Riktlinjer för personuppgiftsbehandling inom Saco-S

Beslutade av Saco-S representantskap 22 maj 2018.

Publicerad: Onsdag 23 maj 2018

Senast uppdaterad: Onsdag 13 jun 2018

Om Saco-S

Saco-S är en ideell förening som har som ändamål att bedriva gemensam central och lokal facklig verksamhet inom staten för medlemsförbunden. Till uppgifterna hör att som förhandlingsorganisation förhandla och teckna kollektivavtal med staten som arbetsgivare, både på central nivå och lokal nivå. Avtalen binder medlemsförbunden och deras medlemmar. Till uppgifterna i övrigt hör att medverka i att ta fram partsgemensam statistik och bedriva gemensam facklig verksamhet på arbetsplatserna.

Medlemmar i Saco-S är de Saco-förbund som har medlemmar med anställningsvillkor som regleras i kollektivavtal med staten och som har begär att få bli medlemmar.

Medlemskap, uppgifter och medlemmarnas bundenhet till tecknade avtal framgår av Saco-S stadgar.

Organisationens nivåer och organ

Saco-S är organiserat på två nivåer, Saco-S centralt och Saco-S lokalt, med stadgar och andra styrdokument om fördelning av roller och uppgifter.

Det högsta organet är representantskapet. Styrelsen leder föreningens arbete.

På lokal nivå (myndighetsnivån) verkar Saco-S genom av förbundsmedlemmarna beslutade lokalföreningar eller – om förening inte finns - genom kontaktförbunden.

Kontaktförbund är normalt det förbund som har flest medlemmar på myndigheten. Lokalföreningarna är lokal arbetstagarorganisation enligt Medbestämmandelagen enligt det riktlinjer som Saco-S centralt bestämmer.

Arbetsfördelning

Saco-S är en sammanhållen förhandlingsorganisation med en fördelning av arbetsuppgifterna mellan representantskap, central styrelse, kontaktförbund och lokalföreningar.

Representantskapet väljer styrelse, beslutar om avgift för medlemsförbunden och beslutar om tecknande eller uppsägning av centrala kollektivavtal. Representantskapet beslutar också om organisationens verksamhet och dess inre organisation, t ex om vilka uppgifter den lokala nivån ska ha och om dess organisation.

Saco-S har inte har något kansli med egna anställda. Kontaktförbunden ansvarar därför för hur den lokala verksamheten bedrivs inom en myndighet, godkänner stadgar för lokalförening och biträder eller utgör den lokala nivån i vissa frågor. Kontaktförbundet företräder Saco-S som lokal part om medlemmarna inte beslutat om en lokalförening.

Kontaktförbundet har i sin servicefunktion enligt arbetstagarnyckeln ansvar för att de lokalförtroendevalda får det stöd och den utbildning som krävs för deras verksamhet, däribland traditionell facklig utbildning och att tillhanda medlemslistor. Det är också kontaktförbundet som har ansvar för att informera och utbilda de lokala verksamheterna om vad som gäller för Saco-S personuppgiftsbehandling. Det är en kontaktförbundsuppgift att följa upp den lokala personuppgiftsbehandlingen och tillhandahålla det tekniska stöd som Saco-S beslutar att man ska eller får använda.

Det är kontaktförbundens tjänstemän som företräder Saco-S i rollen som kontaktförbund med ställningsfullmakt, på samma sätt som de företräder sina arbetsgivare, medlemsförbunden. 

GDPR:s syfte

Dataskyddsförordningen (GDPR - General Data Protection Regulation) gäller som lag i alla EU:s medlemsländer från och med 25 maj 2018. GDPR ersätter personuppgiftslagen (PuL) och innebär en hel del förändringar för de som behandlar personuppgifter och förstärkta rättigheter för den enskilde när det gäller personlig integritet.

Ett av syftena med GDPR är just att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. I artikel 8 ges en rätt till respekt för privat- och familjeliv, hem och korrespondens. Konventionen har införts som lag i Sverige. Även i EU:s stadga om grundläggande rättigheter uttrycks rätten till respekt för privat- och familjeliv, artikel 7. Här finns också en särskild bestämmelse om rätt till skydd för personuppgifter, artikel 8. Stadgan är rättsligt bindande för EU:s medlemsstater. På svensk nivå finns en grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i 2 kap. 6 § andra stycket regeringsformen. Dessa grundläggande bestämmelser om rätt till privatliv och skydd för personuppgifter ligger till grund för närmare lagstiftning om behandling av personuppgifter, såväl i dataskyddsdirektivet 95/46/EU – som har genomförts i Sverige genom personuppgiftslagen – och i den nya dataskyddsförordningen GDPR.

GDPR har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att GDPR är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela EU. Andra syften med GDPR har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

Mycket i GDPR liknar reglerna i personuppgiftslagen. GDPR innehåller dock några viktigare nyheter. När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet. Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Integritetsskyddsmyndigheten inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident). Vissa organisationer, inklusive fackliga organisationer, som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud. Integritetsskyddsmyndigheten kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter. Missbruksregeln i personuppgiftslagen försvinner i och med införandet av GDPR. Missbruksregeln innebar en förenklad regel för behandling av personuppgifter i löpande text och enkla listor. I sådant, så kallat ostrukturerat textmaterial, som t.ex. e-postmeddelanden fick man tidigare med stöd av missbruksregeln behandla uppgifter i vissa situationer så länge det inte var kränkande för någon.

GDPR:s begrepp

Några av GDPR:s centrala begrepp definieras på följande sätt.

  • Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk levande person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
  • Personuppgiftsbehandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
  • Den registrerade: En fysisk levande person som är föremål för personuppgiftsbehandling.  I Saco-S fall är det förbundens medlemmar.
  • Laglig behandling av personuppgifter - All personuppgiftsbehandling måste vara tillåten enligt artikel 6 i GDPR. Se vidare nedan under rubriken ”Behandling av personuppgifter” angående den rättsliga grunden för den personuppgiftsbehandling som sker inom Saco-S.
  • Känsliga personuppgifter – ”Särskilda kategorier av personuppgifter” enligt artikel 9 GDPR: Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
  • Personuppgiftsansvarig: En fysiskt eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
  • Personuppgiftsbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
  • Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörig röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Gemensamt personuppgiftsansvar

Definitionen av personuppgiftsansvarig är i huvudsak densamma i GDPR som i dataskyddsdirektivet och personuppgiftslagen. Om flera aktörer är inblandade i en och samma eller närliggande behandlingar av personuppgifter måste det utredas vilken eller vilka av dessa aktörer som är personuppgiftsansvariga för behandlingen så att de skyldigheter som åligger den som har personuppgiftsansvar enligt GDPR kan uppfyllas.

Den som i praktiken bestämmer över ändamålen och medlen för personuppgiftsbehandlingen är personuppgiftsansvarig. Detta innebär att en aktör som de facto bestämmer över ändamål och medel inte kan vara personuppgiftsbiträde. Vem eller vilka som har rätt att bestämma över en viss personuppgiftsbehandling avgörs av de faktiska omständigheterna i varje enskilt fall.

Med rätten att bestämma över ändamål och medel avses rätten att bestämma över varför respektive hur en behandling ska utföras. För att avgöra vem eller vilka som är personuppgiftsansvarig/-a behöver man därför ställa sig frågan varför behandlingen utförs och vem som är initiativtagare till behandlingen.

Krav på inbördes arrangemang

Av artikel 26 i GDPR framgår att gemensamt personuppgiftsansvariga, under öppna former, genom ett ”inbördes arrangemang” ska fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt GDPR. Kravet på inbördes arrangemang är belagt med en administrativ sanktionsavgift. Ett sådant inbördes arrangemang ska särskilt avse former och ansvar för utövande av den registrerades rättigheter och skyldigheter att lämna information till registrerade. Det inbördes arrangemanget ska också återspegla de gemensamt personuppgiftsansvarigas respektive roller gentemot de registrerade och ska i väsentliga delar göras tillgängligt för de registrerade. Kravet på inbördes arrangemang innebär inte något krav på att de gemensamt personuppgiftsansvariga aktörerna träffar avtal med varandra men arrangemanget bör dokumenteras och regleras på något sätt.

Saco-S och medlemsförbunden - gemensamt personuppgiftsansvar

Saco-S består av ett antal självständiga medlemsförbund som styr Saco-S genom representantskapet och Saco-S styrelse. Det är dessa organ som beslutar om Saco-S verksamhet och organisation. Kontaktförbunden och lokalföreningarna har de roller i organisationen som beslutas av de styrande organen.

Varje medlemsförbund förser Saco-S med personuppgifter avseende sina medlemmars namn, personnummer och uppgift om förbundsmedlemskap. Dessa uppgifter använder Saco-S för att fullgöra organisationens uppgifter enligt de regler som beslutsorganen bestämmer.

Rätten att bestämma över ändamålen och medlen för den personuppgiftsbehandling som sker inom Saco-S får med hänvisning till ovanstående anses ligga på såväl medlemsförbunden som på Saco-S. Det innebär att medlemsförbunden och Saco-S är att betrakta som gemensamt personuppgiftsansvariga för den personuppgiftsbehandling som sker inom Saco-S. Saco-S centralt och Saco-S lokalt utgör en enhet och kontaktförbunden är en del av denna enhet när kontaktförbundet agerar som Saco-S.

Kravet i artikel 26 i GDPR på ett inbördes arrangemang vid gemensamt personuppgiftsansvar får anses uppfyllt genom ett dokument, som undertecknas av förbunden och av Saco-S, där det redogörs för hur organisationerna delar på ansvaret för utövande av den registrerades rättigheter samt skyldigheterna att lämna information till de registrerade. Dokumentet publiceras på Saco-S hemsida. Av förbundens information om deras personuppgiftsbehandling ska framgå att gemensamt personuppgiftsansvar finns med Saco-S. 

Behandling av personuppgifter

All personuppgiftsbehandling inom Saco-S måste vara tillåten enligt artikel 6 i GDPR. Den rättsliga grunden för den personuppgiftsbehandling som sker inom Saco-S är oftast antingen artikel 6 p. 1b, dvs. att behandlingen är nödvändig för att fullgöra ett avtal där den registrerade är part, eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås eller artikel 6 p. 1 c, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Behandling av känsliga personuppgifter som t.ex. uppgift om fackligt medlemskap och uppgift om hälsa är enligt huvudregeln förbjuden men kan vara tillåten enligt artikel 9 i GDPR. Den behandling av känsliga personuppgifter som sker internt inom ramen för Saco-S verksamhet är tillåten med hänvisning till artikel 9 p. 2 d, dvs. behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en förening som har ett fackligt syfte. Den behandling av känsliga personuppgifter som sker till följd av de skyldigheter och rättigheter Saco-S har i förhållande till arbetsgivare och Arbetsgivarverket är tillåten med hänvisning till artikel 9 p. 2 b, dvs. behandlingen är nödvändig för att den/de personuppgiftsansvariga eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd.

Saco-S har ett register över medlemsförbundens medlemmar som har statliga anställningsvillkor och som är bundna av de kollektivavtal som organisationen tecknar. Registret förs av Sacos kansli och är resultatet av en samkörning med statens uppgifter om anställda enligt det statliga kollektivavtalet om partsgemensam statistik.

Kontaktförbundet samt lokalföreningen vid en viss myndighet har tillgång till uppgift om vilka personer som arbetar vid myndigheten och som är medlemmar i något av Saco-S medlemsförbund. Registret innehåller uppgift om namn, personnummer och vilket eller vilka förbund som medlemmen tillhör.

Registret är nödvändigt för att Saco-S som arbetstagarorganisation ska kunna fullgöra den överenskomna uppgiften att företräda förbundens medlemmar i en rad frågor.

På central nivå behandlar Saco-S uppgifterna för att

  1. Räkna fram förbundens medlemsavgifter (avtal mellan förbunden).
  2. Meddela staten som arbetsgivare vilka personer som är medlemmar i den partsgemensamma statiken enligt överenskommelse i kollektivavtal. 
  3. Genom kontaktförbunden tillhandahålla lokalföreningarna medlemslistor.

Personuppgiftsbehandlingen enligt punkt 1 görs med stöd av undantaget i artikel 9 p. 2d). Behandlingen enligt punkt 2 görs med stöd av undantaget i artikel 9 p. 2b)

På lokal nivå behandlar Saco-S uppgifterna för att 

  1. Skicka ut kallelse till årsmöte och andra medlemsmöten samt enkäter.
  2. Ha underlag för förhandlingar eller andra processer inom RALS eller andra kollektivavtal, inklusive upprättande av egen lönestatistik.
  3. Genomföra MBL/Samverkan.
  4. Kontrollera medlemskap inför förhandlingar och rådgivning.
  5. Hålla de förtroendevalda tillgängliga för medlemmarna.

Uppgifterna enligt punkterna 1 - 4 är ett fullgörande på lokal nivå det fackliga uppdrag som följer av medlemskapet i respektive medlemsförbund. De är beslutade av Saco-S och framgår av organisationens stadgar och av styrelsen beslutade dokument, framför allt arbetstagarnyckeln. Förbundsmedlemmarna har rätten att utse de personer som ska utföra uppgifterna och har rätt till information om det lokalfackliga arbetet. Behandlingen av till exempel uppgifter om förbundsmedlemmarnas namn, e-post-adress och vilket eller vilka förbund medlemmen tillhör är nödvändig för att fullgöra den lokala delen av det fackliga uppdraget och görs med stöd av undantaget i artikel 9, p 2 d). 

Ett åtagande att vara förtroendevald i en facklig organisation förutsätter att man vill arbeta öppet för organisationen och dess ändamål. Man kan inte vara hemlig. Redan den omständigheten att man kandiderar till ett förtroendeuppdrag innebär att kandidaten tydligt offentliggjort sitt fackliga medlemskap, eftersom detta är en förutsättning för att bli vald. Behandling av personuppgifter enligt uppgift 5 kan därför göras med stöd av undantaget i artikel 9, p 2 e).

Grundläggande principer för personuppgiftsbehandling

Följande grundläggande principer gäller för all personuppgiftsbehandling.

  • Samla inte in mer uppgifter än vad som behövs.
  • Spara inte personuppgifter längre än nödvändigt.
  • Använd inte personuppgifter till något annat än vad som var syftet när de samlades in.
  • Se till att insamlade personuppgifter är korrekta och uppdaterade.
  • Rätta felaktiga personuppgifter så snart det är möjligt.
  • Om du uppmärksammar en säkerhetsrisk informera omedelbart kontaktförbundet och lokalföreningens ordförande på detta (se avsnittet om personuppgiftsincidenter).
  • Se till att hålla isär ärenden så att du kan identifiera vilken/vilka personer det gäller.
  • Använd inte personnummer slentrianmässigt utan bara om det är nödvändigt för identifikation.
  • Behandla inte uppgifter om att någon har begått brott om det inte är absolut nödvändigt och bara inom ramen för ett pågående förhandlingsärende.
  • Tänk på att även uppgifter om bland annat hälsa, sjukdom, etniskt ursprung och sexuell läggning är så kallade känsliga personuppgifter som bara får behandlas om det är absolut nödvändigt för handläggningen av ett ärende.

Alla personuppgifter ska, oavsett lagringsform, behandlas och förvaras med ”lämpliga skyddsåtgärder” vilket innebär att personuppgifterna genom lämpliga tekniska eller organisatoriska åtgärder ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Vad som ingår i lämpliga skyddsåtgärder framgår inte utan får avgöras från fall till fall.

Offentlighetsprincipen innebär att utgångspunkten i svensk lag är att handlingar som inkommer till eller upprättas hos myndigheter utgör allmänna handlingar som också är offentliga och som varje svensk medborgare har rätt att ta del av. Vad gäller korrespondens för bland annat fackliga ändamål finns dock ett undantag från offentlighetsprincipen i tryckfrihetsförordningen 2 kap. 4 §. Enligt denna bestämmelse anses brev eller annat meddelande som är ställt till någon som är anställd hos myndigheten endast som innehavare av en annan ställning än den han/hon har hos myndigheten inte som allmän handling. Det innebär att den korrespondens som sker enbart för fackliga ändamål inte utgör allmän handling även om den sker via myndighetens/arbetsgivarens e-postsystem. 

Pappersdokumentation, pärmar, USB-minnen och liknande former för lagring av personuppgifter.

  • Se till att ovanstående grundläggande principer för personuppgiftsbehandling är uppfyllda.
  • Se till att förvaringen sker med ”lämpliga skyddsåtgärder” så att de skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Detta innebär normalt förvaring i låsta skåp eller tjänsterum.

Elektronisk lagring av dokument

Arbetsgivarens datorsystem kan användas för lagring av facklig information. Eftersom arbetsgivaren med stöd av 3 § förtroendemannalagen ska ge en lokalt förtroendevald möjlighet att använda arbetsgivarens datorsystem på samma villkor som i dennes övriga verksamhet kan arbetsgivaren tillämpa undantaget i artikel 9 p 2 b) när man behandlar fackliga personuppgifter inom sitt datorsystem.

Vad gäller lagring av dokument på arbetsgivarens dator kan påpekas att Högsta förvaltningsdomstolen i en dom har uttalat att hemkatalogen (h:) i en tjänstedator är ett personligt lagringsutrymme som en myndighet tillhandahåller en anställd och att hemkatalogen inte är att betrakta som en upprättad, och därmed inte heller allmän handling i tryckfrihetsförordningens mening.

Användningen av andra lagringstjänster (såsom Google Drive, Dropbox och liknande) får bara användas för lagring av fackliga handlingar som innehåller uppgifter om enskilda medlemmar, om de tillhandahållits eller godkänts av kontaktförbundet.

  • Se till att den lokalfackliga verksamheten har tillgång till en lagringsyta som bara de förtroendevalda som behöver det har tillgång till.
  • Tillämpa de grundläggande principerna för personuppgiftsbehandling, se ovan.
  • Ge någon eller några utvalda förtroendevalda rollen att tillse att de föregående två punkterna följs.

E-post

Arbetsgivarens e-postsystem kan användas för fackliga ändamål. Eftersom arbetsgivaren med stöd av 3 § förtroendemannalagen ska ge en lokalfacklig organisation möjlighet att använda arbetsgivarens e-postsystem, t ex för att skicka ut information till medlemmar om den pågående fackliga verksamheten, kan arbetsgivaren tillämpa undantaget i artikel 9 p 2 b) när man behandlar facklig e-post inom sitt datasystem.

Användning av andra e-posttjänster än arbetsgivarens (såsom till exempel Gmail eller Hotmail) får bara användas för kommunikation med medlemmar om de tillhandahållits eller godkänts av kontaktförbundet.

I övrigt gäller följande:

  • Se till att Saco-S lokalt har en egen ”Saco” e-postadress i arbetsgivarens e-postsystem.
  • Saco-S-föreningens styrelse bör ha kontroll över och fatta beslut om vilka förtroendevalda i lokalföreningen som ska ha tillgång till Saco-S föreningens e-post.
  • Använd inte personuppgifter alls i e-post om det inte är nödvändigt.
  • Om det är möjligt, hantera personuppgifter muntligen i stället för via e-post.
  • Då det är nödvändigt, iaktta försiktighet när det gäller att hantera känsliga personuppgifter via e-post.
  • Behandla enbart känsliga personuppgifter via e-post som är krypterad.
  • Försök att minimera personuppgiftsbehandlingen i e-postkorrespondens t.ex. genom att skriva kortfattat och genom att påbörja ett nytt e-postmeddelande i stället för att fortsätta en lång kedja av e-postmeddelanden.
  • Kommunicera helst med medlemmar via deras privata e-postadress. Detta bör tydliggöras för medlemmarna av medlemsförbunden, t.ex. vid nytt medlemskap eller ändrade medlemsuppgifter.
  • Undvik att använda personnummer i e-postkommunikation om det inte är absolut nödvändigt.
  • Spara inte e-post innehållande känsliga personuppgifter i arbetsgivarens mailfunktion (t.ex. Outlook). Om e-postmeddelanden ska sparas skriv ut dem och radera sedan meddelandet i e-postsystemet alternativt spara i en ”privat” e-postmapp märkt Saco-S eller liknande.
  • Tänk på hur du formulerar e-postrubriker. Undvik att använda personuppgifter i e-postrubriken. Detta gäller även vid kalenderbokningar via e-postsystemet.
  • Använd inte arbetsgivarens e-postsystem för ärendehantering/mappindelning avseende individärenden.

Kalender i arbetsgivarens e-postsystem t.ex. Outlook

  • Se till att ovanstående grundläggande principer för personuppgiftsbehandling är uppfyllda.
  • Undvik att skriva in/behandla personuppgifter i kalendern.
  • Undvik att skriva in/behandla personnummer i kalendern.

Identitet vid kontakt via mail eller telefon

Lämna inte ut personuppgifter.

Vid fråga om någon är medlem får du varken bekräfta eller förneka fackligt medlemskap såvida det inte är arbetsgivaren som frågar i syfte att leva upp till krav i lag och kollektivavtal.

Genom att inte säkert kunna identifiera en person som kontaktar Saco-S som den medlem i ett av Saco-S förbund som denne uppger sig vara kan uppgifter om fackligt medlemskap lämnas ut till en obehörig person. Tills dess att en teknisk lösning för säker identifiering är på plats bör Saco-S iaktta försiktighet vad gäller att bekräfta medlemskap. Personuppgifter lämnas bara ut till arbetsgivare i samband med förhandling.

Det är tillåtet att ha en lista över medlemmarna i Saco-S i syfte att kunna bekräfta medlemskap när de kontaktar Saco-S. Denna medlemslista hålls aktuell genom att kontaktförbundet på begäran skickar en uppdaterad medlemslista till Saco-S-föreningen. Då skall tidigare medlemslistor destrueras, den nya medlemslistan föras över från e-post till säker lagringsyta alternativt skrivas ut på papper och den skickade filen raderas. Medlemslistorna får endast finnas hos den som behöver den i sitt fackliga uppdrag.

Medlemslistor och adresslistor till medlemmar och förtroendevalda

  • Se till att de grundläggande principerna för personuppgiftsbehandling som är beskrivna ovan är uppfyllda vid hantering av medlemslistor och adresslistor.
  • Saco-S föreningens styrelse bör ha kontroll över och fatta beslut om vilka förtroendevalda i lokalföreningen som ska ha tillgång till medlemslistor och adresslistor.
  • Använd inte medlemslistorna som grund för att skapa ärendehanteringssystem.
  • Utlämnande av medlemslistor till arbetsgivaren är en personuppgiftsbehandling av känsliga personuppgifter. Den är tillåten med hänvisning till artikel 9 p. 2b i GDPR, dvs. behandlingen är nödvändig för att den/de personuppgiftsansvariga eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd.
  • Lämna inte ut känsliga personuppgifter i medlemslistor och adresslistor till andra än medlemmen själv, förtroendevalda inom Saco-S, kontaktförbundet, företrädare för medlemsförbundet och arbetsgivaren. Allt annat är otillåtet.

Personnummer

Använd bara personnummer om det är absolut nödvändigt för att medlemmar inte ska förväxlas.

Rutiner för radering och gallring av personuppgifter

Dataskyddsförordningen ställer krav på gallring av känsliga personuppgifter. För Saco-S-föreningen innebär det att de medlemslistor som föreningen får från kontaktförbundet skall raderas efter att de har använts till det syfte som de hämtades ut för, tex kallelse till årsmöte eller RALS-förhandlingar. De medlemslistor som föreningen använder för att säkerställa att medlemmen som hör av sig med en fråga verkligen är medlem bör kontinuerligt uppdateras på så sätt genom att en ny lista tas ut från kontaktförbundet och den gamla listan raderas. 

Anteckningar om pågående medlemsärenden får sparas så länge som ärendet pågår. När ärendet är avslutat så får man spara det som man bedömer behövs inför framtida fortsatta diskussioner i frågan. Om det handlar om en medlem som avslutar sin anställning på myndigheten så räcker det att spara förhandlingsprotokollet. Om det handlar om en medlem som är fortsatt anställd men som tex har omplacerats kan det vara bra att spara mer information utifall att ärendet skulle få en fortsättning i närtid. Annars kan det vara bra att lämna över anteckningar och annat till medlemmens eget förbund. Vi rekommenderar att så lite som möjligt sparas digitalt. Observera att inte bara digitaliserade uppgifter utan även pappersuppgifter måste förvaras på ett säkert sätt.

Personuppgifter på potentiella medlemmar får i rekryteringssyfte sparas i 3 månader.

Personuppgifter i e-post ska raderas fortlöpande, se ovan under rubriken E-post, såvida de inte är en del av ett pågående ärende. I så fall får de sparas så länge som ärendet pågår. Efter avslutat ärende, se ovan.

Dataportabilitet

Rätten till dataportabilitet gäller endast datoriserat material och inte pappersarkiv. Det gäller även endast personuppgifter som medlemmen själv har tillfört vilket gör att ansvaret för dataportabilitet ligger hos medlemsförbundet.

Dataportabilitet innebär att den registrerade har rätt att få ut de egna personuppgifterna på ett läsbart och säkert sätt, t.ex. ett USB-minne som överlämnas personligen. Syftet med dataportabilitet är att medlemmarna skall kunna byta facklig tillhörighet och då få med sig de egna personuppgifterna. När medlem tar kontakt med Saco-S-föreningen gällande dataportabilitet skall föreningen kontakta medlemsförbundet.

Personuppgiftsincident

En personuppgiftsincident enligt Dataskyddsförordningen är något som gjort att en personuppgift av misstag eller i strid mot lag har raderats, ändrats, lämnats ut eller gjorts tillgänglig för obehörig. Inom 72 timmar från det att en personuppgiftsincident har upptäckts måste kontaktförbundet göra en incidentanmälan till Integritetsskyddsmyndigheten. När Saco-S-föreningen upptäcker en personuppgiftsincident måste kontaktförbundet omedelbart informeras. Kontaktförbundet behöver följande information.

  • Vilken typ av incident det är fråga om,
  • Vilka kategorier av personer som kan komma att beröras,
  • Hur många personer det berör,
  • Vilka konsekvenser incidenten kan få,
  • Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser samt
  • Namn och kontaktuppgifter till lokal kontaktperson hos Saco-S-föreningen.

Alla fakta, omständigheter och åtgärder gällande personuppgiftsincidenten skall dokumenteras för att underlätta Integritetsskyddsmyndighetens utredning.

Den registrerade vars personuppgift har blivit utsatt för en personuppgiftsincident skall utan dröjsmål informeras.

Information till registrerade

Information om vilken personuppgiftsbehandling som sker inom Saco-S finns på www.saco-s.se tillsammans med en hänvisning till medlemsförbundens information och en redogörelse för det gemensamma personuppgiftsansvaret mellan Saco-S och medlemsförbunden och det inbördes arrangemang som det innebär vad gäller ansvar enligt GDPR. Varje medlem får information om personuppgiftsbehandling från sitt medlemsförbund. Saco-S-föreningen lokalt behöver inte informera medlemmarna eftersom all information finns på Saco-S hemsida och hos medlemsförbundet.

Dataskyddsombud

Enligt Dataskyddsförordningen bör personuppgiftsansvarig ha ett dataskyddsombud. För Saco-federationen är dataskyddsombuden anställda på Saco:s kansli och de nås via Saco:s växel tel 08-613 48 00 eller mail kansli@saco.se

Vid frågor om Dataskyddsförordningen kontaktar Saco-S-föreningen i första hand kontaktförbundet.