FAQ

Här samlar vi frågor som vi som dataskyddsombud har fått från förbunden och där vi vill dela med oss av våra svar till alla inom Sacofederationen.

Publicerad: Måndag 5 nov 2018

Senast uppdaterad: Måndag 5 nov 2018

Fråga: Är arbetsgivaren personuppgiftsansvarig eller biträde när de upplåter sin IT-miljö åt en facklig organisation?

Varje behandling måste bedömas för sig, men här utgår vi från att arbetsgivaren inte har något intresse eller behov av de personuppgifter som den fackliga organisationen behandlar. Den fackliga organisationen är personuppgiftsansvarig eftersom uppgifterna behandlas för dennas ändamål (artikel 4 p. 7).

Arbetsgivaren behandlar personuppgifter för den fackliga organisationens räkning, till exempel genom att lagra uppgifterna, men har inget eget ändamål med behandlingarna. Detta innebär att arbetsgivaren är ett personuppgiftsbiträde (artikel 4 p. 8). Det är inte möjligt att avtala om en annan fördelning av personuppgiftsansvar än den som följer av GDPR.

Vad arbetsgivaren har för skäl att upplåta sina datorer, servrar etc. åt den fackliga organisationen har ingen betydelse för fördelningen av personuppgiftsansvar (t.ex. om det är för att de är tvungna att tillhandahålla ”skrivmedel” enligt lag, eller om de gör det frivilligt).

För det fall arbetsgivaren också har ett behov, ett ändamål, med behandlingen
av de personuppgifter som den fackliga organisationen utför hos arbetsgivaren
så är de båda organisationerna (gemensamt) personuppgiftsansvariga.

Fråga: Finns det ett bra enkätverktyg på webben som våra föreningar kan använda?

Av de gratisverktyg som finns på webben så finns det inte något verktyg som vi känner till som också uppfyller villkoren enligt GDPR. Om det är gratis att använda verktyget tar de istället in pengar på annat sätt, vilket kan vara att använda personuppgifterna för att sälja annonser.

Om ni anser att ni ändå måste använda gratisverktyg så gäller det att hitta det minst dåliga alternativet. För att minimera riskerna för den enskilde så bör ni åtminstone
- inhämta ett samtycke till behandlingarna
- se till att inte ladda upp mejladresser till verktyget (går att klistra in länk i annat mejl)
- informera de som får erbjudande om enkäten hur uppgifterna behandlas samt om de hanteras utanför EU.

Fråga: Behöver vi GDPR-säkra våra cookies och pixlar när vi har utgivningsbevis för vår webbplats?

Ja, det behöver ni. Utgivningsbeviset ger ett grundlagsskydd för själva databasen och därmed det ni publicerar på webbplatsen. När det gäller spårning av besökare med cookies och pixlar så omfattas de personuppgiftsbehandlingarna inte av utgivningsbeviset. Ni måste alltså följa GDPR för de behandlingarna.

Fråga: En lokalt förtroendevald gjorde per e-post ett utskick om löneenkät och lade då in medlemmarnas e-postadresser i öppna mottagarfältet. Är detta en personuppgiftsincident som ska rapporteras?

Ja, sådana här incidenter ska rapporteras till Datainspektionen eftersom det är känsliga uppgifter som har spridits. Däremot är det nog inte sannolikt att incidenten leder till en hög risk för fysiska personers rättigheter och friheter, och de registrerade har själva fått del av mejlet i vilket deras uppgifter spreds (så de vet att det har hänt). Då behöver ni inte informera de registrerade särskilt.

Fråga: Vi har i ett biträdesavtal godkänt att biträdena får anlita underbiträden som har server utanför EU/EES om de uppfyller de krav som ställs i GDPR. Innebär det att vi måste informera medlemmarna att vi avser lämna ut deras uppgifter till tredje land?

Den registrerades personuppgifter kan komma att föras över till ett land utanför EU/EES, så ja, ni måste informera medlemmarna om det. Ni bör enligt EDPB:s riktlinjer till och med ange vilket land, för att informationen ska vara meningsfull. Ni måste informera om vilken grund ni har för överförandet (t.ex. ett kommissionsbeslut om adekvat skyddsnivå, bindande företagsbestämmelser, godkända standardavtalsklausuler etc). Det räcker inte att räkna upp

olika grunder som finns i förordningen. Ni ska också tillhandahålla eller hänvisa till relevanta dokument, till exempel genom en länk (dvs. till det dokument ni anger som grund för överföringen).

Kort och gott är det kanske inte så bra att ge biträdet fria tyglar att överföra uppgifter till tredje land (eller att låta dem låta underbiträden göra det), eftersom det medför att ni får svårt att leva upp till kraven på er som personuppgiftsansvarig.

Frågor

1. Får vi skicka ut en enkät till tidigare medlemmar för att ta reda på varför de sagt upp sitt medlemskap?

2. Vad gör vi om de före detta medlemmarna ifrågasätter att vi skickar enkäter till dem fast de inte längre är medlemmar?

3. Vad svarar vi om de vill att vi ska ta bort dem från registret?

4. Behöver vi skriva något i mejlet som går ut med enkäten – länka till information?

1. Vi utgår i svaret från att det handlar om en enda enkät (+ev. en påminnelse), för detta syfte, och som skickas i nära anslutning till att medlemskapet har avslutats. Andra förutsättningar skulle eventuellt ge ett annat svar.

Ni har ett berättigat intresse av att försöka ta reda på varför medlemmar utträder ur förbundet. Vår bedömning är att detta intresse väger tyngre än den före detta medlemmens intresse i det här fallet, under förutsättning att utskicket sker i nära anslutning till att medlemskapet upphörde. (Möjligen kan det anses ingå i det större ändamålet ”återvärvning” – där har Datainspektionen enligt PuL bedömt att uppgifterna får användas för detta ändamål i ett år efter utträdet).

2. Det är nog få som tycker att det är konstigt att få en sådan enkät kort efter att man har utträtt en förening eller ett fackförbund. Om någon ändå hör av sig förklarar ni att utskicket gjordes efter en intresseavvägning (dvs. rättslig grund i art. 6.1. f + 9.2.d GDPR), och varför ni anser att ert intresse av att lära er mer om orsaker till att medlemmar väljer att avsluta sitt medlemskap väger tyngre än deras intresse. Ni berättar också att medlemmen kan invända mot att ni behandlar personuppgifterna på det här sättet.

3. Om de invänder mot behandlingen i det här fallet är vår bedömning att ni ska upphöra att behandla uppgifterna för detta ändamål. (Observera det kan finnas rättslig grund för att behandla medlemmens uppgifter för andra ändamål).

4. Ja, ni bör informera i utskicket eller länka till information på er webbplats om hur ni hanterar personuppgifter. Där ska finnas tydlig information om att ni sparar uppgifter om före detta medlemmar för ändamålet, den rättsliga grunden för detta inklusive hur ni har bedömt intresseavvägningen, hur länge uppgifterna sparas för detta ändamål m.m (se art.13).

Fråga: Behöver vi teckna biträdesavtal med utbildningsföretaget Föreläsningar AB?

Föreläsningar AB har i uppdrag att genomföra seminarier för förbundets räkning. Medlem får en inbjudan av förbundet att utan kostnad gå på seminarier hos Föreläsningar AB. Medlemmen anmäler sig på hemsidan hos Föreläsningar AB. Medlem anger även i vilket fackförbund hen är med i. På detta vis lämnar inte förbundet ut några personuppgifter till Föreläsningar AB. Listan på deltagare får förbundet av Föreläsningar AB. Förbundet kan även ta del av (en avidentifierad) utvärdering.

Föreläsningar AB är med denna hantering personuppgiftsansvarig och bör begära in samtycke vid anmälan som informerar den som anmäler sig att uppgifterna kommer att delas med förbundet för att kontrollera att personen verkligen är medlem som hen säger. Ni ska inte teckna biträdesavtal.

Fråga: Får vi skicka känsliga personuppgifter i okrypterade mejl?

Datainspektionen avråder från att skicka känsliga personuppgifter i okrypterade mejl. Anledningen är att det inte är säkert. Ett okrypterat mejl kan läsas av många på vägen till mottagaren. Det gäller även när man mejlar internt, eftersom även mejl inom en organisation kan skickas via olika servrar anslutna till nätet. Därför bör ni höra med IT-ansvarig om hur ni ska göra för att kryptera era mejl.

Läs mer: Danska tillsynsmyndigheten har skrivit om kryptering av e-post. https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/

Fråga: Är det vårt biträde eller vi som ska teckna underbiträdesavtal?

Det är biträdet som anlitar underbiträden och tecknar underbiträdesavtal. Biträdet får inte anlita ett underbiträde utan ok från er. Det är hela tiden ni som är personuppgiftsansvariga, ni måste därför vara säkra på att varken biträde eller underbiträden gör något annat än vad ni har instruerat. Biträdet får inte hitta på egna instruktioner eller behandlingar till ett underbiträde. Se det som att personuppgiftsbiträdet och eventuella underbiträden bara är en förlängning av er. Juridiskt sett har personuppgifterna inte lämnat er organisation när biträdet/underbiträdet behandlar dem. 

Fråga: Vi ska hålla en kurs med övernattning och måste skicka deltagarlistor till kursgården. Behövs samtycke och hur kan vi i så fall formulera det?

Ni behöver informera om de behandlingar som ni normalt inte gör för medlemmar. I det här exemplet behövs samtycke för att lämna ut personuppgifter till kursgården eftersom uppgifterna avslöjar den enskildes fackliga medlemskap. 

Här är ett förslag på sådan text:
Kursgården behöver ditt namn för att kunna ge dig ett rum. Om du inte samtycker till att vi lämnar ut ditt namn kan vi inte erbjuda dig övernattning.
”Jag samtycker till att mitt namn skickas till kursgården”

Läs mer: På Datainspektionens webbplats finns bra information om samtycke, bl.a. en checklista. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/rattslig-grund/samtycke/

Fråga: Vi ska hålla en utbildningsdag med lunch. Ska vi ta in samtycke för att skicka uppgift om specialkost till restaurangen?

Nej. Ni behöver inte skicka personuppgifter till restaurangen. Ni behöver bara skicka uppgift om hur många som ska ha specialkost och vilken specialkost det är.

Fråga: Hur kan vi säkerställa att personen som ringer är den som hen utger sig för att vara?

Idag krävs i princip mobilt BankID för att vara helt säkra på uppringarens identitet. BankID bör på sikt bli standard. 

Det finns andra metoder ni kan använda i vissa situationer. En metod är att ställa en kontrollfråga i samband med att personen uppger sitt personnummer. Frågan kan gälla en tidigare arbetsplats eller annan information som inte går att hitta på exempelvis Hitta.se. 

Förbundet behöver ta fram en policy för det är inte varje enskild anställd som ska avgöra hur identiteten ska kontrolleras. I policyn bör stå vilka kontrollfrågor ni kan ställa, vilka frågor från inringaren ni kan svara på utan att behöva fastställa identiteten samt i vilka fall det krävs BankID eller annan säkrare identifikation.