lønaftaler, ændringer i valggrundlag, organisationsændringer og andet relevant.

  • Hvis du ikke længere har et tillidshverv, skal vi vide det, så alle oplysninger er ajour. Send en os en mail på dp@dp.dk med oplysning om din arbejdsplads og dato for ophør af tillidshverv.
  • Er du lige blevet valgt som tillidsrepræsentant eller -suppleant, så skal du huske at anmelde valget til os. Når du har gjort det, anmelder vi valget til din arbejdsgiver, og herefter er du bemyndiget til hvervet. Udfyld anmeldelsesblanket