GDPR og personopplysningsloven

Regelverket medfører en plikt til å definere og dokumentere hvilke formål personopplysningene skal brukes til.

Dette må være konkrete formål innenfor Ledernes virksomhet som arbeidstakerorganisasjon. Eksempler kan være lønnsforhandlinger, bistand i enkeltsaker som gjelder arbeidsforholdet, utsending av informasjon, påmelding og oppfølging av kurs og arrangement eller annen medlemskommunikasjon.

Lederne og du som tillitsvalgt kan ikke samle inn, lagre og bruke flere personopplysninger enn det som er nødvendig for det enkelte formål. Opplysningene skal heller ikke brukes til andre formål enn de er ment for, og skal ikke deles med andre.

Behandling av personopplysninger er bare lovlig dersom minst ett av flere alternative vilkår er oppfylt. Idet medlemskap i arbeidstakerorganisasjoner (fagforeninger, jf. begrepene i GDPR) defineres som en sensitiv personopplysning, oppstilles noen tilleggskrav.

Lederne behandler i hovedsak opplysninger om medlemmer fordi det er nødvendig for å oppfylle avtalen om medlemskap, og fordi det er et ledd i våre berettigede aktiviteter som arbeidstakerorganisasjon. Dette er gyldige rettslige grunnlag så lenge det er snakk om egne medlemmer, tidligere medlemmer eller personer som av andre grunner har jevnlig kontakt med organisasjonen, og det gjelder vår vanlige virksomhet. I mange tilfeller trenger vi altså ikke samtykke for å bruke personopplysninger.

I noen tilfeller må vi likevel innhente et spesifikt samtykke. Dette gjelder ofte kontakt med personer som ikke er medlemmer i Lederne. Et alternativ til samtykke som gyldig rettslig grunnlag etter GDPR kan være det som angis som en «berettiget interesse». Direkte markedsføring mot ikke-medlemmer kan dermed skje med grunnlag i at vi har en berettiget interesse i å gjøre organisasjonen synlig og få flere medlemmer. I denne forbindelse er det likevel viktig å merke seg at markedsføringslovens regler gjelder parallelt med GDPR og personopplysningsloven, og her oppstilles blant annet krav til samtykke ved direkte markedsføring via e-post og SMS (gjelder ikke eksisterende kunder/medlemmer).

For publisering av bilder gjelder i tillegg åndsverkloven, som i mange tilfeller også stiller krav til samtykke, særlig for såkalte portrettbilder (der bestemte personer er hovedmotivet).

Det oppstilles en rekke krav for at et samtykke skal være gyldig. Det må blant annet gis klar og forståelig informasjon om hva man samtykker til, og det kreves en aktiv handling for eksempel ved å krysse av på et skjema. Passivitet eller forhåndsutfylte avkrysningsbokser er ikke et gyldig samtykke.

GDPR skjerper kravene til dokumentasjon for at personopplysninger behandles på en trygg og forsvarlig måte. Det kreves trygge systemer og gode rutiner som er kjent i organisasjonen.

Vi har blant annet plikt til å føre en protokoll over våre behandlingsaktiviteter/arbeidsoperasjoner. Det er Lederne som behandlingsansvarlig som bestemmer formålet med behandlingen av personopplysninger og hvordan opplysningene skal innhentes og brukes.

Personopplysningsloven stiller krav til at personopplysningene behandles med integritet og fortrolighet.

Dokumenter må systematiseres og oppbevares slik at de holdes klart atskilt fra ditt ordinære arbeid og private dokumenter.

Papirdokumenter med personopplysninger, herunder medlemslister, protokoller fra forhandlinger, saksmapper/informasjon om lønns- og personalsaker og andre konfidensielle opplysninger, oppbevares i låsbart skap.

Tilgang til elektroniske dokumenter skal være rollestyrt. I medlemssystemet Compendia har Ledernes lokale avdelinger ved avdelingsleder og kasserer tilgang til opplysninger om medlemmer i sin avdeling. Det samme gjelder for leder av bedriftsgruppene.

Medlemmenes personopplysninger skal bare være tilgjengelig for tillitsvalgte/styremedlemmer som må ha tilgang for å kunne utføre sine oppgaver, og skal ikke deles med andre. Medlemslister eller deltakerlister fra arrangement skal ikke deles med utenforstående.

Elektroniske dokumenter som inneholder personopplysninger, må lagres på et sikret dataområde med begrenset tilgang. Spør IT-avdeling/-ansvarlig i din bedrift dersom du lurer på noe om sikring av elektroniske dokumenter.

Ved utsending av informasjon til flere medlemmer via e-post, må dette gjøres med skjult adresseliste (blindkopi). Dette er for å unngå at medlemsopplysninger blir delt med andre.

E-post knyttet til tillitsvalgtvervet må også holdes atskilt fra e-post knyttet til den ordinære stillingen du innehar i bedriften. Korrespondanse som er relatert til tillitsvervet lagres i et mappesystem som tydelig viser at innholdet er tillitsvalgtrelatert. Du kan eventuelt opprette en egen e-postkonto for korrespondanse knyttet til tillitsvalgtvervet.

Medlemslister kan sendes på e-post forutsatt at ekstra sikkerhetstiltak følges, enten ved kryptering eller passordbeskyttelse av dokumentet. Husk alltid at personopplysninger ikke skal distribueres videre uten at det er nødvendig for utøvelsen av rollen som tillitsvalgt. Her er det viktig å vise til formål og behandlingsgrunnlaget.

Som tillitsvalgt skal du bidra til at personopplysninger om medlemmene til enhver tid er oppdaterte og korrekte i våre systemer. Medlemmene bør oppfordres til å melde fra om endringer.

Personopplysninger skal slettes eller anonymiseres når det ikke lenger er saklig behov for å oppbevare de. For opplysninger som du sitter på, må du aktivt ta stilling til hvor lenge det er nødvendig å lagre de for å utføre en oppgave, eller når formålet med innhentingen av opplysningene er oppnådd. Du er ansvarlig for fortløpende sletting av lagrede dokumenter med opplysninger som det ikke lenger er grunn til å ha.

I forbindelse med oppfølging av enkeltmedlemmer skal du påse at det ikke innhentes og lagres flere personopplysninger enn det som er nødvendig for formålet. Dokumentasjon kan beholdes i en periode etter at saken er avsluttet dersom det anses nødvendig for en forventet videre oppfølging av saken.

Når en sak etter avtale med medlem og seksjon for arbeidsliv og jus er oversendt til Ledernes sekretariat, skal elektroniske dokumenter og e-post slettes så snart som mulig etter overføringen (nærmere bestemt når du ikke lenger har saklig grunn til å oppbevare opplysningene).

Alle medlemmer (og andre som vi har personopplysninger om) har rett til innsyn i egne personopplysninger og sine samtykker. Innsyn gis via «Min Side» eller ved å kontakte Lederne.

Innsyn og/eller utskrift av lagrede personopplysninger skal gis uten unødig opphold og senest innen 30 dager fra forespørsel er mottatt.

Som tillitsvalgt må du ved forespørsel gi innsyn i de opplysningene du har lagret om et medlem. Dersom Ledernes sekretariat blir kontaktet med forespørsel om innsyn, må tillitsvalgte/avdelingene være behjelpelige med å fremskaffe en oversikt over lagrede personopplysninger.

Se Ledernes personvernerklæring: https://lederne.no/personvern/

Ved brudd på personopplysningssikkerheten, skal du ta kontakt med personvernombudet i Lederne, som vil undersøke hva som har skjedd og foreslå tiltak.

Avvik kan for eksempel være medlemslister som kommer på avveie, e-post der medlemmer identifiseres kommer på avveie, og personopplysninger som ikke oppbevares på en trygg måte.

Personvernombudet skal vurdere å melde fra til Datatilsynet. Slik avviksmelding er ikke nødvendig dersom det er lite trolig at bruddet vil medføre risiko for fysiske personers rettigheter og friheter. Varsling må skje senest 72 timer etter at tillitsvalgte har fått kjennskap til bruddet. Også de berørte medlemmene skal varsles, med mindre det er truffet etterfølgende tiltak som sikrer at det er lite trolig at den høye risikoen vil oppstå.

Ledernes generalsekretær/styret er ansvarlig for lovligheten, og rutinene som skal gjelde i hele organisasjonen. Alle tillitsvalgte plikter å sette seg inn i og følge rutinene.

Lederne har et personvernombud. Ombudet skal gi råd og kontrollere overholdelsen av relevante regelverk med bestemmelser om personvern, samt organisasjonens egne interne retningslinjer for personvern.