Som TR i det offentlige håndterer du mange oplysninger, herunder personfølsomme oplysninger, og dem håndterer du på vegne af Dansk Psykolog Forening, der har det formelle data-ansvar for oplysninger om dine kolleger. Foreningen delegerer ansvaret til dig i rollen som TR. Du skal derfor være bekendt med reglerne for håndtering af oplysninger herunder persondataforordningen (GDPR) og databeskyttelsesloven, når du løser din TR-opgave.
Beskyttelse af persondata handler bl.a. om:
Sørg for at orientere dig i de fem vigtige principper nedenfor.
Og få svar på, hvordan du som TR bør håndtere data i nedenstående FAQ.
Du behandler typisk data i forbindelse følgende TR-opgaver:
Det er kun i din funktion som tillidsrepræsentant, at du er omfattet af Dansk Psykolog Forenings dataansvar og instruktionsbeføjelser, og din opgave er derfor afgrænset. Listen ovenfor er ikke udtømmende, der kan være andre TR-opgaver, hvor du bør være opmærksom på din behandling af data. Hvis du er i tvivl om en opgave er omfattet af reglerne, er du velkommen til at kontakte os.
Reglerne gælder for alle tillidsrepræsentanter, der er valgt på det statslige, regionale og kommunale område, herunder andre offentlige virksomheder, der følger AC’s overenskomster på det offentlige område.
Der er særligt fem regler, som TR er forpligtet til at leve op til:
Det følger af datareglerne, at hvis der sker et databrud, skal den dataansvarlige vurdere, om der er pligt til at anmelde hændelsen til Datatilsynet. Anmeldelse skal ske inden for 72 timer, efter hændelsen er konstateret.
Eksempler:
Hvis du bliver opmærksom på, at de oplysninger, du behandler som tillidsrepræsentant, kan være udsat for et brud på datareglerne, skal du straks tage kontakt til DP. Det er derefter DP’s opgave at vurdere, om det skal anmeldes til Datatilsynet. Du skal som tillidsrepræsentant bidrage med oplysninger om hændelsesforløbet, så DP får det fulde billede af episoden.
Lovgivningen gælder først når du helt konkret behandler personoplysninger. Det kan fx være:
Der er en række generelle principper, som altid skal være opfyldt, uanset hvilke personoplysninger der er tale om:
Lovligt formål
Overordnet skal oplysningerne behandles lovligt og på en gennemsigtig måde. Behandlingen skal have et lovligt formål, og må kun behandles i forhold til formålet. Opstår der et nyt behandlingsformål, må det ikke være foreneligt med det oprindelige formål. Oplysninger, der behandles, skal begrænses til, hvad der er nødvendigt i forhold til formålet; ”dataminimering”.
Kun så længe opbevaring er nødvendig
Du må ikke opbevare oplysningerne længere end nødvendigt, og du skal behandle dem på en sikker og fortrolig måde.
Løbende og minimum en gang om året bør du gå dit materiale igennem og sikre, at det materiale, du fortsat gemmer, er relevant for din funktion som tillidsrepræsentant.
Behandl oplysninger fortroligt
Medlemmernes personoplysninger skal du altid behandle fortroligt. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et skrivebord, i en mappe på netværket eller i en fysisk mappe, som andre end du som tillidsrepræsentant har adgang til. Du bør derfor få et skab, der kan låses og en del af netværket fx et lokalt drev, som kun du og teknisk support fra IT-afdelingen har adgang til.
Din arbejdsgiver er forpligtet til at stille et skab samt serverplads til rådighed for dig.
Brug kun computer som arbejdsgiveren har stillet til rådighed
Arbejdsgiveren har pligt til at stille en computer til rådighed for dit TR-arbejde. Normalt vil det være din arbejds-pc, eventuelt suppleret af en hjemmearbejdsplads, som arbejdsgiveren stiller til rådighed. Dette sikrer, at der er en arbejdsplads, som tager hånd om og ansvar for sikkerheden på IT-udstyret. Derfor må du alene benytte disse redskaber til dit arbejde, og du må ikke bruge en privat computer eller gemme oplysninger på eksterne mobildrev.
HUSK at
DP har som dataansvarlig ansvaret for at oplyse medlemmerne om, at vi behandler deres personoplysninger, hvad formålet med behandlingen er og efter hvilke regler.
Medlemmer og ikke-medlemmer har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har behandlet om dem. Det betyder, at du skal kunne udlevere de pågældende oplysninger til den person, du behandler oplysninger om, hvis vedkommende ønsker det.
Berigtigelse
Den, du behandler persondata for som tillidsrepræsentant, har ret til at få berigtiget forkerte oplysninger. Hvis du er enig med personen i, at de persondata, du har registreret, er forkerte, skal du med det samme rette oplysningerne. Er du uenig i, at oplysningerne er forkerte, skal du sikre, at du ligeledes får registreret personens opfattelse af de persondata, som uenigheden vedrører.
Retten til at blive glemt
Du skal slette persondata, når det ikke længere er nødvendigt at opbevare data i forhold til dine formål. Det betyder fx, at når lønnen til et medlem er forhandlet på plads, har medlemmet ret til at få slettet persondata, som du har fået som en del af lønforhandlingen, medmindre du har brug for dem fortsat for at kunne varetage dine forpligtelser efter overenskomsten. Hvis du vil gemme oplysningerne herefter, er det er krav, at du anonymiserer oplysningerne, så oplysningerne ikke længere kan henføres til en person. Fx kan du slette navn, e-mail og køn.
Du kan kontakte arbejdspladsens IT-afdeling for at sikre, at data også bliver slettet i backuppen.
Hvis du er i tvivl om, hvorvidt du er forpligtet til at slette oplysningerne, så kontakt os.
En personoplysning er enhver form for oplysning, der knytter sig til én bestemt person og gør denne identificérbar. Hvis oplysningerne derimod er anonyme, og medlemmer herved ikke længere kan identificeres, vil der ikke være tale om personoplysning.
Følsomme oplysninger:
Almindelige oplysninger:
Fortrolige oplysninger:
Du skal som TR kunne varetage dit arbejde og har ret til at få adgang til oplysninger om de medlemmer, du repræsenterer. Oplysningerne må udelukkende bruges til at varetage de opgaver, som er underlagt TR-hvervet. Det kan fx være at få tilsendt en krypteret liste med navn og mail på DP’s medlemmer på din arbejdsplads. Oplysningerne skal være relevante ift. formålet og må ikke bruges ud over det oprindelige formål.
Vi hjælper dig med arbejdsrelaterede oplysninger om medlemmer på din arbejdsplads, ligesom du gerne må viderebringe personoplysninger til DP, hvis du har brug for råd, vejledning eller bistand i en konkret sag.
TR og DP er i denne sammenhæng en samlet enhed, og der er derfor tale om en intern medlemsbehandling. Det betyder, at de oplysninger, du har modtaget lovligt og kan behandle som TR, kan du også videregive til DP lovligt.
Du må gerne indkalde de medlemmer, du repræsenterer, til generalforsamlinger, klubmøder m.v. Når du sender en mail som masseudsendelse til foreningens medlemmer, skal du være opmærksom på, hvor du angiver modtagernes mailadresser. Modtagerne af masseudsendelsen bør ikke fremgå af selve e-mailen, da det fagforeningsmæssige tilhørsforhold er en personfølsom oplysning, som du ikke må videregive.
Det er derfor en god ide at placere modtagernes e-mailadresser i e-mailens bcc-felt. Når du placerer deres e-mailadresser i bcc-feltet, kan modtagerne ikke se hinandens e-mailadresser.
Hvis du nævner medlemmer i referatet, kræver det samtykke fra de nævnte, hvis du sender referatet ud til andre end dem, der deltog på mødet. Det fagforeningsmæssige tilhørsforhold er nemlig en personfølsom oplysning. I DP anbefaler vi, at du som TR gør det, der er mindst indgribende, dvs. kun sætter navne på, hvis det er absolut nødvendigt og husker at bede om samtykke. Alternativt kan du slette navne i referatet.
Når du skal sende e-mails, som indeholder fortrolige eller følsomme personoplysninger (fx lønsedler, kontraktudkast eller cv med angivelse af CPR-nummer), skal du kryptere oplysningerne. På Datatilsynets hjemmeside finder du en vejledning.
Du må ikke videregive begrundelser for lønforhandlinger, tildeling/afslag af tillæg m.v., der indeholder negativt ladede udtalelser om et medlem til andre uden samtykke fra medlemmet. Hensynet til det enkelte medlem overstiger interessen for at videregive disse oplysninger. Det enkelte medlem vil normalt have en berettiget interesse i at holde eventuelle negative tilkendegivelser for sig selv.
Arbejdsgiver må gerne informere de øvrige ansatte om, at en medarbejder er fratrådt sin stilling, men må ikke videregive detaljerede oplysninger om årsagen til afskedigelsen af en medarbejder.
Arbejdsgiver er forpligtet til at udlevere disse oplysninger til dig som TR, for at du kan udføre dit tillidshverv. Det er nødvendigt for dig at få alle de fornødne oplysninger om den nyansatte. Det er derfor ikke nødvendigt for arbejdsgiver at indhente samtykke fra den nyansatte for at videregive oplysningerne til dig
Arbejdsgiver må gerne videregive oplysninger om de ansatte til TR eller DP, hvis det sker for at overholde en retlig forpligtelse eller for at overholde overenskomsten. Du har som TR forhandlingsretten for de personer, som er medlemmer af DP og repræsenteret af TR. En liste over de ansatte (som omfatter både medlemmer og ikke-medlemmer) indeholder ikke følsomme oplysninger.
Dataminimering betyder, at du som TR ikke bør indhente eller få tilsendt oplysninger, som ikke er nødvendige for din funktion som TR i en given sag. Ligesom du heller ikke må videresende oplysninger, som ikke er relevante for den givne sag.
Når du sender en liste ud med resultaterne for de årlige lønforhandlinger (forudsat åben lønpolitik), fremgår medlemmernes navne. Før du sender listen, skal du indhente samtykke fra alle på listen. Samtykket er påkrævet, hvis de ansattes fagforeningsmæssige tilhørsforhold fremgår, og det betragtes som en følsom oplysning.
Hvis de ansattes fagforeningsmæssige tilhørsforhold ikke fremgår af listen med de årlige lønforhandlinger, kan du sende listen uden samtykke.
Du må som TR hverken direkte eller indirekte afsløre, om en medarbejder er medlem eller ikke-medlem.
Hvis det er nødvendigt for den ansattes ansættelsesforhold, må du gerne sende fx navn, adresse eller erhvervserfaring til arbejdsgiver med henblik på at kunne indplacere den ansatte på det rigtige lønniveau, og så arbejdsgiver/HR kan udforme ansættelsesbrev/kontrakt til medarbejderen.
Som TR har du en særlig stilling på arbejdspladsen. Vurderingen af, hvad du må skal enten følge en kollektiv aftale eller følge behandlingsreglerne i databeskyttelsesloven.
Arbejdsgiver må godt sende personoplysninger til dig, hvis der er grundlag i en kollektiv aftale. I TR-reglerne fremgår det, at TR skal kunne varetage sit hverv, og derfor bør du blive orienteret om alle væsentlige forhold på en sådan måde, at du har mulighed for at varetage dit hverv og repræsentere og bistå medlemmerne bedst muligt.
Du bør som TR skrive ”TR – fortroligt” eller lignende i emnefeltet, når du sender en mail, som relaterer sig til dit TR-hverv.
Som TR skal du behandle personoplysninger om dem, du repræsenterer, fortroligt. Oplysningerne må ikke være tilgængelige for tredjepart. DP’s råd er derfor, at du opbevarer dine TR-relevante dokumenter i et aflåst skab eller en aflåst mappe, som kun du som TR har adgang til.
Læs også princippet om behandling og opbevaring af data ovenfor.
Medlemmer, du repræsenterer som TR, har ret til at se, hvilke personoplysninger du har om dem. Du skal derfor udlevere de pågældende oplysninger til medlemmet, du repræsenterer, hvis du bliver spurgt om det.
Der er ikke noget krav om, at et samtykke skal være skriftligt. Vi anbefaler dog altid et skriftligt samtykke af hensyn til evt. senere bevisbyrde og generel dokumentation.
Et samtykke skal være specifikt, informeret og frivilligt. Det bør fremgå af samtykkeerklæringen, hvilke oplysninger der behandles af hvem og til hvilket formål. Derudover skal det fremgå, at samtykket kan trækkes tilbage.
Når dit hverv som tillidsrepræsentant ophører, er du forpligtet til at gennemgå de persondata, du har modtaget og overdrage de persondata, du vurderer, forsat vil være nødvendige til varetagelsen af tillidsrepræsentanthvervet til den nye tillidsrepræsentant. Evt. persondata, som ikke længere er relevante for tillidshvervet, eks. mails og fysiske dokumenter, skal du slette/makulere.
Hvis der ikke bliver valgt en ny tillidsrepræsentant i stedet for dig, skal du slette alle de persondata, du har modtaget i dit hverv som tillidsrepræsentant eller sende det til os.
Husk, at du altid skal sende afsluttede lønaftaler og ansættelseskontrakter til DP til registrering.
Som TR er du DP’s lokale repræsentant og dine kollegers talerør. Find hjælp og støtte til at løse din opgave her:
Husk at opdatere dine oplysninger
For at kunne rådgive så godt som muligt skal vi have opdaterede oplysninger om din arbejdsplads. Derfor er det vigtigt, at du informerer sekretariatet om indgåede lønaftaler, ændringer i valggrundlag, organisationsændringer og andet relevant.