Innholdsfortegnelse
- Hva er GDPR?
- GDPR - nyttige ord og uttrykk for tillitsvalgte
- Kilder til opplysninger om medlemmene
- Prinsippene som må følges i GDPR:
- Utsendelse av e-post til medlemmene
- Kan jeg sende medlemslister på e-post?
- Innsyn i medlemmenes personopplysninger
- Kan jeg dele medlemsinformasjon med valgkomiteen?
- Hva gjør jeg dersom personopplysninger havner på avveie?
- Slik håndterer vi avvik
Kort oppsummert
NITO og du som tillitsvalgt kan ikke samle inn og bruke flere opplysninger enn det som er nødvendig for det enkelte formål. For å sikre at du ikke samler inn eller oppbevarer mer informasjon enn du har saklig behov for, kan du bruke de følgende spørsmålene som avsjekk:
- Hva er formålet med opplysningene?
- Hvilke opplysninger trenger jeg til det enkelte formålet?
- Hvorfor trenger jeg disse opplysningene til dette formålet?
Svarene på disse spørsmålene viser om du har et saklig behov - et formål - for disse opplysningene. Gjennom denne avsjekken oppfyller du de kravene de nye reglene stiller. I tillegg er det en del ord og begreper du bør forstå.
Retningslinjene for personvern for NITOs tillitsvalgte, som er beskrevet på denne siden, skal sikre at NITO overholder den nye loven om personopplysninger. De skal sikre god og relevant kommunikasjon med medlemmene.
Hva er GDPR?
Flere har sikkert hørt om og sett disse fire bokstavene – GDPR. Forkortelsen står for General Data Protection Regulation, og er lovgivning om personvern fra EU.
Gjennom Norges EØS-avtale er vi forpliktet til å følge det nye personvernregelverket til EU.
GDPR - nyttige ord og uttrykk for tillitsvalgte
Hva er personvern?
Personvern beskrives som menneskets rett og ønske om å ha kontroll på informasjon om seg selv. Det vil si:
- Hvem vet hva om meg?
- Hva brukes informasjonen til?
- Hvordan brukes informasjonen?
Hva er en personopplysning?
Personopplysninger er opplysninger som kan knyttes til en fysisk identifiserbar person. Det kan for eksempel være navn, fødselsnummer, adresse og lokasjon.
Fagforeningstilhørighet og andre sensitive opplysninger
NITO og våre tillitsvalgte behandler ulike personopplysninger om medlemmene:
- Navn, fødsels- og personnummer
- Kontaktinformasjon
- Medlemsstatus (student, yrkesaktiv, arbeidssøker, pensjonist)
- Arbeidsgiver
- Avtaleområde
- Utdannelse/kompetanse
- Kurs og arrangementer
I tillegg innhentes lønnsopplysninger for NITOs lønnsstatistikk.
Behandling av denne typen informasjon utgjør vanligvis ingen spesiell personverntrussel. I og med at fagforeningstilhørighet er regulert som en sensitiv opplysning, er det strengere krav til hvordan NITO behandler disse opplysningene.
Hva er en behandlingsaktivitet?
Når en personopplysning brukes, endres eller på en eller annen måte deles, er det en behandlingsaktivitet. Dette gjelder både manuell og automatisert behandling.
Eksempel: Innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring, gjenfinning, konsultering, bruk, utlevering, overføring, sammenstilling, sletting eller annen tilintetgjøring.
Hva er behandlingsansvar?
Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes er behandlingansvarlig. Dette følger av Personopplysningloven.
NITO-sekretariatet har behandlingsansvaret for hvordan personopplysninger brukes i hele organisasjonen, også lokalt. Det betyr at tillitsvalgte må forholde seg til hvordan sekretariatet bestemmer at opplysningene skal behandles og oppbevares.
Har du spørsmål om GDPR og personopplysninger, send e-post til .
Kilder til opplysninger om medlemmene
Som tillitsvalgt har du tilgang til opplysninger om medlemmene dine fra ulike kilder. Hvordan skal du forholde deg til de opplysningene du får?
Opplysninger fra NITOs medlemsdatabase
I medlemsbasen har den enkelte bedriftsgruppeleder og styremedlem tilgang til opplysninger om medlemmer i sin bedrift. Denne informasjonen skal som hovedregel ikke deles med andre.
Styremedlemmer har fått tilgang til medlemsopplysningene fordi det er nødvendig for oppgavene de skal ivareta gjennom sin rolle i bedriftsgruppestyret. For eksempel å kalle inn til møter eller oppdatering av disse opplysningene. Det er imidlertid kun leder av bedriftsgruppen som har tilgang til lønnsdatabasen.
Hvorfor de ulike i bedriftsgruppestyret skal ha tilgang til databasen, må dokumenteres. NITO utarbeider maler til slik dokumentasjon.
Personopplysningsloven krever at lagrede opplysninger til enhver tid er korrekte. Vår erfaring er at ikke alle opplysningene om medlemmene alltid er like oppdatert. Leder av bedriftsgruppene har ansvar at medlemsopplysningene oppdateres med jevne mellomrom.
I forkant av de årlige lønnsforhandlingene er et godt tidspunkt for å oppfordre medlemmene til å oppdatere via Min Side.
Opplysninger fra arbeidsgiver
I enkelte situasjoner vil du som tillitsvalgte motta opplysninger fra arbeidsgiver. Det er arbeidsgiver som er behandlingsansvarlige for de personopplysningene han eller hun har ansvaret for. Skal disse opplysningene utleveres til deg som tillitsvalgt, må arbeidsgiver ha et behandlingsgrunnlag.
Vår er faring er at en del arbeidsgivere er tilbakeholdne med å gi ut opplysninger om sine ansatte til de tillitsvalgte. Da kan det være hensiktsmessig å opplyse om de behandlingsgrunnlagene NITO mener er dekkende, og be arbeidsgiver begrunne sitt standpunkt. Nærmere om hvilke behandlingsgrunnlag som kan være aktuelle, finner du i avsnittet NITOs behandlingsgrunnlag nedenfor.
Når den tillitsvalgte mottar opplysningene fra arbeidsgiver, blir NITO og den tillitsvalgte behandlingsansvarlig. Opplysningene har du fått i kraft av å være tillitsvalgt. De skal derfor behandles konfidensielt og slettes så snart det ikke er grunnlag for oppbevaring av opplysningene.
Opplysninger fra medlemmet selv
Som tillitsvalgt gir du råd og bistand til medlemmer. Husk at personlige opplysninger behandles konfidensielt. Pass på at slike opplysninger oppbevares slik at det ikke tilflyter andre. Opplysninger bør slettes/ makuleres når saken er løst. Se også avsnittet om oppbevaring og sletting.
Hvordan oppfyller NITO kravene i loven?
NITO må kunne dokumentere at behandlingen av personopplysninger skjer i samsvar med prinsippene i den nye personopplysningsloven. Dette gjelder alle ledd i organisasjonen, også i bedriftsgruppene.
Prinsippene som må følges i GDPR
1. Opplysningene skal behandles på en lovlig, rettferdig og gjennomsiktig måte
Forutsetninger for behandling av medlemmenes personopplysninger:
- Samtykke
- At opplysningene er nødvendig for å oppfylle en avtale eller en rettslig forpliktelse
- At behandlingen ivaretar en berettiget interesse, som ikke krenker medlemmets personvern.
NITO oppfyller de skjerpede kravene knyttet til fagforeningstilhørigheten gjennom at:
- Vi har et uttrykkelig samtykke
- Behandlingen er nødvendig innenfor arbeidsretten
- Behovet er hjemlet i lov eller tariffavtale
NITO trenger disse opplysningene for å kunne ivareta sine medlemmers interesser. Det kan være lønns- og arbeidsforhold, medlemsfordeler og andre interesser.
2. Formålsbegrensning
NITO og våre tillitsvalgte må definere hvilke formål personopplysningene skal brukes til. Formålene må være knyttet til en konkret hensikt innenfor NITOs fagforeningsvirksomhet.
Eksempler på konkrete formål kan være lønnsforhandlinger, bistand i enkeltsaker eller medlemskommunikasjon.
3. Dataminimering - kun det som er nødvendig for formålet
Opplysninger som er samlet inn, skal som hovedregel ikke brukes til andre formål enn opplysningene er ment for. Det finnes unntak, men de må vurderes nøye.
Personopplysningene skal ikke distribueres videre uten at det er nødvendig for utøvelsen av rollen som tillitsvalgt. Her er det viktig å vise til formål og behandlingsgrunnlaget.
Et viktig prinsipp for godt personvern er at vi skal kunne gi informasjon om hvilke opplysninger som blir benyttet og hvordan de brukes. NITOs sekretariat vil bistå tillitsvalgte, og kommer med ytterligere rutiner og retningslinjer.
Dokumentasjonen må fortelle:
- Hvilke personopplysninger som brukes
- Hvordan vi bruker dem
- Hvem som har tilgang
- Hvordan opplysningene oppbevares
Hvis opplysningene deles med noen utenfor NITO, skal det kunne gis informasjon om hvem som mottar opplysningene.
er tilgjengelig for spørsmål om dette.
4. Opplysningene skal være korrekte og oppdaterte
NITO og du som tillitsvalgt kan ikke samle inn og bruke flere opplysninger enn det som er nødvendig for formålet.
- Hva er formålet?
- Hvilke opplysninger trenger jeg til dette formålet?
- Hvorfor trenger jeg disse opplysningene til dette formålet?
Skriv ned svarene. Slik dokumenterer du behovet, og lovens krav er oppfylt.
Personopplysningsloven krever at lagrede opplysninger til enhver tid er korrekte. Det er bedriftsgruppelederens ansvar å følge opp dette for sine medlemmer.
5. Lagringsbegrensning - integritet og fortrolighet
Personopplysningsloven stiller krav til at personopplysningene behandles med integritet og fortrolighet. Pass på at opplysningene om medlemmene ikke «flyter rundt», men oppbevares trygt. Du kan gjerne oppbevare dem i en perm på kontoret ditt, eller i et skap som ikke er tilgjengelig for andre. Hvor utilgjengelig opplysningene skal være kommer an på innholdet i opplysningene. Informasjon om personalsaker må låses inn.
Personopplysninger som oppbevares elektronisk må også også sikres. Avklar med din IT-avdeling hvordan gjøre dette på en forsvarlig måte, for eksempel med passord.
Arbeidsgiver skal sørge for at forholdene legges til rette for utøvelse av tillitsvervet. Arbeid som tillitsvalgt skal holdes strengt atskilt fra ditt ordinære arbeid. Datasystemet er arbeidsgivers eiendom, og arbeidsgiver vil i kraft av styringsretten kunne bestemme at sikring av slike opplysninger er en risiko de ikke er villig til å ta. Da må dere finne en annen forsvarlig løsning for sikker lagring utenfor arbeidsgivers datasystem.
6. Sletting
Tillitsvalgte må aktivt ta stilling til hvor lenge opplysninger skal oppbevares. Opplysningene skal ikke lagres lenger enn strengt nødvendig for utøvelse av oppgaven. For eksempel skal opplysninger i en personalsak som hovedregel slettes når saken er løst.
Ved bytte av tillitsvalgt er det viktig å ha et bevisst forhold til hvilke opplysninger og dokumenter som skal gis videre. Den nye tillitsvalgte skal i utgangspunktet ikke ha innsyn i avsluttede personalsaker. Dokumenter fra tidligere tariffoppgjør vil det derimot være hensiktsmessig å gi til ny tillitsvalgt da dette kan være viktig i kommende oppgjør.
Relevante spørsmål:
- Hvorfor trenger jeg disse opplysningene?
- Hvor lenge trenger jeg dem?
- Kan jeg ha samme nytten om jeg anonymiserer?
Skriv ned svarene. Slik dokumenterer du behovet, og lovens krav er oppfylt.
7. Ansvar – påvis at prinsippene etterleves
Som tillitsvalgt i NITO skal du behandle medlemmenes personopplysninger i henhold til NITOs personvernpolicy. Kontakt NITOs personvernombud hvis du har spørsmål knyttet til dette: .
Hvordan sikrer vi ditt personvern?
Personvernpolicyen gir retningslinjer for hvordan vi håndterer medlemmenes personopplysninger, hvorfor de samles inn og behandles, og hvordan vi bruker dem.
Utsendelse av e-post til medlemmene
Det viktig at du setter medlemmene som blindkopiadressater når du sender e-post til mange. Da blir det ikke utlevert medlemsopplysninger til andre.
Kan jeg sende medlemslister på e-post?
Personopplysningene skal ikke distribueres videre uten at det er nødvendig for utøvelsen av rollen som tillitsvalgt. Her er det viktig å vise til formål og behandlingsgrunnlaget.
Men om dette er i orden, kan medlemslister sendes på e-post forutsatt at ekstra sikkerhetstiltak følges. Den enkleste måten å gjøre dette på, er å passordbeskytte dokumentet. Husk da å sende passordet separat i en sms til den som skal ha dokumentet.
Slik passordbeskytter du et excel-dokument
- Velg Fil > Informasjon
- Velg boksen Beskytt arbeidsbok, og velg Krypter med passord.
- Skriv inn et passord i Passord-boksen, og velg deretter OK.
- Bekreft passordet i boksen Skriv inn passordet på nytt, og velg deretter OK.
Innsyn i medlemmenes personopplysninger
Alle medlemmer har rett til innsyn i egne personopplysninger og sine samtykker. Det gis via Min Side eller ved å kontakte NITOs sekretariat. Tillitsvalgte kan få innsyn i personopplysningene hvis de gjennom vervet sitt har et saklig behov for å benytte disse opplysningene.
Kan jeg dele medlemsinformasjon med valgkomiteen?
Enhver behandling av medlemsinformasjon må være lovlig, rettferdig og det skal være åpenhet rundt behandlingen av disse personopplysningene. Viktigst er det at det må defineres et formål med behandlingen, så skal det foreligge en dataminimering (tilstrekkelige og relevante opplysningstyper, men ikke flere enn det). Opplysningene skal ikke lagres lengre enn nødvendig og de skal behandles fortrolig.
Basert på disse premissene så er å la en valgkomite få tilgang til medlemmene av NITO uproblematisk. Valgkomiteen skal gjøre en berettiget aktivitet for fagforeningen, nemlig å finne nye tillitsvalgte – da må de få oversikt over aktuelle kandidater.
De behøver ikke få annet enn navn og avdeling – har dere behov for mer informasjon må det begrunnes. Valgkomiteen må orienteres om at dette er informasjon som er regulert med strengere vilkår i personopplysningsloven og derfor er fortrolig og at listene må makuleres når oppdraget er ferdig og underveis oppbevares utilgjengelig for andre.
Hva gjør jeg dersom personopplysninger havner på avveie?
Slik håndterer vi avvik
Det er viktig at avvik fra NITOs rutiner for godt personvern blir oppdaget og håndtert på en måte som gjør at medlemmenes personvern bedres og at vi lærer av de avvikene som oppstår.
Avvik kan for eksempel være lister som kommer på avveie, e-post der medlemmer identifiseres kommer på avveie, personalmapper som ikke oppbevares på en trygg måte.
Du som er tillitsvalgt er ansvarlig for å rapportere slike avvik til
Når vi mottar meldinger om avvik, vil personvernombudet i NITO undersøke hva som har skjedd og foreslå tiltak. Rutinene for avvikshåndtering vil bli utdypet i NITOs personvernpolicy.