GDPR – tänk på det här som förtroendevald

Den nya dataskyddsförordningen GDPR innebär skärpta krav på hantering av personuppgifter. Här går vi igenom vad du behöver tänka på som förtroendevald i ditt fackliga arbete.

Sedan den 25 maj gäller dataskyddsförordningen GDPR. I och med detta följer det också nya regler om skadeståndsansvar. Här hittar du instruktioner för hur du ska hantera personuppgifter i sin helhet. Här finns också en FAQ om GDPR som svarar på de vanligaste frågorna.

Enligt båda regelverken räknas fackligt medlemskap som en känslig personuppgift. För känsliga personuppgifter är reglerna kring personuppgiftsbehandling extra strikta. Alla uppgifter som går att hänföra till en fysisk, levande person är en personuppgift. Det kan vara namn och personnummer, men även telefonnummer och e-postadresser.

Ett mejl till eller från en medlem där det framgår att personen är fackligt ansluten är alltså en sådan extra känslig information. Det kan exempelvis handla om mejl med kallelser till årsmöten, allmän information gällande lönerevision, frågor från medlemmar eller liknande som genom att de hanteras per mejl sparas på en mejlserver.

Använd inte er arbetsgivares mejladress

Det här innebär att det inte är lämpligt att använda mejladresser kopplade till arbetsgivaren. Vi rekommenderar att ni övergår från att använda er arbetsgivares mejladress för ert fackliga arbete till att använda en funktionsbrevlåda (gemensam e-postlåda för hela styrelsen). Exempelvis facketdikxxxkommun@/DIK-foreningenxxxkommun@/SACO-Sxxxxxmyndigheten@. Vi rekommenderar tills vidare att använda gratistjänster som gmail eller hotmail.

Har ni frågor så hör gärna av er!

 

Andra kom-ihåg som gäller sedan 25 maj:

  • Allmänt förespråkas stor försiktighet med användning av e-post för utskick av personuppgifter.
  • Skicka inga oskyddade filer via e-post gällande till exempel uppgifter om någons hälsa, religiösa åskådning, politiska åsikter eller integritetskänsliga uppgifter.
  • Kryptera kommunikationen vid behandling av personuppgifter, för att säkerställa att felaktig användning av e-posttjänsten inte gör data tillgänglig för obehöriga.
  • Standardalternativet ska vara att kryptera själva kommunikationskanalen eftersom de stora leverantörerna av epost-program inkluderar denna möjligheten. Dvs kräva utbyte av nycklar eller lösenord med mottagaren. Även autentisering av mottagare kan kräva rutiner för nycklar.
  • Informera den som är registrerad. Kan vara en e-postsignatur.
  • Information kring ärenden som skickas med e-post omedelbart ska in i ärendesystemet, sedan ska e-postmeddelandet raderas. Övrig e-post ska gallras efter en viss tid.
  • Medarbetare får inte skapa egna filer med personuppgifter på datorn, och registerutdrag ska raderas efter tre månader.
  • Skicka inte formulärdata med e-post. Många CMS (publiceringssystem) har funktionen att det mejlar ut uppgifter när någon har fyllt i ett formulär. En sådan lösning får du svårt att kontrollera var personuppgifterna du samlar in hamnar och får därför också svårt att efterleva GDPR:s regelverk. Redan om någon vidarebefordrar ett mejl har du tappat kontrollen. Det är därför bättre att ha en lösning där du sparar alla uppgifter på en plats enbart.