NITO in the workplace
Person in open-plan office animated by data points - illustrating personal data Photo: GettyImages

GDPR - how should you as a union representative handle personal data about members?

NITO is responsible for protecting its members' personal data in accordance with the GDPR. NITO centrally has the responsibility for processing, and you as a union representative must follow the guidelines – to ensure that we meet the GDPR requirements together. Here you will get practical guidance, concrete tools and an overview of your responsibilities. 

Translated by AI

In short  

NITO and you as a union representative may not collect and use more information than is necessary for the individual purpose. To ensure that you don't collect or store more information than you reasonably need, you can use the following questions as a check-in: 

  1. What is the purpose of the information? 
  2. What information do I need for each purpose? 
  3. Why do I need this information for this purpose? 

The answers to these questions show whether you have a purpose that is factual in your role as a union representative and that the information you collect is necessary for that purpose(s). Paid work and safeguarding the members' working conditions are examples of such purposes.

Through this check-off, you meet the requirements of the new rules.

What is privacy?

What is GDPR and how does it affect you as a union representative?

The GDPR is the EU's data protection regulation that applies to the entire EEA. As a union representative, you must understand your responsibilities and how NITO organises its data protection work.
Hva er GDPR?

GDPR er reglene om personvern, altså hvordan personopplysninger om hver enkelt skal samles inn – lagres og brukes. Reglene er like i hele EU/EØS området. NITO er ansvarlig for at våre medlemmers personvern ivaretas etter disse reglene. 

Hva er personvern?

Personvern beskrives som menneskets rett og ønske om å ha kontroll på informasjon om seg selv. Det vil si: 

  • Hvem vet hva om meg?
  • Hva brukes informasjonen til?
  • Hvordan brukes informasjonen?
Hvem har ansvaret for GDPR-overholdelse i NITO?

NITO-sekretariatet har behandlingsansvaret for hvordan personopplysninger brukes i hele organisasjonen, også lokalt. Det betyr at tillitsvalgte må forholde seg til hvordan sekretariatet bestemmer at opplysningene skal behandles og oppbevares. 

Har du spørsmål om GDPR og personopplysninger, send e-post til . 

Hvilke personopplysninger håndterer NITO?

NITO og våre tillitsvalgte behandler ulike personopplysninger om medlemmene: 

  • Navn, fødsels- og personnummer
  • Kontaktinformasjon
  • Medlemsstatus (student, yrkesaktiv, arbeidssøker, pensjonist)
  • Arbeidsgiver
  • Avtaleområde
  • Utdannelse/kompetanse
  • Kurs og arrangementer

I tillegg innhentes lønnsopplysninger for NITOs lønnsstatistikk. 

Behandling av denne typen informasjon utgjør vanligvis ingen spesiell personverntrussel. 

Hvorfor er fagforeningstilhørighet spesielt?

I og med at fagforeningstilhørighet er regulert som en sensitiv opplysning, er det strengere krav til hvordan NITO behandler disse opplysningene. 

Det betyr at de opplysningene om dine medlemmer du har tilgang til fra ulike kilder (medlemsbasen, arbeidsgiver, og medlemmet selv), må behandles slik at opplysningene ikke deles eller blir tilgjengelige for de som ikke har et legitimt behov for informasjonen. 

What principles must you follow as a union representative?

The GDPR is based on seven fundamental principles to ensure that personal data is processed in a safe and lawful manner. Here is practical advice on how to apply these principles.
Krav om lovlig og åpen behandling: Hvordan sikrer jeg at medlemmene vet hvorfor jeg bruker deres opplysninger?

Behandle medlemmenes personopplysninger på en måte som er lovlig, rettferdig og gjennomsiktig. Sørg for at medlemmene er informert om hvorfor og hvordan deres opplysninger brukes. 

Krav om formålsbegrensning: Hvordan sikrer jeg at jeg kun bruker personopplysninger til det de er ment for?

Definer klare formål for bruk av personopplysninger, og sørg for at de er knyttet til NITOs fagforeningsvirksomhet. Unngå å bruke opplysninger til andre formål med mindre det er nødvendig og lovlig. 

Krav om dataminimering: Hvordan sikrer jeg at jeg ikke samler inn mer informasjon enn nødvendig?

Samle inn kun de opplysningene som er nødvendige for det definerte formålet. Vurder regelmessig om innsamlet informasjon fortsatt er relevant. 

Krav om korrekthet: Hvordan sikrer jeg at personopplysningene jeg har er riktige og oppdaterte?

Hold personopplysninger oppdatert og korrekte. Oppmuntre medlemmer til å oppdatere sine opplysninger, spesielt før lønnsforhandlinger. 

Krav om lagringsbegrensning: Hvordan sikrer jeg at jeg ikke oppbevarer personopplysninger lenger enn nødvendig?

Oppbevar personopplysninger trygt og begrens tilgang til dem. Slett opplysninger når de ikke lenger er nødvendige for formålet. 

Krav om integritet og konfidensialitet: Hvordan sikrer jeg at personopplysninger ikke kommer på avveie eller blir tilgjengelige for uvedkommende?

Sikre at opplysninger behandles med fortrolighet og beskyttes mot uautorisert tilgang. Bruk passordbeskyttelse og sikre fysisk lagring av dokumenter.

Krav om ansvarlighet: Hvordan dokumenterer jeg at jeg følger GDPR-reglene som tillitsvalgt?

Som tillitsvalgt, følg NITOs personvernpolicy og rapporter avvik til personvernombudet. Dokumenter hvordan opplysningene brukes og hvem som har tilgang. 

NITO trenger at du skriver ned svarene på spørsmålene over – det ligger til ansvaret om å ha dokumentert at vi følger GDPR. 

How should I process personal data?

Where do you get information from and how should you handle it?

As a union representative, you receive personal data from various sources. Each source has its own rules for how the information should be processed.
Hvordan bruker jeg opplysninger fra NITOs medlemsdatabase?

I medlemsbasen har den enkelte bedriftsgruppeleder og styremedlem tilgang til opplysninger om medlemmer i sin bedrift. Denne informasjonen skal som hovedregel ikke deles med andre. 

Styremedlemmer har fått tilgang til medlemsopplysningene fordi det er nødvendig for oppgavene de skal ivareta gjennom sin rolle i bedriftsgruppestyret. For eksempel å kalle inn til møter eller oppdatering av disse opplysningene. Det er imidlertid kun leder av bedriftsgruppen som har tilgang til lønnsdatabasen. 

Hvorfor de ulike i bedriftsgruppestyret skal ha tilgang til databasen, må dokumenteres. NITO utarbeider maler til slik dokumentasjon. 

Personopplysningsloven krever at lagrede opplysninger til enhver tid er korrekte. NITO har altså ansvar for at opplysningene vi har om medlemmene er så korrekte som mulig. Vår erfaring er imidlertid at ikke alle opplysningene om medlemmene alltid er like oppdatert.

Leder av bedriftsgruppen kan minne medlemmene om at de må oppdatere informasjonen sin med jevne mellomrom. Dette gjelder særlig når medlemmer slutter eller begynner i din virksomhet.

Kan jeg motta opplysninger fra arbeidsgiver?

I enkelte situasjoner vil du som tillitsvalgte motta opplysninger fra arbeidsgiver. Det er arbeidsgiver som er behandlingsansvarlige for de personopplysningene han eller hun har ansvaret for. Skal disse opplysningene utleveres til deg som tillitsvalgt, må arbeidsgiver ha et behandlingsgrunnlag. 

Vår erfaring er at en del arbeidsgivere er tilbakeholdne med å gi ut opplysninger om sine ansatte til de tillitsvalgte. Da kan det være hensiktsmessig å opplyse om de behandlingsgrunnlagene NITO mener er dekkende, og be arbeidsgiver begrunne sitt standpunkt. 

Når tillitsvalgte mottar opplysningene fra arbeidsgiver, blir NITO og den tillitsvalgte behandlingsansvarlig. Opplysningene skal behandles konfidensielt og slettes så snart det ikke er grunnlag for oppbevaring av opplysningene.

Hvordan håndterer jeg opplysninger fra medlemmet selv?

Som tillitsvalgt gir du råd og bistand til medlemmer. Husk at personlige opplysninger behandles konfidensielt. Pass på at slike opplysninger oppbevares slik at det ikke tilflyter andre. Opplysninger bør slettes/makuleres når saken er løst. 

How do you handle common situations as a union representative?

Here you will find specific advice for typical situations you encounter as a union representative, from sending emails to using digital tools.
Kan jeg bruke arbeidsgivers datasystemer til tillitsvalgtoppgaver?

Arbeidsgiver skal sørge for at forholdene legges til rette for utøvelse av tillitsvervet. Det betyr at NITO aksepterer at dere lagrer personopplysninger og informasjn knyttet til tillitsvalgtrollen i arbeidsgivers datasystemer.

For å tydeliggjøre at dette er knyttet til arbeidet som tillitsvalgt anbefaler vi at du oppretter mapper eller lignende som tydeliggjør at dette er adskilt fra ditt ordinære arbeid. 

Datasystemet er arbeidsgivers eiendom, og arbeidsgiver vil i kraft av styringsretten kunne bestemme at sikring av slike opplysninger er en risiko de ikke er villig til å ta. Da må dere finne en annen forsvarlig løsning for sikker lagring. 

Trenger dere bistand til dette, ta kontakt med . 

Hvordan sender jeg e-post til flere medlemmer?

Personopplysninger skal som utgangspunkt ikke utlevere til andre enn den som opplysningene gjelder. Det betyr at du for eksempel ikke kan sende e-post til medlemmene der mottakerne kan se hvem de andre mottakerne er.

En måte å gjøre dette på er å bruke blindkopi (BCC) for å beskytte medlemsopplysninger når du sender e-post til flere medlemmer samtidig. Dette sikrer at mottakerne ikke kan se hverandres e-postadresser.

Kan jeg sende medlemslister på e-post?

Medlemslister kan sendes på e-post hvis dokumentet er passordbeskyttet og passordet sendes separat. Dette sikrer at kun autoriserte personer får tilgang til listen.

Husk at medlemslister ikke skal deles med andre enn de som har behov for det for å gjøre en tillitsvalgt-oppgave.

Kan jeg dele medlemsinformasjon med valgkomiteen?
Ja, du kan dele medlemsinformasjon med valgkomiteen. Valgkomiteen har et saklig behov for medlemsopplysninger fordi de skal finne nye tillitsvalgte. Dette er en viktig oppgave for fagforeningen.
 
Du kan dele navn på medlemmer og avdeling/arbeidssted. Trenger valgkomiteen mer informasjon enn dette, må de kunne begrunne hvorfor.
 
Gjør valgkomiteen oppmerksom på at fagforeningstilhørighet er sensitive opplysninger som har strengere regler enn vanlige personopplysninger, og at informasjonen derfor må behandles fortrolig.
 
Valgkomiteen må oppbevare listene sikkert og utilgjengelig for andre underveis i arbeidet. Llistene makuleres når valgarbeidet er ferdig.
Hvordan bruker jeg Teams og andre digitale møteverktøy?
Du kan lage grupper i digitale møteverktøy for å dele informasjon. Men husk at alle i gruppen kan se hvem de andre medlemmene er.
 
Derfor må du spørre om tillatelse før du legger noen til i en gruppe. Personen må si ja til å bli medlem.
Kan jeg ta opp møter?
Det er greit å ta opp møter, men du må følge disse reglene:
  • Alle må vite om opptaket på forhånd
  • Alle må kunne velge om de vil ha kameraet på
  • Alle må kunne velge om de vil delta i møtet
Hvordan bruker jeg KI-verktøy med personopplysninger?

Når du bruker KI-verktøy som tillitsvalgt, må du aldri dele opplysninger som kan identifisere medlemmer.

What rights do members have?

Members have several rights under GDPR that you as a union representative must be aware of and respect.
Har medlemmer rett til innsyn i sine personopplysninger?

Alle medlemmer har rett til innsyn i egne personopplysninger og sine samtykker. Det gis via Min Side eller ved å kontakte NITOs sekretariat. 

Kan medlemmer kreve sletting av sine opplysninger?

Ja det er en rettighet etter GDPR. Ta i mot anmodningen og ta kontakt med NITOs personvernombud.

What do I do if personal data goes astray?

What do you do if something goes wrong with personal data?

Even with the best of intentions, situations can arise where personal data goes astray or is processed incorrectly. Here you will get guidance on what to do.
Hva gjør jeg dersom personopplysninger havner på avveie?

Rapporter avvik til . Dokumenter hva som skjedde og hvilke tiltak som er iverksatt. 

Avvik kan for eksempel være lister som kommer på avveie, e-post der medlemmer identifiseres kommer på avveie, personalmapper som ikke oppbevares på en trygg måte. 

Hvordan håndterer NITO avvik?

Når vi mottar meldinger om avvik, vil personvernombudet i NITO undersøke hva som har skjedd og foreslå tiltak. 

Det er viktig at avvik fra NITOs rutiner for godt personvern blir oppdaget og håndtert på en måte som gjør at medlemmenes personvern bedres og at vi lærer av de avvikene som oppstår. 

Share Facebook LinkedIn Instagram