Hjem > Vejledning om GDPR til TR

Vejledning om GDPR til TR

Som TR skal du være opmærksom på, hvornår du må behandle personoplysninger, hvordan du skal behandle dem og hvordan du skal beskytte personoplysninger.

Indledning

Som TR er du lokal repræsentant for Ergoterapeutforeningen på din arbejdsplads. Som følge af, at dine kollegaer har valgt dig som tillidsrepræsentant, har Ergoterapeutforeningen delegeret en række beføjelser til dig. Herunder blandt andet retten til at forhandle og aftale løn på vegne af Ergoterapeutforeningen.

Disse beføjelser følger af vores overenskomster. Du kan læse mere om TR’s opgaver på Etf.dk på dette link: Rollen som TR | Ergoterapeutforeningen (etf.dk)

Det er vigtigt at understrege, at det kun er i din funktion som tillidsrepræsentant, at du er omfattet af Ergoterapeutforeningens dataansvar og instruktionsbeføjelser.

Når du som led i din varetagelse af dit TR-hverv, håndterer personoplysninger data, er det i udgangspunktet Ergoterapeutforeningen, der er ansvarlig for din håndtering heraf.

Det vil derfor også være Ergoterapeutforeningen, som vil blive tildelt bøder eller andre sanktioner, såfremt du i din funktion som TR, håndterer personoplysninger i strid med persondataforordningen.

Du kan i det følgende læse mere om, hvad du som TR skal være opmærksom på, når du som led i dit TR-hverv håndterer personoplysninger.

Anvend altid arbejdsgivers IT-system

Det er vigtigt, at du altid anvender arbejdsgivers IT-system, når du, i din funktion som TR, behandler og opbevarer personoplysninger. Denne fremgangsmåde er i overensstemmelse med persondataforordningen.

Undlad derfor at håndtere persondata i din funktion som TR, på en hotmail- eller en gmail-adresse eller gemme persondata lokalt på fx C-drevet.

Hvis du ikke allerede benytter arbejdsgivers IT-system, skal du med det samme tage fat i din arbejdsgiver og sikre, at du får mulighed for at få adgang til arbejdsgivers IT-system, til brug for dit arbejde som tillidsrepræsentant. Dernæst skal du hurtigst muligt slette de data, du måtte have liggende, på det system, du hidtil har anvendt.

Det fremgår af TR-reglerne, at din arbejdsgiver skal sikre, at du som TR har det fornødne IT-udstyr stillet til rådighed, så du kan varetage dine TR-opgaver forsvarligt.

(Tillidsrepræsentantaftalen på statens område § 10, MED-aftalens bilag 5 på det kommunale område og MED-aftalens bilag 7 på det regionale område). 

Bruger du et andet IT-system end arbejdsgiver, trods vores klare anbefaling om at bruge arbejdsgivers, understreger vi igen vigtigheden af, at du er forpligtet til at slette persondat, når du stopper som TR eller når formålet med at opbevare dem ikke længere er til stede.  

GDPR-aftale vedr. TR’s anvendelse af arbejdsgivers IT-udstyr

Kommuner og regioner

KL, Danske Regioner og Forhandlingsfælleskabet har i december 2021 udarbejdet en GDPR-standardaftale til brug for behandling af personoplysninger ved TR’s brug af arbejdsgiver’s IT-udstyr, når den faglige organisation er dataansvarlig.

Aftalen er gældende lokalt, når kommunen/regionen underskriver aftalen og når de faglige organisationer har udfyldt kontaktoplysninger i aftalens bilag 1.

Det er Ergoterapeutforeningens sekretariat, der indgår lokale GDPR-aftaler med kommuner og regioner.

Forhandlingsfællesskabets hjemmeside  er det nu muligt at se oversigter over hvilke kommuner, regioner mv., som har indgået aftalen. Oversigterne opdateres i takt med, at kommuner, regioner mv. orienterer Forhandlingsfællesskabet, når aftalen lokalt er indgået.

Staten

Akademikerne (AC) m.fl. og Medarbejder- og kompetencestyrelsen har indgået aftale om tillidsrepræsentanternes behandling af personoplysninger i arbejdsgivers IT-systemer, herunder arbejdsgivers tekniske bistand hertil.

GDPR-aftalerne præciserer – kort fortalt:

  • At de faglige organisationer er dataansvarlige for TR’s håndtering af behandling og opbevaring af personoplysninger

  • At arbejdsgiver yder den fornødne tekniske bistand til de faglige organisationer gennem TR med henblik på at sikre håndtering af de registreredes rettigheder og fortrolighed omkring den registreredes personoplysninger

  • At arbejdsgiver foretager passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der tager højde for de tekniske risici forbundet med behandlingen jf. databeskyttelsesforordningen.
     
  • At arbejdsgiver alene må tilgå de TR-relaterede personoplysninger, som TR behandler jf. sit TR-hverv, hvis IT-sikkerhedsmæssige forhold kræver det

Databrud - hvad skal du gøre?

Hvis du bliver opmærksom på, eller er i tvivl om, hvorvidt du - som TR - enten har begået databrud eller dit IT-system har været ude for en sikkerhedshændelse, skal du straks kontakte Ergoterapeutforeningen på etf@etf.dk eller ringe på vores hovednummer 88826270.

Det er så Ergoterapeutforeningens opgave at vurdere, om der skal foretages en anmeldelse til Datatilsynet eller om det er arbejdsgivers ansvar.

Du skal som tillidsrepræsentant bidrage med oplysninger om hændelsesforløbet, så Ergoterapeutforeningen får det fulde billede af forløbet. Anmeldelse skal ske inden for 72 timer efter hændelsen er konstateret.

Eksempler på databrud og sikkerhedshændelser

  • Videresendelse af personoplysninger til en forkert modtager – fx hvor du sender en lønaftale på et medlem til et andet medlem
     
  • Mistet hardware fx USB-nøgle, telefon, laptop
     
  • Phishingmail fx hvor man har åbnet en fil fra en falsk afsender, og der er risiko for tyveri af persondata

Håndtering af personoplysninger

Som ergoterapeut ansat i det offentlige, er du allerede godt bekendt med databeskyttelsesreglerne i forhold til dine opgaver med borgere/patienter m.fl. Når du varetager dit hverv som TR, gælder de samme generelle principper for håndtering af personoplysninger.

Hvornår er personoplysninger omfattet af databeskyttelsesreglerne?

For at din håndtering af persondata er omfattet af databeskyttelsesreglerne, skal der være tale om en behandling af personoplysninger.

Når en oplysning kan knyttes til en person, er det en personoplysning. De kan opdeles i almindelige og følsomme oplysninger:

  • Følsomme oplysninger: Fagforeningsmæssige tilhørsforhold, oplysninger om helbred, seksuel orientering, racemæssig eller etnisk oprindelse, eller politisk, filosofisk eller religiøs overbevisning samt genetiske og biometriske data. Oplistningen af følsomme oplysninger er udtømmende.
     
  • Almindelige oplysninger: De oplysninger som ikke er ”følsomme oplysninger”, fx navn, privat adresse, privat telefonnummer, CV, uddannelse, lønforhold og billeder af medarbejdere.

Strafbare forhold og CPR-numre er ikke omfattet af databeskyttelsesreglerne, men er fortrolige oplysninger der skal håndteres som følsomme oplysninger.   

Generelle principper for behandling af personoplysninger

For behandling af personoplysninger gælder der en række generelle principper som fremgår af GDPR art. 5. Disse principper skal altid være opfyldt, når du behandler personoplysninger.

Hvornår må du behandle personoplysninger?

Du må behandle personoplysninger, som er nødvendige og relevante for, at du kan udføre dit hverv som TR.

Personoplysninger, du kommer i besiddelse af som følge af dit TR-hverv, må således ikke bruges til andre formål end dem, der ligger i din funktion som tillidsrepræsentant fx

  • sikre at overenskomsten bliver overholdt
  • indkalde til møder med kolleger i dit valggrundlag
  • varetage lokale forhandlinger
  • være bisidder for et medlem
  • indsamle lønoplysninger mhp. forestående lønforhandlinger – læs mere her
  • deltage i ansættelsessamtaler

Hvordan beskytter du personoplysninger?

Du har tavshedspligt i dit TR-hverv, og du må ikke videregive fortrolige personoplysninger til uvedkommende, heller ikke andre kolleger. Du skal sikre, at det kun er dig, samt evt. din TR-suppleant, der har adgang til de oplysninger, du modtager og behandler som tillidsrepræsentant.

Du må ikke engagere andre til at foretage behandlingen på dine (Etf’s) vegne, uden Ergoterapeutforeningens godkendelse.

Du skal sikre, at de personoplysninger, du behandler, holdes fortrolige.

Når du sender mails til flere modtagere – brug altid BCC-feltet. Medlemskab af en faglig organisation er en personfølsom oplysning. Det betyder, at du hverken direkte eller indirekte, må afsløre om en person er medlem eller ikke medlem. Gør det derfor til en vane at bruge BCC-feltet, når du udsender mails, fx når du indkalder til arrangementer, møder, eller deler lønoplysninger. Videregiv aldrig informationer til andre, hvor der indgår følsomme oplysninger fx om personers fagforeningstilhørsforhold.

Når du modtager mails, så gør det til en vane at adskille de mails, du modtager i dit hverv som TR, fra dem du modtager i dit arbejde som ergoterapeut.

Printer du materiale ud med personoplysninger som fx lønoplysninger, ansøgninger mm, så være opmærksom på at de opbevares fortroligt fx i et aflåst skab, kun du har adgang til. Makuler personoplysninger, der ikke længere er nødvendigt og relevant at opbevare.

Efterlad aldrig personoplysninger så de kan læses af uvedkommende. ”Lås” computeren, når du forlader din plads og del aldrig dit password med andre.

Prøv at undgå at indhente oplysninger eller få tilsendt oplysninger som ikke er nødvendige for din funktion i en given sag.

Ønsker du at opbevare data i en længere periode fx som led i en lønstrategi, så husk at anonymisere data effektivt, så det heller ikke indirekte fremgår hvem oplysningerne angår.

Oplysninger til og fra kolleger

Du kan behandle oplysninger, som du modtager fra den person, oplysningerne vedrører – til brug for TR-hvervet. For eksempel hvis du skal lønforhandle for vedkommende eller deltage i en sygefraværssamtale eller tjenstlig samtale, som bisidder for medlemmet.

Videregiver du oplysninger til andre medlemmer/ikke-medlemmer på arbejdspladsen, skal du være opmærksom på, at du som udgangspunkt ikke må videregive følsomme personoplysninger til andre, uden personens samtykke. 

Oplysninger til og fra arbejdsgiver

Arbejdsgiver har pligt til at videregive alle oplysninger til dig i alle tilfælde, hvor det er en forudsætning for, at du kan varetage dit TR-hverv, herunder de opgaver der følger af overenskomsten.  Hvis der for eksempel skal vælges en TR, er arbejdsgiver forpligtet til at oplyse, hvem der er ansat på Etf’s forhandlingsområde, så du ved, hvem der har ret til at stemme ved valget. Skal I vælge en TR for både ergo- og fysioterapeuter er arbejdsgiver forpligtet til også at oplyse, hvem der er ansat på Danske Fysioterapeuters forhandlingsområde.

Du kan videregive persondata til din arbejdsgiver, hvis det er relevant i forbindelse med varetagelse af TR-hvervet. For eksempel i forbindelse med en tjenstlig samtale – og efter aftale med medlemmet – kan du videregive oplysninger til arbejdsgiver, som denne ikke havde kendskab til.

Du kan modtage lønoplysninger, begrundelser for tillæg m.m. fra din arbejdsgiver, ligesom din arbejdsgiver kan sende dig oplysninger i forbindelse med ansættelse af personer fx CV, anciennitet og lønindplacering.

Slet personoplysninger, der ikke længere er relevante

Du skal slette personoplysninger, der ikke længere er nødvendige at opbevare for at opfylde formålet.    

Eksempelvis:

  • Når du modtager personoplysninger i forbindelse med en ansættelse, vil det ikke længere være nødvendigt for dig at opbevare disse, når ansættelsesforholdet og lønnen er forhandlet på plads. Du skal derfor slette oplysningerne. Lønoplysninger kan du gemme i et skema i anonymiseret form til senere brug. Har du brug for at opbevare oplysninger, skal de anonymiseres, så du ikke længere kan se hvilket medlem oplysningerne vedrører.
     
  • Når du modtager personoplysninger i forbindelse med, at du er bisidder ved en tjenstlig samtale, vil det ikke længere være nødvendigt for dig at opbevare personoplysningerne, når din rolle som TR i sagen er afsluttet, og så skal du slette dem.

Når du stopper som TR

Når du stopper som TR, er du forpligtet til at gå de persondata, du har modtaget som TR igennem og videreoverdrage de persondata, du vurderer fortsat, er nødvendige til varetagelse af TR-hvervet, til den nye TR.

Du skal slette eventuelle persondata, du opbevarer, som ikke længere er nødvendige at opbevare. Bliver der ikke valgt en ny TR i stedet for dig, skal du slette alle de persondata, du har modtaget i dit hverv som TR. Sletning af persondata gælder alle persondata, både data der er elektronisk og papir.

Udsendelse af lønoplysninger

Ergoterapeutforeningen anbefaler, at du deler lønoplysninger med dine medlemmer, så medlemmerne har de bedste forudsætninger for at fremme deres lønudvikling, og du kan få det bedst mulige grundlag at forhandle løn på.

Du skal dog være opmærksom på disse forholdsregler:

Du kan videregive lønoplysninger til den gruppe ansatte, som du repræsenterer. Det gælder oplysninger om både løn, løntillæg og begrundelse for tildelingen af tillæg, så længe oplysningerne ikke indeholder negativt ladede udtalelser om den ansatte.

Det er et krav, at du i forbindelse med udsendelsen af lønoplysningerne ikke afslører, om den enkelte på lønoversigten, er medlem af en faglig organisation - hverken direkte eller indirekte - da det er i strid med pesondatareglerne, medmindre der foreligger et konkret samtykke.

Når du deler listen med lønoplysninger, skal du derfor huske at sikre:

  • at der er lønoplysninger om alle – både medlemmer og ikke medlemmer
  • at sætte alle modtagere i BCC feltet, så modtagerne ikke kan se hvem, de andre modtagere er.    
Sidst opdateret
29.04.2022