Behandling av personuppgifter

Behandling av personuppgifter

All personuppgiftsbehandling inom Saco-S måste vara tillåten enligt artikel 6 i GDPR. Den rättsliga grunden för den personuppgiftsbehandling som sker inom Saco-S är oftast antingen artikel 6 p. 1b, dvs. att behandlingen är nödvändig för att fullgöra ett avtal där den registrerade är part, eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås eller artikel 6 p. 1 c, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Behandling av känsliga personuppgifter som t.ex. uppgift om fackligt medlemskap och uppgift om hälsa är enligt huvudregeln förbjuden men kan vara tillåten enligt artikel 9 i GDPR. Den behandling av känsliga personuppgifter som sker internt inom ramen för Saco-S verksamhet är tillåten med hänvisning till artikel 9 p. 2 d, dvs. behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en förening som har ett fackligt syfte. Den behandling av känsliga personuppgifter som sker till följd av de skyldigheter och rättigheter Saco-S har i förhållande till arbetsgivare och Arbetsgivarverket är tillåten med hänvisning till artikel 9 p. 2 b, dvs. behandlingen är nödvändig för att den/de personuppgiftsansvariga eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd.

Saco-S har ett register över medlemsförbundens medlemmar som har statliga anställningsvillkor och som är bundna av de kollektivavtal som organisationen tecknar. Registret förs av Sacos kansli och är resultatet av en samkörning med statens uppgifter om anställda enligt det statliga kollektivavtalet om partsgemensam statistik.

Kontaktförbundet samt lokalföreningen vid en viss myndighet har tillgång till uppgift om vilka personer som arbetar vid myndigheten och som är medlemmar i något av Saco-S medlemsförbund. Registret innehåller uppgift om namn, personnummer och vilket eller vilka förbund som medlemmen tillhör.

Registret är nödvändigt för att Saco-S som arbetstagarorganisation ska kunna fullgöra den överenskomna uppgiften att företräda förbundens medlemmar i en rad frågor.

På central nivå behandlar Saco-S uppgifterna för att

1. Räkna fram förbundens medlemsavgifter (avtal mellan förbunden).
2. Meddela staten som arbetsgivare vilka personer som är medlemmar i den partsgemensamma statiken enligt överenskommelse i kollektivavtal.
3. Genom kontaktförbunden tillhandahålla lokalföreningarna medlemslistor.
4. Insamling och bearbetning av personuppgifter för den centrala partsgemensamma lönestatistiken. 

Personuppgiftsbehandlingen enligt punkt 1 görs med stöd av undantaget i artikel 9 p. 2d). Behandlingen enligt punkt 2 görs med stöd av undantaget i artikel 9 p. 2b)

Se avtal statistik 2022 (Överenskommelse mellan Arbetsgivarverket och Saco-S om samarbete i statisktikfrågor)

På lokal nivå behandlar Saco-S uppgifterna för att

1. Skicka ut kallelse till årsmöte och andra medlemsmöten samt enkäter.
2. Ha underlag för förhandlingar eller andra processer inom RALS eller andra kollektivavtal, inklusive upprättande av egen lönestatistik.
3. Genomföra MBL/Samverkan.
4. Kontrollera medlemskap inför förhandlingar och rådgivning.
5. Hålla de förtroendevalda tillgängliga för medlemmarna.

Uppgifterna enligt punkterna 1 - 4 är ett fullgörande på lokal nivå det fackliga uppdrag som följer av medlemskapet i respektive medlemsförbund. De är beslutade av Saco-S och framgår av organisationens stadgar och av styrelsen beslutade dokument, framför allt arbetstagarnyckeln. Förbundsmedlemmarna har rätten att utse de personer som ska utföra uppgifterna och har rätt till information om det lokalfackliga arbetet. Behandlingen av till exempel uppgifter om förbundsmedlemmarnas namn, e-post-adress och vilket eller vilka förbund medlemmen tillhör är nödvändig för att fullgöra den lokala delen av det fackliga uppdraget och görs med stöd av undantaget i artikel 9, p 2 d).

Ett åtagande att vara förtroendevald i en facklig organisation förutsätter att man vill arbeta öppet för organisationen och dess ändamål. Man kan inte vara hemlig. Redan den omständigheten att man kandiderar till ett förtroendeuppdrag innebär att kandidaten tydligt offentliggjort sitt fackliga medlemskap, eftersom detta är en förutsättning för att bli vald. Behandling av personuppgifter enligt uppgift 5 kan därför göras med stöd av undantaget i artikel 9, p 2 e).

Grundläggande principer för personuppgiftsbehandling

• Följande grundläggande principer gäller för all personuppgiftsbehandling.
• Samla inte in mer uppgifter än vad som behövs.
• Spara inte personuppgifter längre än nödvändigt.
• Använd inte personuppgifter till något annat än vad som var syftet när de samlades in.
• Se till att insamlade personuppgifter är korrekta och uppdaterade.
• Rätta felaktiga personuppgifter så snart det är möjligt.
• Om du uppmärksammar en säkerhetsrisk informera omedelbart kontaktförbundet och lokalföreningens ordförande på detta (se avsnittet om personuppgiftsincidenter).
• Se till att hålla isär ärenden så att du kan identifiera vilken/vilka personer det gäller.
• Använd inte personnummer slentrianmässigt utan bara om det är nödvändigt för identifikation.
• Behandla inte uppgifter om att någon har begått brott om det inte är absolut nödvändigt och bara inom ramen för ett pågående förhandlingsärende.
• Tänk på att även uppgifter om bland annat hälsa, sjukdom, etniskt ursprung och sexuell läggning är så kallade känsliga personuppgifter som bara får behandlas om det är absolut nödvändigt för handläggningen av ett ärende.
• Alla personuppgifter ska, oavsett lagringsform, behandlas och förvaras med ”lämpliga skyddsåtgärder” vilket innebär att personuppgifterna genom lämpliga tekniska eller organisatoriska åtgärder ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Vad som ingår i lämpliga skyddsåtgärder framgår inte utan får avgöras från fall till fall.

Offentlighetsprincipen innebär att utgångspunkten i svensk lag är att handlingar som inkommer till eller upprättas hos myndigheter utgör allmänna handlingar som också är offentliga och som varje svensk medborgare har rätt att ta del av. Vad gäller korrespondens för bland annat fackliga ändamål finns dock ett undantag från offentlighetsprincipen i tryckfrihetsförordningen 2 kap. 8 §. Enligt denna bestämmelse anses brev eller annat meddelande som är ställt till någon som är anställd hos myndigheten endast som innehavare av en annan ställning än den han/hon har hos myndigheten inte som allmän handling. Det innebär att den korrespondens som sker enbart för fackliga ändamål inte utgör allmän handling även om den sker via myndighetens/arbetsgivarens e-postsystem.

Pappersdokumentation, pärmar, USB-minnen och liknande former för lagring av personuppgifter

Se till att ovanstående grundläggande principer för personuppgiftsbehandling är uppfyllda.

Se till att förvaringen sker med ”lämpliga skyddsåtgärder” så att de skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Detta innebär normalt förvaring i låsta skåp eller tjänsterum.

Elektronisk lagring av dokument

Arbetsgivarens datorsystem kan användas för lagring av facklig information. Eftersom arbetsgivaren med stöd av 3 § förtroendemannalagen ska ge en lokalt förtroendevald möjlighet att använda arbetsgivarens datorsystem på samma villkor som i dennes övriga verksamhet kan arbetsgivaren tillämpa undantaget i artikel 9 p 2 b) när man behandlar fackliga personuppgifter inom sitt datorsystem.

Användningen av andra lagringstjänster (såsom Google Drive, Dropbox och liknande) får bara användas för lagring av fackliga handlingar som innehåller uppgifter om enskilda medlemmar, om de tillhandahållits eller godkänts av kontaktförbundet.

• Se till att den lokalfackliga verksamheten har tillgång till en lagringsyta som bara de förtroendevalda som behöver det har tillgång till.
• Tillämpa de grundläggande principerna för personuppgiftsbehandling, se ovan.
• Ge någon eller några utvalda förtroendevalda rollen att tillse att de föregående två punkterna följs.

Högsta förvaltningsdomstolen har i en dom uttalat att hemkatalogen i en tjänstedator är ett personligt lagringsutrymme som en myndighet tillhandahåller en anställd, att hemkatalogen inte är att betrakta som en upprättad och därmed inte heller allmän handling i tryckfrihetsförordningens mening.

E-post

Arbetsgivarens e-postsystem kan användas för fackliga ändamål. Eftersom arbetsgivaren med stöd av 3 § förtroendemannalagen ska ge en lokalfacklig organisation möjlighet att använda arbetsgivarens e-postsystem, t ex för att skicka ut information till medlemmar om den pågående fackliga verksamheten, kan arbetsgivaren tillämpa undantaget i artikel 9 p 2 b) när man behandlar facklig e-post inom sitt datasystem.

Användning av andra e-posttjänster än arbetsgivarens (såsom till exempel Gmail eller Hotmail) får bara användas för kommunikation med medlemmar om de tillhandahållits eller godkänts av kontaktförbundet.

I övrigt gäller följande:

• Se till att Saco-S lokalt har en egen ”Saco-S” e-postadress i arbetsgivarens e-postsystem.
• Saco-S-föreningens styrelse ska ha kontroll över och fatta beslut om vilka förtroendevalda i lokalföreningen som ska ha tillgång till Saco-S föreningens e-post.
• Sändlistor till medlemmar får inte vara synliga för andra än för de förtroendevalda som har tillgång till Saco-S föreningens e-post
• Vid utskick till medlemmar ska e-postadresserna läggas i fältet Hemlig kopia.
• Använd inte personuppgifter alls i e-post om det inte är nödvändigt.
• Om det är möjligt, hantera personuppgifter muntligen i stället för via e-post.
• Då det är nödvändigt, iaktta försiktighet när det gäller att hantera känsliga personuppgifter via e-post.
• Behandla enbart känsliga personuppgifter via e-post som är krypterad.
• Försök att minimera personuppgiftsbehandlingen i e-postkorrespondens t.ex. genom att skriva kortfattat och genom att påbörja ett nytt e-postmeddelande i stället för att fortsätta en lång kedja av e-postmeddelanden.
• Kommunicera helst med medlemmar via deras privata e-postadress. Detta bör tydliggöras för medlemmarna av medlemsförbunden, t.ex. vid nytt medlemskap eller ändrade medlemsuppgifter.
• Undvik att använda personnummer i e-postkommunikation om det inte är absolut nödvändigt.
• Spara inte e-post innehållande känsliga personuppgifter i arbetsgivarens mailfunktion (t.ex. Outlook). Om e-postmeddelanden ska sparas skriv ut dem och radera sedan meddelandet i e-postsystemet alternativt spara i en ”privat” e-postmapp märkt Saco-S eller liknande.
• Tänk på hur du formulerar e-postrubriker. Undvik att använda personuppgifter i e-postrubriken. Detta gäller även vid kalenderbokningar via e-postsystemet.
• Använd inte arbetsgivarens e-postsystem för ärendehantering/mappindelning avseende individärenden.

Kalender i arbetsgivarens e-postsystem t.ex. Outlook

• Se till att ovanstående grundläggande principer för personuppgiftsbehandling är uppfyllda.
• Undvik att skriva in/behandla personuppgifter i kalendern.
• Undvik att skriva in/behandla personnummer i kalendern.

Mötessystem och diskussionsgrupper

För kommunikation med medlemmar får endast sådana mötessystem och diskussionsgrupper som tillhandahållits eller godkänts av kontaktförbundet användas. Teams, Zoom och liknande system som tillhandahålls av arbetsgivaren eller öppna system som t ex Messenger får alltså inte användas för medlemskommunikation utan godkännande.

Identitet vid kontakt via mail eller telefon

Lämna inte ut personuppgifter.

Vid fråga om någon är medlem får du varken bekräfta eller förneka fackligt medlemskap såvida det inte är arbetsgivaren som frågar i syfte att leva upp till krav i lag och kollektivavtal.

Genom att inte säkert kunna identifiera en person som kontaktar Saco-S som den medlem i ett av Saco-S förbund som denne uppger sig vara kan uppgifter om fackligt medlemskap lämnas ut till en obehörig person. Tills dess att en teknisk lösning för säker identifiering är på plats bör Saco-S iaktta försiktighet vad gäller att bekräfta medlemskap. Personuppgifter lämnas bara ut till arbetsgivare i samband med förhandling.

Det är tillåtet att ha en lista över medlemmarna i Saco-S i syfte att kunna bekräfta medlemskap när de kontaktar Saco-S. Denna medlemslista hålls aktuell genom att kontaktförbundet på begäran skickar en uppdaterad medlemslista till Saco-S-föreningen. Då skall tidigare medlemslistor destrueras, den nya medlemslistan föras över från e-post till säker lagringsyta alternativt skrivas ut på papper och den skickade filen raderas. Medlemslistorna får endast finnas hos den som behöver den i sitt fackliga uppdrag.

Medlemslistor och adresslistor till medlemmar och förtroendevalda

• Se till att de grundläggande principerna för personuppgiftsbehandling som är beskrivna ovan är uppfyllda vid hantering av medlemslistor och adresslistor.
• Saco-S föreningens styrelse ska ha kontroll över och fatta beslut om vilka förtroendevalda i lokalföreningen som ska ha tillgång till medlemslistor och adresslistor.
• Medlemmar som inte har något förtroendeuppdrag får inte ha tillgång till medlemslistor/adresslistor.
• Använd inte medlemslistorna som grund för att skapa ärendehanteringssystem.
• Utlämnande av medlemslistor till arbetsgivaren är en personuppgiftsbehandling av känsliga personuppgifter. Den är tillåten med hänvisning till artikel 9 p. 2b i GDPR, dvs. behandlingen är nödvändig för att den/de personuppgiftsansvariga eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd.
• Lämna inte ut känsliga personuppgifter om en medlem som finns i medlemslistor och adresslistor till andra än medlemmen själv, förtroendevalda inom Saco-S, kontaktförbundet, företrädare för medlemsförbundet och arbetsgivaren. Allt annat är otillåtet.

Personnummer

Använd bara personnummer om det är absolut nödvändigt för att medlemmar inte ska förväxlas.