GDPR – vejledning til tillidsrepræsentanter

GL's vejledning

GL har som dataansvarlig ansvaret for, at GL’s tillidsrepræsentanter er instrueret i, hvordan databeskyttelsesreglerne overholdes. GL har derfor udarbejdet denne vejledning, så du ved, hvordan du skal håndtere dine kollegers personoplysninger. Vejledningen gælder kun for din funktion som tillidsrepræsentant, og dækker dermed ikke dit arbejde som underviser, hvor du skal følge de anvisninger, som din ledelse giver.

Vejledningen gælder for alle GL-tillidsrepræsentanter, der er valgt på erhvervsgymnasier, almene gymnasier, hf, VUC samt private gymnasier. Vejledningen bliver opdateret løbende.

GL er dataansvarlig for dig som tillidsrepræsentant

Tillidsrepræsentanten betragtes som en lokal repræsentant for GL på arbejdspladsen. GL har i forbindelse med valget af dig som tillidsrepræsentant delegeret en række beføjelser til dig, herunder bl.a. retten til at forhandle løn på vegne af GL. Disse beføjelser følger af GL- eller AC-overenskomsten og den bemyndigelsesmail, du fik, da du blev anmeldt som tillidsrepræsentant for GL.

Som tillidsrepræsentant er du således underlagt GL’s instruktion til, hvordan tillidsrepræsentanthvervet skal udfyldes. I relation til databeskyttelsesreglerne betyder det, at GL er ansvarlig for din overholdelse af datareglerne (GDPR og Databeskyttelsesloven). Dette betyder også, at GL kan give dig bindende instrukser i forhold til din håndtering af persondata, og at du er forpligtet til at leve op til reglerne i denne vejledning.

Hvad er personoplysninger?

For at din håndtering af persondata er omfattet af datareglerne og denne vejledning, skal der være tale om en behandling af personoplysninger. En personoplysning er enhver form for oplysning, der knytter sig til en bestemt person og gør denne identificerbar. Hvis oplysningerne derimod er anonyme, og medlemmet herved ikke længere kan identificeres, vil der ikke være tale om en personoplysning.

Hvilke personoplysninger er der tale om?

Følsomme oplysninger: Fagforeningsmæssige tilhørsforhold, oplysninger om helbredsmæssige forhold, seksuel orientering, racemæssig eller etnisk baggrund, eller politisk, religiøs eller filosofisk overbevisning. Det er kun disse oplysninger, der er følsomme oplysninger.

Almindelige oplysninger: De oplysninger, der ikke falder ind under kategorien ”følsomme oplysninger”. Det er eksempelvis navn, privat adresse og privat telefonnummer, uddannelse, billeder af medarbejdere.

Fortrolige oplysninger: CPR-nummer er en kategori for sig og betragtes derfor ikke som en følsom oplysning, men det skal beskyttes lige så godt som følsomme oplysninger. Et CPR-nummer kan betragtes som en nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et it-system, hvorfor det falder inden for lovens område.

Databrud

Det følger af datareglerne, at hvis der sker et databrud, skal den dataansvarlige vurdere, om der er pligt til at anmelde hændelsen til Datatilsynet. Anmeldelse skal ske indenfor 72 timer efter hændelsen er konstateret. 

Et databrud er et brud på sikkerheden, der gør, at de personoplysninger, der behandles, hændeligt eller ulovligt bliver slettet, går tabt, bliver ændret eller bliver givet eller vist til nogen, der ikke skulle have haft dem.

Eksempler på databrud:

• Videresendelse af oplysninger i mail til forkert modtager

• Mistet hardware, fx computer, telefon, USB-nøgle

• Hacking, fx angreb udefra med risiko for tyveri af persondata

• Du glemmer din taske i toget, som indeholder papirer med personoplysninger

Ved databrud skal du oplyse GL om:

• Dato og tidspunkt for databruddet

• Hvad skete der, da bruddet opstod?

• Hvad er årsagen til databruddet?

• Hvilke typer af personoplysninger er omfattet af databruddet? (almindelige eller følsomme)

• Hvad har du gjort for at afhjælpe databruddet, efter du opdagede det?

Behandlingsregler og lagring persondata

Der skal ske en behandling af personoplysninger, før vi er inde i lovgivningen på området. Behandling kan være indsamling, registrering, systematisering, opbevaring og videregivelse af personoplysninger.

Når der sker behandling af personoplysninger, gælder der en række generelle principper, som altid skal være opfyldt, uanset hvilke personoplysninger der er tale om:

• Oplysninger skal behandles lovligt og på en gennemsigtig måde. De må kun behandles i forhold til formålet. Opstår der et nyt behandlingsformål, må det ikke være uforeneligt med det oprindelige formål

• Oplysninger skal begrænses til, hvad der er nødvendigt, i forhold til formålet (dataminimering).

• Oplysninger må ikke opbevares i længere tid end nødvendigt, og behandlingen skal foretages på en sikker og fortrolig måde.

Løbende og minimum én gang om året bør du gå dit tillidsrepræsentantmateriale igennem og sikre, at det materiale, du gemmer, er relevant for din funktion som tillidsrepræsentant.

Behandlingen skal foretages på en sikker og fortrolig måde. Hvis du printer dokumenter eller modtager fysiske dokumenter, som indeholder personoplysninger, skal disse opbevares aflåst. Det betyder, at lønoplysninger, kontrakter, ansøgninger mv. ikke må ligge frit tilgængeligt på et TR-kontor eller hjemme.

Når du ikke længere har behov for at have dokumenterne i print, skal de makuleres. Det er ikke tilstrækkeligt, at du river papiret itu og smider det i skraldespanden. Ligeledes må dokumenter ikke opbevares i en mappe på IT-netværket, som andre end du har adgang til. Du bør derfor få dels et skab, der kan låses, dels en del af netværket fx et lokalt drev, som kun du og teknisk support fra skolens IT afdeling har adgang til. Arbejdsgiver er jf. Cirkulære om tillidsrepræsentanter i staten forpligtet til at stille et sådant skab samt serverplads til rådighed for tillidsrepræsentanten.

Du skal herudover låse din skærm, hver gang du forlader computeren, så andre ikke kan få adgang til oplysningerne. Ligeledes skal du sikre dig, at andre ikke har mulighed for at kigge med på din skærm, hvis du eksempelvis arbejder i toget eller hjemme. Du kan med fordel anvende et privacy-filter til at sætte på skærmen. Del aldrig dit password med andre.

Oplysningsforpligtelse

GL har som dataansvarlig ansvaret for at oplyse medlemmerne om, at der behandles personoplysninger om dem, hvad formålet med behandlingen er og efter hvilke regler behandlingen foretages. GL har informeret herom i GL’s privatlivspolitik, som er sendt ud til samtlige medlemmer med ikrafttræden af de nye GDPR-regler i 2018, ligesom nye medlemmer får den ved indmeldelse.

Se GL’s privatlivspolitik.

Indsigtsret

Medlemmer og ikke-medlemmer har ret til at se, hvilke personoplysninger du som tillidsrepræsentant har behandlet om vedkommende. Det betyder, at du skal udlevere de pågældende oplysninger, hvis vedkommende ønsker det. Der må ikke udleveres oplysninger om andre personer. Udleveringen skal ske inden for en måned, og hvis sagen er kompliceret, skal det ske inden for to måneder.

Rettelse og sletning

En registreret person har ret til at få rettet forkerte oplysninger. Hvis du får en henvendelse om at rette en oplysning, og du er enig i, at oplysningen skal rettes, retter du oplysningen. Hvis du ikke er enig, skal du registrere personens opfattelse af de persondata, som uenigheden vedrører. Det betyder, at en person ikke kan få subjektive udtalelser eller objektivt rigtige oplysninger slettet. En person kan dog bede om få suppleret sine oplysninger med yderligere oplysninger, hvis det vil gøre vedkommendes personoplysninger mere fuldstændige eller ajourførte.

Persondata skal slettes, når det ikke længere er nødvendigt at opbevare disse i forhold til formålet med behandlingen. Det betyder fx, at når du har forhandlet løn til et medlem på plads, har medlemmet ret til at få slettet persondata, medmindre du fortsat har brug for dem til at kunne varetage dine forpligtelser efter overenskomsten.

Når du ophører som TR, skal du gennemgå de persondata, som du har modtaget som TR, og videreoverdrage de persondata du vurderer, fortsat er nødvendige for, at en ny TR kan varetage funktionen som TR. Persondata, som ikke længere er nødvendige at opbevare, skal du slette eller makulere.