NITO på arbeidsplassen
Person i kontorlandskap animert av datapunkter - illustrerer personopplysninger Foto: GettyImages

GDPR - hvordan skal du som tillitsvalgt håndtere personopplysninger om medlemmene?

NITO har ansvar for å beskytte medlemmenes personopplysninger i henhold til GDPR. NITO sentralt har behandlingsansvaret, og du som er tillitsvalgt må følge retningslinjene – for å sikre at vi sammen oppfyller GDPR-kravene. Her får du praktisk veiledning, konkrete verktøy og oversikt over ditt ansvar. 

Kort oppsummert  

NITO og du som tillitsvalgt kan ikke samle inn og bruke flere opplysninger enn det som er nødvendig for det enkelte formål. For å sikre at du ikke samler inn eller oppbevarer mer informasjon enn du har saklig behov for, kan du bruke de følgende spørsmålene som avsjekk: 

  1. Hva er formålet med opplysningene? 
  2. Hvilke opplysninger trenger jeg til det enkelte formålet? 
  3. Hvorfor trenger jeg disse opplysningene til dette formålet? 

Svarene på disse spørsmålene viser om du har et formål som er saklig i din rolle som tillitsvalgt og at opplysningene du samler inn er nødvendig til det/de formålene. Lønnsarbeid og det å ivareta medlemmenes arbeidsvilkår er eksempler på slike formål.

Gjennom denne avsjekken oppfyller du de kravene de nye reglene stiller.

Hva er personvern?

Hva er GDPR og hvordan påvirker det deg som tillitsvalgt?

GDPR er EUs personvernregelverk som gjelder for hele EØS-området. Som tillitsvalgt må du forstå ditt ansvar og hvordan NITO organiserer personvernarbeidet.
Hva er GDPR?

GDPR er reglene om personvern, altså hvordan personopplysninger om hver enkelt skal samles inn – lagres og brukes. Reglene er like i hele EU/EØS området. NITO er ansvarlig for at våre medlemmers personvern ivaretas etter disse reglene. 

Hva er personvern?

Personvern beskrives som menneskets rett og ønske om å ha kontroll på informasjon om seg selv. Det vil si: 

  • Hvem vet hva om meg?
  • Hva brukes informasjonen til?
  • Hvordan brukes informasjonen?
Hvem har ansvaret for GDPR-overholdelse i NITO?

NITO-sekretariatet har behandlingsansvaret for hvordan personopplysninger brukes i hele organisasjonen, også lokalt. Det betyr at tillitsvalgte må forholde seg til hvordan sekretariatet bestemmer at opplysningene skal behandles og oppbevares. 

Har du spørsmål om GDPR og personopplysninger, send e-post til . 

Hvilke personopplysninger håndterer NITO?

NITO og våre tillitsvalgte behandler ulike personopplysninger om medlemmene: 

  • Navn, fødsels- og personnummer
  • Kontaktinformasjon
  • Medlemsstatus (student, yrkesaktiv, arbeidssøker, pensjonist)
  • Arbeidsgiver
  • Avtaleområde
  • Utdannelse/kompetanse
  • Kurs og arrangementer

I tillegg innhentes lønnsopplysninger for NITOs lønnsstatistikk. 

Behandling av denne typen informasjon utgjør vanligvis ingen spesiell personverntrussel. 

Hvorfor er fagforeningstilhørighet spesielt?

I og med at fagforeningstilhørighet er regulert som en sensitiv opplysning, er det strengere krav til hvordan NITO behandler disse opplysningene. 

Det betyr at de opplysningene om dine medlemmer du har tilgang til fra ulike kilder (medlemsbasen, arbeidsgiver, og medlemmet selv), må behandles slik at opplysningene ikke deles eller blir tilgjengelige for de som ikke har et legitimt behov for informasjonen. 

Hvilke prinsipper må du følge som tillitsvalgt?

GDPR bygger på syv grunnleggende prinsipper som skal sikre at personopplysninger behandles på en trygg og lovlig måte. Her får du praktiske råd for hvordan du følger disse prinsippene.
Krav om lovlig og åpen behandling: Hvordan sikrer jeg at medlemmene vet hvorfor jeg bruker deres opplysninger?

Behandle medlemmenes personopplysninger på en måte som er lovlig, rettferdig og gjennomsiktig. Sørg for at medlemmene er informert om hvorfor og hvordan deres opplysninger brukes. 

Krav om formålsbegrensning: Hvordan sikrer jeg at jeg kun bruker personopplysninger til det de er ment for?

Definer klare formål for bruk av personopplysninger, og sørg for at de er knyttet til NITOs fagforeningsvirksomhet. Unngå å bruke opplysninger til andre formål med mindre det er nødvendig og lovlig. 

Krav om dataminimering: Hvordan sikrer jeg at jeg ikke samler inn mer informasjon enn nødvendig?

Samle inn kun de opplysningene som er nødvendige for det definerte formålet. Vurder regelmessig om innsamlet informasjon fortsatt er relevant. 

Krav om korrekthet: Hvordan sikrer jeg at personopplysningene jeg har er riktige og oppdaterte?

Hold personopplysninger oppdatert og korrekte. Oppmuntre medlemmer til å oppdatere sine opplysninger, spesielt før lønnsforhandlinger. 

Krav om lagringsbegrensning: Hvordan sikrer jeg at jeg ikke oppbevarer personopplysninger lenger enn nødvendig?

Oppbevar personopplysninger trygt og begrens tilgang til dem. Slett opplysninger når de ikke lenger er nødvendige for formålet. 

Krav om integritet og konfidensialitet: Hvordan sikrer jeg at personopplysninger ikke kommer på avveie eller blir tilgjengelige for uvedkommende?

Sikre at opplysninger behandles med fortrolighet og beskyttes mot uautorisert tilgang. Bruk passordbeskyttelse og sikre fysisk lagring av dokumenter.

Krav om ansvarlighet: Hvordan dokumenterer jeg at jeg følger GDPR-reglene som tillitsvalgt?

Som tillitsvalgt, følg NITOs personvernpolicy og rapporter avvik til personvernombudet. Dokumenter hvordan opplysningene brukes og hvem som har tilgang. 

NITO trenger at du skriver ned svarene på spørsmålene over – det ligger til ansvaret om å ha dokumentert at vi følger GDPR. 

Hvordan skal jeg behandle personopplysninger?

Hvor får du opplysninger fra og hvordan skal du håndtere dem?

Som tillitsvalgt mottar du personopplysninger fra ulike kilder. Hver kilde har sine egne regler for hvordan opplysningene skal behandles.
Hvordan bruker jeg opplysninger fra NITOs medlemsdatabase?

I medlemsbasen har den enkelte bedriftsgruppeleder og styremedlem tilgang til opplysninger om medlemmer i sin bedrift. Denne informasjonen skal som hovedregel ikke deles med andre. 

Styremedlemmer har fått tilgang til medlemsopplysningene fordi det er nødvendig for oppgavene de skal ivareta gjennom sin rolle i bedriftsgruppestyret. For eksempel å kalle inn til møter eller oppdatering av disse opplysningene. Det er imidlertid kun leder av bedriftsgruppen som har tilgang til lønnsdatabasen. 

Hvorfor de ulike i bedriftsgruppestyret skal ha tilgang til databasen, må dokumenteres. NITO utarbeider maler til slik dokumentasjon. 

Personopplysningsloven krever at lagrede opplysninger til enhver tid er korrekte. NITO har altså ansvar for at opplysningene vi har om medlemmene er så korrekte som mulig. Vår erfaring er imidlertid at ikke alle opplysningene om medlemmene alltid er like oppdatert.

Leder av bedriftsgruppen kan minne medlemmene om at de må oppdatere informasjonen sin med jevne mellomrom. Dette gjelder særlig når medlemmer slutter eller begynner i din virksomhet.

Kan jeg motta opplysninger fra arbeidsgiver?

I enkelte situasjoner vil du som tillitsvalgte motta opplysninger fra arbeidsgiver. Det er arbeidsgiver som er behandlingsansvarlige for de personopplysningene han eller hun har ansvaret for. Skal disse opplysningene utleveres til deg som tillitsvalgt, må arbeidsgiver ha et behandlingsgrunnlag. 

Vår erfaring er at en del arbeidsgivere er tilbakeholdne med å gi ut opplysninger om sine ansatte til de tillitsvalgte. Da kan det være hensiktsmessig å opplyse om de behandlingsgrunnlagene NITO mener er dekkende, og be arbeidsgiver begrunne sitt standpunkt. 

Når tillitsvalgte mottar opplysningene fra arbeidsgiver, blir NITO og den tillitsvalgte behandlingsansvarlig. Opplysningene skal behandles konfidensielt og slettes så snart det ikke er grunnlag for oppbevaring av opplysningene.

Hvordan håndterer jeg opplysninger fra medlemmet selv?

Som tillitsvalgt gir du råd og bistand til medlemmer. Husk at personlige opplysninger behandles konfidensielt. Pass på at slike opplysninger oppbevares slik at det ikke tilflyter andre. Opplysninger bør slettes/makuleres når saken er løst. 

Hvordan håndterer du vanlige situasjoner som tillitsvalgt?

Her finner du konkrete råd for typiske situasjoner du møter som tillitsvalgt, fra e-postutsendelse til bruk av digitale verktøy.
Kan jeg bruke arbeidsgivers datasystemer til tillitsvalgtoppgaver?

Arbeidsgiver skal sørge for at forholdene legges til rette for utøvelse av tillitsvervet. Det betyr at NITO aksepterer at dere lagrer personopplysninger og informasjn knyttet til tillitsvalgtrollen i arbeidsgivers datasystemer.

For å tydeliggjøre at dette er knyttet til arbeidet som tillitsvalgt anbefaler vi at du oppretter mapper eller lignende som tydeliggjør at dette er adskilt fra ditt ordinære arbeid. 

Datasystemet er arbeidsgivers eiendom, og arbeidsgiver vil i kraft av styringsretten kunne bestemme at sikring av slike opplysninger er en risiko de ikke er villig til å ta. Da må dere finne en annen forsvarlig løsning for sikker lagring. 

Trenger dere bistand til dette, ta kontakt med . 

Hvordan sender jeg e-post til flere medlemmer?

Personopplysninger skal som utgangspunkt ikke utlevere til andre enn den som opplysningene gjelder. Det betyr at du for eksempel ikke kan sende e-post til medlemmene der mottakerne kan se hvem de andre mottakerne er.

En måte å gjøre dette på er å bruke blindkopi (BCC) for å beskytte medlemsopplysninger når du sender e-post til flere medlemmer samtidig. Dette sikrer at mottakerne ikke kan se hverandres e-postadresser.

Kan jeg sende medlemslister på e-post?

Medlemslister kan sendes på e-post hvis dokumentet er passordbeskyttet og passordet sendes separat. Dette sikrer at kun autoriserte personer får tilgang til listen.

Husk at medlemslister ikke skal deles med andre enn de som har behov for det for å gjøre en tillitsvalgt-oppgave.

Kan jeg dele medlemsinformasjon med valgkomiteen?
Ja, du kan dele medlemsinformasjon med valgkomiteen. Valgkomiteen har et saklig behov for medlemsopplysninger fordi de skal finne nye tillitsvalgte. Dette er en viktig oppgave for fagforeningen.
 
Du kan dele navn på medlemmer og avdeling/arbeidssted. Trenger valgkomiteen mer informasjon enn dette, må de kunne begrunne hvorfor.
 
Gjør valgkomiteen oppmerksom på at fagforeningstilhørighet er sensitive opplysninger som har strengere regler enn vanlige personopplysninger, og at informasjonen derfor må behandles fortrolig.
 
Valgkomiteen må oppbevare listene sikkert og utilgjengelig for andre underveis i arbeidet. Llistene makuleres når valgarbeidet er ferdig.
Hvordan bruker jeg Teams og andre digitale møteverktøy?
Du kan lage grupper i digitale møteverktøy for å dele informasjon. Men husk at alle i gruppen kan se hvem de andre medlemmene er.
 
Derfor må du spørre om tillatelse før du legger noen til i en gruppe. Personen må si ja til å bli medlem.
Kan jeg ta opp møter?
Det er greit å ta opp møter, men du må følge disse reglene:
  • Alle må vite om opptaket på forhånd
  • Alle må kunne velge om de vil ha kameraet på
  • Alle må kunne velge om de vil delta i møtet
Hvordan bruker jeg KI-verktøy med personopplysninger?

Når du bruker KI-verktøy som tillitsvalgt, må du aldri dele opplysninger som kan identifisere medlemmer.

Hvilke rettigheter har medlemmene?

Medlemmene har flere rettigheter under GDPR som du som tillitsvalgt må kjenne til og respektere.
Har medlemmer rett til innsyn i sine personopplysninger?

Alle medlemmer har rett til innsyn i egne personopplysninger og sine samtykker. Det gis via Min Side eller ved å kontakte NITOs sekretariat. 

Kan medlemmer kreve sletting av sine opplysninger?

Ja det er en rettighet etter GDPR. Ta i mot anmodningen og ta kontakt med NITOs personvernombud.

Hva gjør jeg hvis personopplysninger havner på avveie?

Hva gjør du hvis noe går galt med personopplysninger?

Selv med beste intensjoner kan det oppstå situasjoner hvor personopplysninger kommer på avveie eller behandles feil. Her får du veiledning om hva du skal gjøre.
Hva gjør jeg dersom personopplysninger havner på avveie?

Rapporter avvik til . Dokumenter hva som skjedde og hvilke tiltak som er iverksatt. 

Avvik kan for eksempel være lister som kommer på avveie, e-post der medlemmer identifiseres kommer på avveie, personalmapper som ikke oppbevares på en trygg måte. 

Hvordan håndterer NITO avvik?

Når vi mottar meldinger om avvik, vil personvernombudet i NITO undersøke hva som har skjedd og foreslå tiltak. 

Det er viktig at avvik fra NITOs rutiner for godt personvern blir oppdaget og håndtert på en måte som gjør at medlemmenes personvern bedres og at vi lærer av de avvikene som oppstår. 

Del på Facebook LinkedIn Instagram