Behandling av personopplysninger

Veilederens formål

Denne veilederen regulerer hvordan Teknas tillitsvalgte lovlig skal behandle personopplysninger etter bestemmelsene i personopplysningsloven og personvernforordningen, The General Data Protection Regulation, GDPR. Denne veilederen tar utgangspunkt i Teknas prinsipper og retningslinjer for behandling av personopplysninger, samt Teknas personvernerklæring.

Alle tillitsvalgte plikter å sette seg inn i og følge innholdet i denne veilederen. Den hovedtillitsvalgte skal sørge for at innholdet i denne veilederen gjøres kjent for de øvrige tillitsvalgte i sin virksomhet.

Organisering

Teknas sekretariat ved generalsekretæren er øverste ansvarlige for at behandlingen av personopplysninger foregår etter personopplysningslovens bestemmelser.
Den hovedtillitsvalgte har ansvaret for behandlingen av medlemmenes personopplysninger lokalt. Hovedtillitsvalgt kan delegere dette ansvaret til dataansvarlig dersom Tekna-gruppen har oppnevnt en som besitter dette vervet.

Hvilke opplysninger behandles og hvorfor

Den tillitsvalgte behandler personopplysninger for å ivareta medlemmenes interesser. Tillitsvalgte behandler i denne forbindelse oftest medlemsopplysninger, lønnsopplysninger, opplysninger knyttet til konfliktberedskap, samt opplysninger tilknyttet individuell bistand til det enkelte medlem.
Tillitsvalgte behandler opplysninger om medlemmer med behandlingsgrunnlag i personopplysningsloven § 6 og personvernforordningen, jf GDPR art 9 nr 1 og 2 og GDPR art 6 nr 1 b (avtalen om medlemskap det enkelte Tekna-medlem har inngått med Tekna ved innmelding).

Tilgang til personopplysninger

Tilgang til personopplysninger skal være rollestyrt. Det vil si at kun den i styret lokalt som er oppnevnt som saksbehandler har tilgang til saksbehandlingsrelaterte personopplysninger. Har flere tillitsvalgte et saklig behov for tilgang til de samme dokumentene, kan disse lagres på et fellesområde med tilgangskontroll. Dette gjelder både e-post, andre elektroniske dokumenter og papir.

E-post

Tillitsvalgte kan benytte sin normale e-postadresse hos arbeidsgiver, men e-post mottatt i funksjon av å være tillitsvalgt må da lagres i et mappesystem som tydelig viser at innholdet er tillitsvalgtrelatert. For eksempel merket «Tekna-gruppen i …». Dette på grunn av at arbeidsgiver i noen situasjoner kan ha saklig grunnlag for tilgang til e-posten din.

Teams for tillitsvalgte

Riktig bruk av Teams for tillitsvalgte kan resultere i bedre personvern enn andre tilsvarende løsninger.
Teams for tillitsvalgte via Teknas sekretariat forutsetter behandling av personopplysninger om medlemmene etter Teknas retningslinjer for personvern.

Tillitsvalgte for Tekna-gruppene må forholde seg til følgende:

1. Lønnsopplysninger som identifiserer medlemmer, og personopplysninger relatert til enkeltsaker, skal ikke lagres i Teams for tillitsvalgte.
2. I lokale Teams skal bare registrerte tillitsvalgte kunne operere, det vil si at ordinære medlemmer i Tekna-gruppen ikke skal inviteres inn.
3. Video-opptak skal skje etter Teknas retningslinjer om dette. 

Sikker oppbevaring og behandling av personopplysninger

Papirdokumenter

Alle papirdokumenter med personopplysninger skal til enhver tid oppbevares og behandles på en måte som minimerer uvedkommendes innsyn. Ved arbeidsdagens slutt skal alltid slike dokumenter oppbevares i låst skap.

Elektroniske dokumenter

Arbeidsgiver skal sørge for at IT-systemene ivaretar krav til sikkerhet. Teknas tillitsvalgte har et medvirkningsansvar for dette.
Ekstern tilkobling til arbeidsplassen skjer gjennom kryptert VPN-tunnel eller sikkerhetstiltak med tilsvarende sikkerhetsnivå.

Elektroniske forsendelser

Der sensitive personopplysninger sendes elektronisk, herunder medlemslister som avslører fagforeningsmedlemskap, skal dette være kryptert og passordbeskyttet. 

Ansvar for å oppdatere opplysninger

Den enkelte tillitsvalgt har ansvaret for at opplysningene er så korrekte og oppdaterte som mulig i forhold til formålet med behandlingen. Ansvaret gjelder før databehandling skjer. Det er ikke krav til at opplysningene skal være oppdaterte hele tiden.

Skifte av tillitsvalgt

Ved skifte av tillitsvalgt gjennomgår tidligere tillitsvalgt lagrede personopplysninger og sletter de som ikke lenger er nødvendige, for deretter å overføre opplysningene til personen som tar over vervet eller den nærmere oppfølgingen.

Dersom den avgåtte tillitsvalgte har bistått et medlem i en enkeltsak, må medlemmet samtykke til at personopplysningene i saken overføres til ny tillitsvalgt.

Sletting av personopplysninger

Personopplysninger skal slettes når det ikke lenger er lovlig behandlingsgrunnlag for oppbevaring:

1. Tillitsvalgte er ansvarlig for personopplysninger i forbindelse med eget medlemsregister, og skal sørge for at personopplysninger til enhver tid er oppdaterte og korrekte, og at opplysningene slettes ved utmelding.
2. Den enkelte tillitsvalgt er ansvarlig for personopplysninger i forbindelse med oppfølging av det enkelte medlem. Tillitsvalgt skal påse at det ikke lagres/oppbevares flere personopplysninger om medlemmet enn nødvendig for formålet. Etter avsluttet saksbehandling slettes opplysningene. Tillitsvalgte bør oppfordre medlemmet til å ta vare på relevant dokumentasjon.
3. Tillitsvalgte er ansvarlig for fortløpende sletting av dokumenter med personopplysninger lagret på eventuelt fellesområde. Dokumentene slettes når det ikke lenger er saklig behov for å oppbevare dem.
4. Dokumenter tilknyttet tillitsvalgtes rolle i ansettelsesutvalg slettes senest etter 5 år, dette for å sikre likt grunnlag og lønnsvekst.
5. Lønnsopplysninger i medlemsoversikter over flere år kan benyttes i forbindelse med lønnsforhandlinger, men medlemmer som har sluttet i bedriftsgruppen må enten slettes eller anonymiseres.  Lønnslister relatert til navn i forbindelse med lønnsforhandlinger skal også slettes senest etter 3 år, dette for å kunne vise til historikk, sikre likt grunnlag og lønnsvekst.

Innsyn i behandling av personopplysninger

Medlemmer av Tekna har krav på innsyn i lagrede opplysninger om seg selv, både sentralt og lokalt i foreningen. Medlemmet kan kreve at denne informasjon blir gitt skriftlig. Innsyn og/eller utskrift av lagrede personopplysninger skal gis uten unødig opphold og senest innen 30 dager fra forespørsel er mottatt. Tillitsvalgt kan be om skriftlig forespørsel, for å kunne dokumentere svartid. Personvernombudet kan alltid kontaktes.

Det enkelte medlem kan også be om innsyn i egne personopplysninger i Teknas sekretariat på [email protected]

Lønnsopplysninger - innsyn

A. Innsyn i egne medlemmers lønnsopplysninger

Tillitsvalgte blir enkelte ganger nektet innsyn i lønnsopplysninger om medlemmer i egen bedriftsgruppe. Behandlingsgrunnlaget for å kreve slikt innsyn er da medlemsavtalene med Tekna, samt tariffavtalen som hjemler lokale, kollektive lønnsforhandlinger for de av våre medlemmer som er tilsluttet en lokal bedriftsgruppe. Riktig hjemmel er GDPR art 6 nr 1 bokstav b (medlemsavtalen med Tekna), samt personopplysningsloven § 6, jf art 9 nr 2 bokstav d.
Datatilsynet har verifisert at dette er riktig lovanvendelse.

B. De viktigste bestemmelsene om innsyn i lønnsopplysninger i virksomheten ut over egne medlemmer er:

1. Innsyn i lønnsopplysninger i privat virksomhet kan gjøres dersom lønnsopplysningene kategoriseres i lønnsgrupper dersom det er fem eller flere ansatte innenfor samme stillingskategori.
2. Innsyn på lønnsgrupper færre enn fem kan gis dersom den tillitsvalgte signerer taushetserklæring. Forutsetningen da er at innsynet ikke avslører fagforeningsmedlemskap.
3. Innsyn i lønnsopplysninger i offentlig virksomhet gis med grunnlag i offentlighetsloven. Slike opplysninger kan det likevel ikke gis innsyn i dersom innsynet avslører fagforeningsmedlemskap.

Husk at medlemmenes interesser også kan ivaretas ved at tillitsvalgte i andre fagforeninger ikke gis innsyn i Tekna-medlemmenes lønnsvilkår.

Annen saksbehandling

Utlevering av personopplysninger til tredjepart

Tillitsvalgte skal ikke utlevere medlemmenes personopplysninger til tredjepart dersom det ikke er et lovlig behandlingsgrunnlag for utlevering av slike opplysninger. Lovlig behandlingsgrunnlag kan for eksempel være: Personopplysninger utleveres arbeidsgiver i forbindelse med de lokale, kollektive lønnsforhandlingene, eller ved varsel om plassoppsigelse til Riksmekler i forbindelse med arbeidskonflikt.

Utsendelse av medlemspost

Informasjon til flere medlemmer via e-post sendes ut ved å plassere mottakerne i blindkopifeltet.

Innsyn i e-post

Tillitsvalgte kan bli involvert i saker hvor arbeidsgiver krever innsyn i ansattes e-post. Dette fordi arbeidstaker, dersom praktisk mulig, kan be en tillitsvalgt om å være til stede under gjennomføringen av innsynet, se Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale.

Oversendelse av personopplysninger til Teknas sekretariatet

Den enkelte tillitsvalgte er ansvarlig for oversendelse av personopplysninger til sekretariatet. Eventuelle kopier, duplikater samt overskuddsmateriale slettes/makuleres umiddelbart etter oversendelsen.

Ansvar for å føre protokoll

Det kan være hensiktsmessig å sette opp en mindre protokoll for oversikt over personvernrutinene lokalt.

• Mal for personvernprotokoll (word)

Egenkontroll

Rutiner og tiltak beskrevet her bør gjennomgås årlig for å bekrefte at de fungerer etter hensikten.

Avvikshåndtering

Ved vesentlig brudd på personopplysningssikkerheten, skal tillitsvalgte umiddelbart ta kontakt med personvernombudet i Tekna, som står for dialogen med Datatilsynet.

Personvernombudet skal melde fra til Datatilsynet, med mindre det er lite trolig at bruddet vil medføre risiko for fysiske personers rettigheter og friheter. Varsling må skje senest 72 timer etter at tillitsvalgte har fått kjennskap til bruddet. Også de berørte medlemmene skal varsles, med mindre det er truffet etterfølgende tiltak som sikrer at det er lite trolig at den høye risikoen vil oppstå. Personvernombudet holder berørte tillitsvalgte informert om avvikshåndteringen.

Definisjoner

Behandling er all bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet.

Databehandleravtale er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles av databehandler på vegne av behandlingsansvarlig.

Internkontroll er systematiske tiltak som skal sikre at aktivitetene i en virksomhet planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i lov eller forskrift. Risikovurderinger og avvikshåndtering er sentrale elementer i et internkontrollsystem.

Lovlig behandlingsgrunnlag er rettslig grunnlag for å behandle personopplysninger. Dette kan for eksempel være; avtale, formell lov, berettiget interesse eller samtykke.

Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Sensitive personopplysninger (GDPR art 9 og 10 «særlige kategorier av personopplysninger» og «straffedommer og lovovertredelse») er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforening.  

Tips

• Teknas personvernombud fungerer som personvernombud også for ditt lokallag.
• Husk at fagforeningsmedlemskap er en sensitiv personopplysning.
• Oppdater medlemslisten via tekna.no med jevne mellomrom.
• Virksomhetens system for informasjonssikkerhet skal følges.
• Personopplysninger på papir som ikke lenger skal brukes kastes i sikkerhetsdunker eller makuleres.
• Send alltid møtesaksdokumenter i egen e-post (ikke i møteinnkalling) ettersom mange deler sine kalendre.
• Vurder om møteinnkallinger kan sendes slik at den vises som privat for utenforstående.
• Meld fra umiddelbart dersom du mister PC, mobiltelefon eller adgangsbrikke.
• Lenker eller vedlegg fra kilder du ikke stoler på skal ikke åpnes.
• Meld fra dersom du registrerer vesentlige avvik fra rutiner og retningslinjer.

Ikke nøl med å ta kontakt med Teknas personvernombud eller informasjonssikkerhetsansvarlig hvis du har spørsmål!