GDPR för förtroendevalda

Byster Nationalmuseum

Den EU-gemensamma dataskyddsförordningen GDPR (General Data Protection Regulation) reglerar hur personuppgifter ska hanteras. I ditt uppdrag som förtroendevald så hanterar du medlemmarnas personuppgifter till exempel när du skickar e-post om ett fackligt ärende. Här går vi igenom vad du behöver tänka på!

Vad är en personuppgift?

En personuppgift är allting som går att koppla till en fysisk, levande person. Det kan vara namn och personnummer, men även telefonnummer, e-postadresser eller foton.

Vad är GDPR?

GDPR är en dataskyddsförordning som sedan maj 2018 gäller i alla EU:s medlemsstater. I Sverige ersatte den Personuppgiftslagen, PuL. Syftet med GDPR är att skydda enskilda individers rättigheter till sina personuppgifter och lagen anger därför hur personuppgifter ska hanteras – till exempel hur du får samla in, lagra och sprida personuppgifter. Samtidigt med GDPR kom också nya regler om skadeståndsansvar, det vill säga vad som händer om man som företag eller organisation hanterar personuppgifter på ett felaktigt sätt.

GDPR och fackligt medlemskap

Reglerna i GDPR är extra strikta för så kallade känsliga personuppgifter. Det kan vara uppgifter som om till exempel någons sexuella läggning, religion eller hälsa. Fackligt medlemskap räknas också som en känslig personuppgift. Du som förtroendevald måste alltså vara noggrann med att hantera all medlemskommunikation enligt GDPR, till exempel när du skickar mejl där det framgår att någon är fackligt ansluten, när du skickar kallelser till möten eller informerar om lönerevision.

Kom ihåg kring GDPR

Här kommer några viktiga saker att tänka på när du som förtroendevald behandlar personuppgifter.

  • E-post som innehåller personuppgifter måste vara krypterade. De flesta e-postklienter har inbyggda alternativ för att kryptera mejl. På så sätt förhindrar du att personliga data blir tillgänglig för obehöriga. Var alltid mycket försiktig med att använda e-post när du behöver skicka känsliga personuppgifter.

  • Filer som innehåller personuppgifter måste också vara krypterade/skyddade. Det finns inbyggda alternativ för kryptering i många vanliga program, som till exempel Office-programmen. Var noga med att aldrig skicka oskyddade filer med uppgifter om till exempel någons hälsa, religiösa åskådning eller politiska åsikter.

  • Fundera på om du kan hantera personuppgiften på något annat sätt än att mejla, kanske genom att ringa eller ta ett möte

  • Om du ska skicka e-post till alla fackliga medlemmar samtidigt, använd alternativet ”hemlig kopia”, så att du inte röjer uppgifter om någons fackliga medlemskap.

  • Rensa din dator ofta och spara inte information längre än nödvändigt. Ha som vana att radera dokument direkt när du använt uppgifterna som du behöver i det.

  • Informera den som är registrerad. Om du hanterat personuppgifter så har personen som dem handlar om rätt att få veta om det.

  • Lägg in information kring ärenden som skickas med e-post i ett ärendesystem, sedan raderar du e-postmeddelandet. Övrig e-post ska gallras efter en viss bestämd tid.

  • Skicka inte formulärdata med e-post. Många CMS (publiceringssystem) har funktionen att det automatiskt går iväg ett mejl med uppgifter när någon har fyllt i ett formulär på en webbplats. Med en sådan lösning får du svårt att kontrollera var personuppgifterna hamnar och får därför också svårt att efterleva GDPR. Redan om någon vidarebefordrar ett mejl har du tappat kontrollen. Därför är det bättre att ha en lösning där uppgifterna i formuläret sparas på en plats

Lär dig mer om GDPR 

I DIK:s utbildningar för lokalfackliga går vi igenom allt du behöver veta om GDPR. Du kan också läsa mer i DIK:s dataskyddspolicy, eller fördjupa dig inom GDPR på Datainspektionens webb.