GDPR - vad är det?
Sedan 2018 reglerar GDPR (General Data Protection Regulation) hur organisationer inom EU får hantera personuppgifter. Seko värnar särskilt om medlemmar och personals personuppgifter och arbetar löpande för att förvalta dessa på ett ansvarsfullt sätt. Här samlar vi information och rutiner gällande förbundets dataskyddsarbete.
Sedan den 25 maj 2018 gäller ny lagstiftning om hur personuppgifter ska hanteras (GDPR). Reglerna ställer krav på goda och tydliga rutiner gällande hantering av alla slags personuppgifter samt att förbundet ger tydlig information till personal, förtroendevalda och medlemmar.
Dataskyddspolicy
Förbundets ramverk för behandling av personuppgifter utgörs av en Dataskyddspolicy. Denna hittar du här.
Personuppgiftsansvar
Förbundet i ledning av förbundsstyrelsen är ytterst ansvarig för dataskyddsarbetet och fastställer rutiner för hur detta arbete ska ske.
Förtroendevaldas ansvar
Regioner, klubbar, branschorganisationer och förhandlingsorganisationer har att ta del av och efterleva gällande rutiner som fastställs av förbundsledningen.
Prioriterade uppgifter:
- Känna till och efterleva gällande rutiner som publiceras här
- Säkerställa att nya förtroendevalda genomgår GDPR-utbildningen, se material nedan
- Anmäla eventuella personuppgiftsincidenter på www.seko.se/incident
- Teckna personuppgiftsbiträdesavtal med eventuella biträden, se särskild mall
- Kontakta förbundsledningen och initiera en riskbedömning och konsekvensanalys vid nya eller förändrade behandlingar
- Kontakta förbundet vid eventuella frågor gällande behandling av personuppgifter och GDPR
GDPR i förhandlingsarbetet – uppgifter om anställda
För att som facklig part kunna förhandla behöver vi vanligen dela med oss samt ta del av relevanta personuppgifter av motparten. Läs mer i Sekos dataskyddspolicy.
Dataskyddsreglerna (GDPR) medför inget hinder för arbetsgivaren att lämna ut sådana personuppgifter som ni behöver för att tillämpa eller kontrollera efterlevnaden av lag eller kollektivavtal (laglig grund: rättslig förpliktelse).
Om arbetsgivaren motsätter sig att lämna ut relevanta personuppgifter i en förhandling och hänvisning till avsaknad av laglig grund hanteras detta bäst genom att parterna kommer överens om vilka personuppgifter man behöver dela för att kunna fullgöra förhandlingen (kollektivavtal).
Vi avråder från att teckna biträdesavtal gällande hantering av personuppgifter då vi som facklig part sällan är ett biträde som agerar för arbetsgivarens räkning.
Uppgiftsminimering och ändamålsbegränsning
Det är av stor vikt att vi i samband med att vi begär ut sådana personuppgifter säkerställer att vi inte efterfrågar mer uppgifter än vi behöver för att kunna utföra den angivna uppgiften. Fundera gärna vilka de allra viktigaste uppgifterna är för att kunna utföra uppgiften, det kanske räcker med födelsenummer och förnamn för att kunna se vem uppgifter om exempelvis lön gäller för.
Material för förtroendevalda
Material, länkar och mallar finns samlat i rutan längst ner på sidan.
- Introduktionsutbildning GDPR
Digitalt material om GDPR och förbundets rutiner. Obligatorisk för alla förtroendevalda. Använd gärna materialet i er styrelse.
- Checklista GDPR
En enkel checklista för att undvika de vanligaste misstagen och påminna sig om vikten av varsam behandling av medlemmarnas uppgifter. Skriv gärna ut och häng upp på lämplig plats.
- Dokumenthanteringsplan
Vad ska sparas och hur länge? Se förbundets dokumenthanteringsplan.
Introduktion - dokumenthantering och arkivplan
Dokumenthantering och arkivplan - lokalt
- Riskbedömning och konsekvensanalys
Vid nya behandlingar, exempelvis en ny medlemsförmån eller en ny typ av medlemsaktivitet, samt vid förändringar i nuvarande behandlingar ska vi alltid genomföra en riskbedömning och konsekvensanalys.
- Mall personuppgiftsbiträdesavtal (Pub-avtal)
När Seko ger en leverantör i uppdrag att utföra en tjänst åt förbundet som omfattar hantering av personuppgifter ska vi, utöver affärsavtal, teckna ett personuppgiftsbiträdesavtal. Pub-avtalet reglerar bland annat vilka uppgifter leverantören får ta emot samt hur dessa ska och får hanteras. Exempel på biträden är tryckerier som gör utskick åt förbundet eller leverantörer av system för SMS-utskick. Behöver ni teckna ett personuppgiftsbiträdesavtal, kontakta förbundet.
Avtal behöver inte tecknas med leverantörer som är självständigt personuppgiftsansvariga, exempelvis där verksamheten redan är strikt reglerad i lag. Som exempel kan nämnas bank- och försäkringsverksamhet eller med resebyråer där vi inte kan ställa krav på exempelvis när personuppgifter ska raderas eller hur uppgifterna ska hanteras hos leverantör.
Förbundet tecknar avtal med centrala biträden. Om ni har egna lokala avtal som medför att ni skickar medlemsuppgifter till en lokal leverantör ska ni säkerställa att eventuella personuppgiftsbiträdesavtal tecknas.
- Till mallen kommer även ett stöd-dokument som hjälper er att påbörja arbetet med avtalet
- Förbundsledningen ska signera denna typ av avtal
- ·Kontakta gdpr@seko.se vid eventuella frågor
Kontaktuppgifter dataskyddsombud
Robert Marcinkiewicz
E-post: dataskydd@fasab6f.se
Frågor
Vid frågor eller oklarheter gällande GDPR kontakta förbundets sakkunniga på gdpr@seko.se.