Hoppa till huvudinnehåll

Riktlinjer: Så hanterar Försvarsförbundet personuppgifter

F rån 25 maj 2018 gäller EU:s nya dataskyddsförordning (GDPR), något som ställer mycket höga krav på oss som fackförbund gällande personuppgiftshantering av våra medlemmar. Medlemskap i fackförbund är i lagen definierad som en känslig personuppgift, vilket innebär att stränga regler och extra höga krav gäller för hantering av medlemsuppgifterna. För dig som förtroendevald är det mycket viktigt att du vet hur du får och inte får hantera personuppgifter i ditt uppdrag.

Om GDPR

EU:s dataskyddsförordning, GDPR, gäller från 25 maj 2018 och är en lag som gäller för organisationer, företag eller myndigheter som hanterar personuppgifter. Den nya lagen ersätter den tidigare personuppgiftslagen, PUL. GDPR har som syfte att skydda människors personliga integritet så att inte denna kränks när personuppgifter behandlas. Dataskyddsförordningen gäller både strukturerat (exempelvis medlemsregister) samt ostrukturerat (exempelvis e-post) material.

Detta är en personuppgift

En personuppgift är information som direkt eller indirekt går att koppla till en individ, som till exempel personnummer och namn. Men personuppgifter är också information som medlemsnummer, adress, telefonnummer, e-postadress, foton och IP-nummer.

Därför är GDPR viktigt för Försvarsförbundet

Medlemmarna är våra uppdragsgivare och uppdraget vi fått innebär ett stort ansvar. Det är därför viktigt att vi alltid sätter medlemmarnas intressen i första hand. En grund för att våra medlemmar ska ha förtroende för Försvarsförbundet är att de kan känna sig trygga när de lämnar ut personliga uppgifter till oss.

Facklig tillhörighet är en känslig uppgift enligt GDPR, precis som ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om en persons sexualliv eller sexuella läggning, uppgifter som hälsa så som till exempel kost och allergier. Detta ställer extra höga krav på oss att hantera informationen rätt.

Vem ansvar för medlemmarnas personuppgifter?

Hos oss i Försvarsförbundet är förbundet centralt personuppgiftsansvarig och ansvarar därmed för all personuppgiftsbehandling. Föreningarna är endast medhjälpare i denna hantering men har skyldighet att följa förbundets riktlinjer, personuppgiftspolicy samt dataskyddsförordningen. Samtliga förtroendevalda, kanslipersonal samt förbundsstyrelse ska också genomföra TCOs e-utbildning om GDPR.

Så hanterar vi i Försvarsförbundet medlemmarnas personuppgifter

Försvarsförbundets hantering av medlemmarnas personuppgifter styrs av förbundets stadgar och dataskyddsförordningen GDPR.
För att göra allt vi kan för att skydda våra medlemmars personuppgifter är det viktigt att vi följer förbundets riktlinjer:

Vi har tystnadsplikt

Vi har tystnadsplikt och lämnar inte ut uppgifter om enskilda medlemmar. Handlingar om enskilda medlemmar ska förvaras så att de inte kommer i utomståendes händer. Förbundets kanslipersonal, förbundsstyrelse samt förtroendevalda som har tillgång till RMS:en (ordförande, medlemsredovisare samt studieorganisatör) ska skriva under en sekretessförbindelse. Detta är en förbindelse för säker hantering och behandling av medlemmarnas personuppgifter, i enlighet med förbundets personuppgiftspolicy och riktlinjer.

Sekretessförbindelsen når du som förtroendevald genom att logga in till RMS:en via förbundets hemsida. För att komma in i RMS:en måste du först godkänna förbindelsen.

Koppla inte upp Försvarsförbundets dator eller telefon på öppna nätverk

Har du en dator eller mobiltelefon som tillhör Försvarsförbundet? För att undvika att personuppgifter sprids undvik om möjligt att koppla upp dessa på öppna nätverk. Om detta är nödvändigt, välj att koppla upp datorn via förbundets VPN.

Bygg inte egna register

Du ska aldrig bygga egna register med personuppgifter i, exempelvis i Excel.

Lagra endast relevanta uppgifter

Vi ska endast lagra de uppgifter till medlemmarna som är relevanta och behövs för att vi ska kunna fullgöra det som medlemskapet innebär. Inga bra att ha-uppgifter med andra ord.

Vid kommunikation med e-post

  • När du mejlar till en medlem, undvik rubriker och innehåll som tydligt anger att den du mejlar till är medlem i ett fackförbund.
  • Mejl mellan förbundet centralt och förtroendevalda/medlemmar eller mellan förtroendevalda och medlemmar där personuppgifter förekommer ska alltid ske genom att personuppgifterna finns i krypterade bilagor där lösenord skickas separat via sms. Inga personuppgifter får finnas i den öppna delen av mejlet utan ange endast medlemsnummer eller annat oidentifierbart som parterna kommer överens om. Undvik i största möjliga mån att skicka personuppgifter i mejl.
  • Om ett ärende kommer in via mejl, vad mycket noga när du svarar och om möjlighet finns, ring hellre upp eller svara kort tillbaka och be avsändaren ringa upp istället.
  • Får du som förtroendevald mejl från arbetsgivaren på din arbetsmejl som gäller ett medlemsärende eller innehåller känsliga personuppgifter, så ska du svara på följande sätt:
    • Ring upp eller träffa avsändaren.
    • Vill du svara skriftligen, skriv ett dokument och lägg som bilaga med löneordsskydd.
  • Mejlar du till flera mottagare på en gång lägg alltid mottagarna som dolda och skriv aldrig i text eller rubrik något som avslöjar att mejlet kommer till mottagaren på grund av dennes medlemskap i förbundet.
  • Varje föreningsstyrelse har fått en egen mejllåda på Försvarsförbundets mejlserver. På så sätt kommer förbundet centralt kunna kommunicera med föreningarna och tvärtom i ärenden som anses känsliga, där det förekommer personuppgifter på medlemmar och där vi inte vill kommunicera på arbetsgivarens server. Denna mejllåda ska alltid användas vid känsliga ärenden.
  • Förbundets förtroendevalda och medlemmar kan fortsätta kommunicera med varandra och förbundet centralt via sin vanliga mejladress, antingen privata eller arbetsgivarens, så länge ovanstående punkter följs.

Vid överföring av medlemsuppgifter till arbetsgivare

Innan du överför medlemsuppgifter till arbetsgivaren, ta reda på vad som gäller.

Vid överföring av exempelvis lönelistor till arbetsgivaren via mejl, se till att alltid skicka dessa i krypterad form med lösenord via sms.

Vid överföring av medlemsuppgifter till annan

Lämna aldrig ut medlemsuppgifter till en annan organisation eller företag utan att i förväg kontrollera detta med Försvarsförbundets kanslichef eller dataskyddsombud.

Undvik personnummer

Använd inte personnummer mer än där det är absolut nödvändigt. Använd hellre medlemsnummer eller namn för identifiering. Om du måste skicka personnummer, gör detta i löneordsskyddad bilaga.

Extra skyddsvärd information

Personnummer och lön är extra skyddsvärd information och får inte delges obehörig.

Gallra!

Det är mycket viktigt att kontinuerligt gallra all information som innehåller personuppgifter. Det kan vara allt från dokument till e-post. Tänk på att e-postadresser är en personuppgift.

Vill du spara lönelistor för statistik går detta bra om du avidentifierar uppgifterna eller endast sparar sammanställningarna där inte enskilda personuppgifter finns med.

Registerutdrag

Ber en medlem om att få ett registerutdrag innebär det att medlemmen vill se all information som förbundet har om hen. För att begära registerutdrag ska medlemmen skicka ett underskrivet fysiskt brev till förbundskansliet och be om detta. Kansliet kommer sedan inom en månad skicka ett registerutdrag med den information som finns om medlemmen i medlemsregister, e-post med mera via fysisk post till medlemmen.

Rätten att bli glömd

Medlemmarna har rätt att be om att bli glömda. Det går däremot inte att bli glömd om medlemmen fortsatt önskar vara medlem i eller har en skuld till förbundet. Om en medlem önskar att bli glömd är det något förbundet centralt ordnar. Medlemmen måste ha skrivit under ett avtal/överenskommelse med förbundet om att inte väcka talan mot förbundet samt har förstått att förbundet inte heller kommer kunna hjälpa medlemmen.

Rätt uppgifter

Varje medlem har skyldighet att hålla förbundet med uppdaterat med uppgifter gällande kontaktuppgifter, lön och arbetsplats.

Bokning av medlemsaktiviteter och hotell med mera

Vid bokning av hotell eller andra medlemsaktiviteter, uppge inte namnen på de medlemmar som ska delta. Uppge ett antal, och låt sedan personerna själva skriva in sig vid ankomst. Då säkrar du att förbundet inte skickat några personuppgifter och riskerat att avslöja det fackliga medlemskapet. Avtalet blir istället mellan den utomstående aktören och medlemmen.

Spara enligt lag

Grundregeln är att du bara ska spara uppgifter så länge du behöver dem, därefter gallras. Däremot ska medlemsärenden sparas i 10 år och bokföringsmaterial i 7 år. För mer information, se förbundets gallringspolicy.

Synlighet ingår i förtroendeuppdraget

Inom Försvarsförbundet ingår det i uppdraget som förtroendevald att synas för sina medlemmar och arbetsgivare. Se till att dina uppgifter är uppdaterade.

Säker identifiering av medlemmar

Förbundet centralt kommer att använda sig av personvalidering vid medlemsärenden via telefon, vilket innebär att om man ringer in och vill ha hjälp eller till exempel ändra adress måste identiteten bekräftas via Bank ID. Detta för att inte riskera att avslöja facklig tillhörighet eller personuppgifter till obehörig.

Sociala medier

Det är endast tillåtet att lägga ut namn och/eller bild på andra i sociala medier om du fått tillåtelse av dessa. Samma sak gäller taggning. För mer info, se förbundets sociala medier-policy.

IT-lösningar

Använd endast använder de IT-lösningar som förbundet beskriver i riktlinjerna. Om Försvarsförbundets IT-stöd inte motsvarar ert behov, kontakta förbundets kansli.

Vid misstag

Tror eller vet du att du har gjort ett misstag där du läckt personuppgifter till medlem eller medlemmar? Kontakta omgående din föreningsordförande samt förbundets dataskyddsombud på: dataskyddsombud(at)forsvarsforbundet.se. Förbundet har 72 timmar på sig att anmäla eventuella läckage till datainspektionen, vilket gör att det är viktigt att du rapporterar misstag snabbt.

Personuppgiftsansvarig

Försvarsförbundet
Box 5328
102 47 Stockholm
E-post: info(at)forsvarsforbundet.se
Telefon: 08-402 40 00
Org.nummer: 802001-1493

Dataskyddsombud

Alf Emmerdahl
E-post:
 
dataskyddsombud(at)forsvarsforbundet.se

Sidan uppdateras kontinuerligt.