Instruks til tillidsrepræsentanter om GDPR

Vejledningen er tænkt som en hjælp til dig, når du håndterer personoplysninger i forbindelse med dit tillidshverv. Vejledningen gælder for alle tillidsrepræsentanter (TR) og tillidsrepræsentant suppleant (TRS), der er valgt i Kost og Ernæringsforbundet.

Formålet med vejledningen er at sikre, at Kost og Ernæringsforbundet fortsat kan beskytte medlemmernes personoplysninger og at håndteringen af oplysningerne følger lovgivningen på området, når du som TR har overtaget forhandlingsretten.

1. Hvem er dataansvarlig?

Kost og Ernæringsforbundet er dataansvarlige for de oplysninger, som du behandler i forbindelse med dit tillidshverv. Det er derfor forbundet, der har ansvaret for og retten til at instruere dig i din behandling af personoplysninger, når det sker som led i din funktion som TR(S).

Det betyder også, at det er Kost og Ernæringsforbundet, der har pligt til at registrere eventuelle brud på persondatasikkerheden og anmodninger fra registrerede personer, selvom det er dig, der bliver kontaktet i den forbindelse. 

2. Den GDPR-ansvarlige

Den GDPR-ansvarlige hos Kost og Ernæringsforbundet er Lida Akiode.

Hvis du har spørgsmål til denne vejledning eller behandling af personoplysninger generelt, er du velkommen til at kontakte Lida på tlf.: 31 63 66 57 eller mail: lak@kost.dk.

3. Gode råd

Nedenfor er beskrevet en række gode råd, som du skal følge, når du behandler personoplysninger som led i din funktion som TR(S).

1. Opbevar elektroniske og fysiske dokumenter med personoplysninger forsvarligt, så det ikke er muligt for tredjemand at tilgå dem.
2. Slet e-mails, sms’er og andre dokumenter, du har modtaget som TR(S), når de ikke længere er nødvendige for at varetage dit tillidshverv.
3. Når du smider fysiske dokumenter ud, skal det ske på en forsvarlig måde, fx makulering.
4. Når du sender en e-mail til flere medlemmer på én gang, skal du altid sætte mailadresserne i BCC-feltet.
5. Der skal være lås på alle mobiltelefoner og bærbare enheder, hvor du har personoplysningerne lagret. Brug stærke adgangskoder og skift dem jævnligt.
6. Vær opmærksom på, om andre kan se eller høre, hvad du beskæftiger dig med, når du arbejder i det offentlige rum.
7. Mindst en gang i kvartalet skal du gennemgå alle dine gemte personoplysninger og slette dem, der ikke længere er nødvendige for at varetage din funktion TR(S). Slet samtidig din papirkurv.

8. Oplys straks til den GDPR-ansvarlige, hvis du mener, at der er sket et persondatabrud.

4. Personoplysninger

Hvad er det?

En personoplysning er en information om en identificeret person eller en information, der gør en person identificerbar. Personoplysninger er dermed en hvilken som helst oplysning, der relaterer sig til en fysisk person.

Eksempler på personoplysninger er navn, adresse, telefonnummer, lønaftaler, billede og e-mailadresse. Disse betegnes som almindelige personoplysninger.

Følsomme personoplysninger

Nogle personoplysninger er følsomme og det kræver derfor ekstra opmærksomhed, når de behandles. Det er bl.a. oplysninger om en persons fagforeningsmæssige tilhørsforhold og helbredsoplysninger.

Selvom de oplysninger der behandles i sig selv ikke er følsomme, kan konteksten, de bliver brugt i alligevel betyde, at de falder i samme kategori som de følsomme personoplysninger. Det er tilfældet for din behandling af personoplysninger, da du i dit tillidshverv repræsenterer Kost & Ernæringsforbundet, som jo er en fagforening. Derfor vil behandling af de almindelige personoplysninger i mange tilfælde kunne indikere et medlemskab af en fagforening, og kan derfor anses som følsomme personoplysninger. Derfor skal alle personoplysninger behandles med ekstra varsomhed.

Et CPR-nummer falder inden under kategorier ”fortrolige personoplysninger” og skal på samme måde som følsomme personoplysninger behandles med ekstra varsomhed.

Retsgrundlag (hjemmel)

Når man behandler personoplysninger, kræver det, at man har en hjemmel til det, hvilket vil sige at der skal være et retsgrundlag for behandlingen. Hjemlen kan enten være baseret på en rettighed eller forpligtigelse igennem lovgivning eller på et samtykke fra den person, som oplysningerne vedrører.

Som udgangspunkt har du som TR(S) for Kost & Ernæringsforbundet en lovhjemlet ret til at behandle oplysninger om medlemmer og personer, der er ansat på Kost og Ernæringsforbundets overenskomster inden for dit TR-område. Formålet med behandlingen skal dog være at varetage din funktion som TR og derved være inde for rammerne af dine kerneopgaver, som bl.a. omfatter lønforhandling, sikring af de overenskomstmæssige rettigheder, mv. Du kan læse mere om dine opgaver som TR(S) i TR-håndbogen.

Selvom du har ret til at behandle personoplysninger, skal behandlingen altid begrænses til det, der er nødvendigt for at opfylde formålet. Det betyder derfor, at du kun skal indhente oplysninger som er nødvendige, og de skal slettes igen, når de ikke længere tjener et formål.

Hvis du er i tvivl om, hvorvidt en behandling af personoplysninger falder inden for dine kerneopgaver som TR, eller du skal indhente et samtykke fra et medlem, kan du kontakte forbundets GDPR-ansvarlige.

5. Behandling af personoplysninger

En behandling af personoplysninger sker når persondata indsamles, anvendes eller gemmes (lagres). Derfor gælder reglerne også, selvom du ikke er i kontakt med nogle personoplysninger – blot du har adgang til dem, eller de er lagret.

Behandlingen af persondata må kun ske i henhold til denne TR-instruks, og kun for at udføre dine opgaver som led i dit tillidshverv.

Dine beslutninger er vigtige

I dit daglige arbejde som TR(S) skal du træffe beslutninger, der skal sikre en sikker behandling af persondata. Det gælder, både når du beslutter dig for hvordan, hvornår og i hvor lang tid, behandlingen skal ske.

Du skal derfor træffe en række aktive valg, som i forhold til mængden af personoplysninger, der indsamles, omfanget af behandlingen og tidsrammen for lagringen samt tilgængeligheden, skal sikre rettighederne for de personer, som oplysningerne vedrører.

6. Brug af din arbejdsgivers IT-udstyr

Kost og Ernæringsforbundet er ansvarligt for din behandling, når du behandler personoplysninger i dit tillidshverv. Som TR anvender du dog din arbejdsgivers IT-udstyr i forbindelse med udførelsen af din funktion som TR, f.eks. ved brug af din arbejdsgivers e-mailsystem eller en computer, der er stillet til rådighed af din arbejdsgiver. Da din arbejdsgiver ikke bestemmer, hvordan eller til hvilke formål, du skal behandle personoplysninger, vil din arbejdsgivers rolle kun bestå i teknisk og sikkerhedsmæssig bistand.

Din arbejdsgiver har ret til at bestemme, hvilke sikkerhedsforanstaltninger, der skal implementeres, f.eks. antivirus systemer. Din arbejdsgiver kan dog ikke bestemme, hvordan eller til hvilke formål, du skal behandle personoplysninger, som du modtager som TR(S).

Det er dermed din arbejdsgiver, der fastlægger hjælpemidlerne for din behandling af personoplysninger som led i din funktion som TR. Hvis du oplever et problem med et IT-udstyr, der er stillet til rådighed af din arbejdsgiver, skal du kontakte din arbejdsgiver for få løst problemet.

7. Sikkerhedsforanstaltninger

Tavshedspligt og videregivelse

Som TR(S) for Kost og Ernæringsforbundet har du tavshedspligt om personoplysninger og forhold, som du bliver bekendt med gennem dit tillidshverv. Personoplysninger må derfor kun deles med personer uden for forbundet, hvis det er arbejdsmæssigt nødvendigt, og der er hjemmel til det. Du må gerne videregive oplysninger til Kost og Ernæringsforbundet, da det anses som en intern behandling. Hvis du er i tvivl, så kontakt den GDPR-ansvarlige hos Kost og Ernæringsforbundet.

Videregivelse af personoplysninger må som udgangspunkt heller ikke ske mellem de personer, som du repræsenterer. Det er derfor vigtigt, at du altid skriver alle mailadresser i BBC-feltet, når du sender en mail til flere modtagere samtidig.

Adgangskoder

Det er vigtigt, at du har lås på alle mobiltelefoner og bærbare enheder, der indeholder data eller synkroniserer data med f.eks. mail eller kalender.

Du skal skifte dine adgangskoder regelmæssigt og sørge for, at der er tale om en ”stærk adgangskode”. En ”stærk adgangskode” er en adgangskode, der er svær at gætte for andre end dig, hvilket bl.a. kan være ved brug af specialtegn, store og små bogstaver samt tal. Du skal undgå at skrive din adgangskode ned.

Hvis du har spørgsmål til, hvordan du skal skifte adgangskode på en mobiltelefon eller bærbar enhed, der er stillet til rådighed af din arbejdsgiver, skal du kontakte din arbejdsgiver.

Lagring af personoplysninger

Det er som udgangspunkt din arbejdsgiver, der skal træffe beslutning om, hvilke hjælpemidler, der skal bruges til behandlingen af personoplysninger på IT-udstyr, der er stillet til rådighed af din arbejdsgiver.

Du bør dog ikke lagre data på private enheder, herunder private konti, USB-nøgler eller notesbøger. Du bør heller ikke lave en opsætning, hvor e-mails vedrørende dit tillidshverv automatisk bliver videresendt til din private konto. 

Derudover er det vigtigt, at du husker at slukke din computerskærm eller gemme fysiske dokumenter væk, når du forlader din plads, så uvedkommende ikke kan få adgang til personoplysninger, herunder elektronisk.

Rigtighed

Personoplysninger skal være rigtige og ajourførte. Hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt berigtiges eller slettes.

Hvis en person, du behandler personoplysninger om i dit tillidshverv, beder om at få ændret en urigtig oplysning, kan du læse, hvordan du skal forholde dig til under punkt 11 i denne instruks.  

Reparation

Hvis det IT-udstyr, du bruger til opbevaring af personoplysninger, som du behandler i din funktion som TR(S), skal smides ud eller til ekstern reparation, er det vigtigt, at du kontakter din arbejdsgiver med henblik på, at reparationen eller destruktionen sker på en forsvarlig måde.

Opbevaring af fysiske dokumenter

Hvis du har dokumenter med personoplysninger liggende, skal de låses væk, når du forlader opbevaringsområdet. Kontakt din arbejdsgiver, hvis du har spørgsmål til, hvor du kan opbevare dine dokumenter forsvarligt på arbejdspladsen.

8. Hvornår skal personoplysninger slettes?

Personoplysninger, som du behandler i dit tillidshverv, skal slettes, når de ikke længere er nødvendigt for, at du kan udføre din funktion som TR(S).

Det betyder f.eks., at når lønnen til et medlem er forhandlet på plads, skal du slette de personoplysninger, som du har fået som en del af lønforhandlingen. Hvis du fortsat har brug for oplysningerne for at kunne varetage dine forpligtelser efter overenskomsten, kan du undlade at slette dem lige efter forhandlingen. Du bør dog overveje, om det er muligt at anonymisere oplysningerne, så oplysningerne ikke længere kan knyttes til en bestemt person. Det kan f.eks. være ved at slette oplysninger om navn, e-mail, køn, alder eller adresse.

Når du har slettet personoplysninger, kan du kontakte din arbejdsplads IT-afdeling for at sikre, at den slettede data også bliver slettet på backup.

Hvis du er i tvivl om, hvorvidt du er forpligtet til at slette personoplysninger, skal du kontakte den GDPR-ansvarlige hos Kost og Ernæringsforbundet.

9. Brud på persondatasikkerheden

Hvad er et persondatabrud?

Et brud på persondatasikkerheden er et brud på sikkerheden, der fører til

• tilintetgørelse,
• tab,
• ændring,
• uberettiget videregivelse af eller adgang til personoplysninger

Det kan fx ske, hvis

• en e-mail bliver sendt ud til flere medlemmer, hvor det er muligt for dem at se hinandens mailadresser,
• hvis du ved en fejl sender oplysninger om et medlem til en forkert modtager eller
• hvor en svaghed i et IT-system gør det muligt for uvedkommende at få adgang til personoplysninger.

Dette er blot eksempler på, hvordan et brud kan opstå. Hvis du er i tvivl om en hændelse er et persondatabrud, skal du henvende dig til den GDPR-ansvarlige hos Kost og Ernæringsforbundet

Hvad skal jeg gøre hvis jeg mener, at der er sket et brud?

Hvis du tror, der er sket et brud på persondatasikkerheden i forbindelse med din behandling af personoplysninger som TR(S), skal du kontakte den GDPR-ansvarlige, og så vidt muligt besvare følgende spørgsmål:

1. Hvornår er bruddet sket (dato og tidspunkt)

2. Hvad er der sket? (herunder hvor mange der er berørte)

3. Hvad er årsagen til bruddet?

4. Hvilke personoplysninger er berørt?

5. Hvilke konsekvenser har bruddet haft for de berørte personer?

6. Hvilke afhjælpende foranstaltninger er der truffet?

Dette skal gøres straks efter opdagelsen af det mulige persondatabrud – og uanset om det er dig, der er ansvarlig for bruddet.

Det er Kost og Ernæringsforbundet der, som dataansvarlig, har pligt til at registrere alle brud på persondatasikkerheden og foretage vurderingen af, hvorvidt bruddet skal anmeldes til Datatilsynet, og/ eller de berørte personer skal underrettes. Du skal dog bidrage med oplysninger om hændelsesforløbet eller øvrige oplysninger, så Kost og Ernæringsforbundet får det fulde billede af bruddet, og hvilke mulige konsekvenser bruddet har haft.

Hvis arbejdsgivers udstyr har været involveret i hændelsesforløbet, kan det ligeledes være nødvendigt at få bistand fra din arbejdsgiver til håndtering af bruddet.  

10. Oplysningspligt

Kost og Ernæringsforbundet har i vidt omfang opfyldt oplysningspligten for medlemmer af Kost og Ernæringsforbundet ved indmeldelse i forbundet. Derfor er dem, du repræsenterer, oplyst om muligheden for at udøve sine rettigheder, at det er Kost og Ernæringsforbundet er dataansvarlige, samt at den lokale TR(S) kan behandle personoplysninger.

Hvis du ønsker muligheden for at give en person generelle oplysninger om Kost og Ernæringsforbundets behandling af personoplysninger, kan du henvise til forbundets privatlivspolitik, som du finder her. 

Hvis du ønsker at behandle personoplysninger til særlige formål eller om andre end de personer, der ligger inden for dit TR-område, skal du dog oplyse disse personer om din behandling af personoplysninger. Sammen med oplysningen om behandling kan du ligeledes for ikke-medlemmer henvise til forbundet generelle privatlivspolitik, da den også indeholder et afsnit om ikke medlemmer. 

Kost og Ernæringsforbundet sørger for at opdatere alle privatlivspolitikker, så de svarer til gældende lovgivning.

11. De registreredes rettigheder

Når du behandler personoplysninger om en person, har personen efter databeskyttelsesforordningen en række rettigheder i forhold til din behandling af deres personoplysninger. En registreret person er en person, som du behandler personoplysninger om.

Hvis du modtager en anmodning fra en registreret person om at udøve sine rettigheder, skal du i alle tilfælde kontakte den GDPR-ansvarlige hos Kost og Ernæringsforbundet. Du skal bidrage med oplysninger om din behandling og øvrige relevante oplysninger, så Kost og Ernæringsforbundet bedst kan behandle anmodningen i samarbejde med dig. Det kan også være nødvendigt med bistand fra din arbejdsgivers IT-afdeling, hvis (en del af) behandlingen er foretaget på din arbejdsgivers IT-udstyr.

Nedenfor kan du læse om de generelle principper for behandling af en anmodning fra en registreret person.

11.1 Svarfrist og identifikation

Svarfrist

En anmodning fra en registreret skal besvares uden unødig forsinkelse og senest inden for én måned fra modtagelsen.

Hvis anmodningen er særlig kompliceret, er det muligt at forlænge svarfristen med yderligere to måneder – det kræver dog, at den registrerede person får meddelelse (underrettes) om fristforlængelsen og begrundelsen herfor.

Identifikation

Det er vigtigt, at du sikrer dig, at den person, der foretager anmodningen, også er den registrerede person.

Hvis det er medlemmer, som du repræsenterer, vil det næppe udgøre et problem at identificere, om anmodningen kommer fra den registrerede. Hvis det ikke er muligt at identificere personen, kan du bede om yderligere informationer inden for rimelighedens grænser.

Du kan altid kontakte Kost og Ernæringsforbundet, hvis du har brug for hjælp til at identificere en registreret person.

11.2 Ret til at se oplysninger (indsigtsret)

En person, som du behandler personoplysninger om, har ret til at få indsigt i de oplysninger, som du behandler om personen, og en række yderligere oplysninger, hvis personen anmoder om det.

Følgende oplysninger skal som udgangspunkt gives til den registrerede:

• Formål(ene) med behandlingen
• Hvilke personoplysninger der behandles, f.eks. navn, lønforhold, fagforeningsmæssigt tilhørsforhold mv.
• De modtagere som personoplysningerne er eller vil blive videregivet til
• Det påtænkte tidspunkt for behandling/opbevaring af personoplysningerne eller de kriterier, der bruges til at fastlægge slettefristen.
• Hvorvidt der foretages automatiske afgørelse, som beskrevet i persondataforordningens art. 22
• Retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger samt begrænsning af eller indsigelse mod behandlingen af personoplysninger.
• Retten til at indgive en klage til Datatilsynet
• Enhver information om hvorfra personoplysninger stammer, hvis de ikke indsamles hos den registrerede person selv.

Hvis personen kun beder om indsigt i et konkret forhold, behøver du ikke fremsende al information, du har liggende om den pågældende person. Du kan dog som led i din oplysningspligt gøre personen opmærksom på, at du behandler anmodningen, som en anmodning om delvis indsigt for at gøre behandlingstiden kortere.

Du kan ligeledes adspørge den registrerede om personen kan konkretisere sin anmodning, så du ved hvilke personoplysninger personen ønsker indsigt i.

Du skal være opmærksom på at retten til indsigt kun giver den registrerede ret til at modtage oplysninger om personen selv, og du ikke må krænkes andres rettigheder. Du skal som udgangspunkt fjerne alle personoplysninger om andre end den registrerede selv fra materialet inden det fremsendes.

11.3 Ret til berigtigelse (rettelse)

En person, du behandler personoplysninger om, har ret til at få til personoplysninger berigtiget ved anmodning.

Hvis du er enig med den registrerede om, at personoplysningen er urigtig eller ufuldstændig, skal du berigtige oplysningen alle tilgængelige steder. Hvis oplysningen er videregivet til tredjemand, skal du, underrette tredjemand, om at oplysningen er urigtig eller ufuldstændig.

Du er ikke forpligtiget til at rette personoplysningen, hvis der er uenighed om personoplysningens rigtighed. I stedet skal du udarbejde et notat, hvor du beskriver, at den registrerede person ikke er enig i personoplysningens rigtighed, og hvad personen anser for korrekt. Notatet skal vedhæftes personoplysningen.

Kost og Ernæringsforbundet ser ikke en anmodning om at få sine kontaktoplysninger ajourført som en anmodning om berigtigelse. Sådanne anmodninger skal derfor ikke dokumenteres i det omfang de efterkommes med det samme.

11.4 Ret til sletning (retten til at blive glemt)

I helt særlige tilfælde har en person, som du behandler personoplysninger om, ret til at få slettet sine oplysninger inden tidspunktet for din generelle sletning indtræffer.

Hvis du modtager en anmodning om at slette de personoplysninger, som du behandler om personen i dit tillidshverv, skal du overveje om ét af følgende forhold gør sig gældende:

• De indsamlede personoplysninger er ikke længere nødvendige for at opfylde de formål, som du behandlede dem til
• Personen trækker sit samtykke tilbage, og du har ikke et andet grundlag for at behandle oplysningerne
• Hvis der ikke foreligger nogen legitime grunde for behandlingen, der får forud for personens interesser
• Personoplysningerne er blevet behandlet ulovligt

Hvis du vælger at slette personoplysningerne, skal du sørge for, at de er slettet på en sådan måde, at det ikke er muligt at genskabe dem. Du skal kontakte din arbejdsgivers IT-afdeling, hvis du er i tvivl om, hvorvidt personoplysninger er slettet fra en evt. backup.

Hvis personoplysningerne er opbevaret i fysiske kopier, skal disse kopier makuleres.

11.5 Ret til begrænsning af personoplysninger

En registreret person har i visse tilfælde ret til at få behandlingen af sine personoplysninger begrænset.

Kontakt altid Kost og Ernæringsforbundet, hvis du modtager en sådan henvendelse fra en person, som du behandler personoplysninger om i dit tillidshverv.

11.6 Ret til indsigelse

Hvis en person, du behandler personoplysninger om i dit tillidshverv, gør indsigelse mod din behandling af personoplysninger, skal du tage stilling til om anmodningen er berettiget på trods af, at behandlingen er lovlig.

Du skal her vurdere nødvendigheden af behandlingen. Hvis du vurderer, at det fortsat er nødvendigt at behandle personoplysningerne, skal du give den registrerede oplysninger om hensynene bag beslutningen og begrundelsen for, at du ikke kan imødekomme anmodningen.

Du skal altid henvende dig til Kost og Ernæringsforbundets GDPR-ansvarlige, hvis du ikke kan imødekomme anmodningen.

11.7 Retten til at trække et samtykke tilbage

Hvis du behandler personoplysninger på baggrund af et samtykke, har personen altid ret til at tilbagekalde sit samtykke. Hvis personen trækker sit samtykke tilbage, skal behandlingen ophøre, og oplysningerne, der blev behandlet på baggrund af et samtykke skal slettes.

Det skal være lige så let at trække sit samtykke tilbage, som det var at give det.

12. Hvis du stopper som TR(S)

Når dit hverv som TR(S) ophører, er du forpligtet til at gå de personoplysninger, du har opbevaret, igennem og videreoverdrage de oplysninger, som du vurderer fortsat, vil være nødvendige til varetagelsen af tillidshvervet til den nye TR(S). Hvis du har personoplysninger liggende, som ikke er relevante for at den nye TR(S) kan varetage sin funktion som TR(S), skal oplysningerne slettes eller makuleres.

Hvis der ikke bliver valgt en ny TR(S) i stedet for dig, skal du slette eller makulere alle personoplysninger, du har modtaget i dit hverv som TR(S) eller fremsende dem til Kost og Ernæringsforbundet på sikkermail@kost.dk.

Hvis du er i tvivl om, hvorvidt du skal videregive eller slette personoplysninger, når du stopper som TR(S), kan du kontakte den GDPR-ansvarlige hos Kost og Ernæringsforbundet.

13. Behandling af dine personoplysninger som TR(S)

Kost og Ernæringsforbundet behandler personoplysninger om dig, når du bliver valgt som TR(S) for Kost og Ernæringsforbundet. Du kan læse om, hvordan vi behandler dine personoplysninger, når du bliver valgt som TR(S) i forbundets privatlivspolitik for TR(S) her: https://kost.dk/privatlivspolitik-tillidsrepraesentanter-i-kost-og-ernaeringsforbundet.

Hvordan vi behandler dine personoplysninger, der ikke relaterer sig til dit tillidshverv, kan du se i Kost og Ernæringsforbundets generelle privatlivspolitik på https://kost.dk/privatlivspolitik. 

Hvis du har spørgsmål til behandlingen af dine personoplysninger, kan du kontakte den GDPR-ansvarlige.

14. Ændring

Kost og Ernæringsforbundet forbeholder os retten til at ajourføre og ændre denne instruks for TR(S), særligt når det er nødvendigt som følge af lov- og praksisændring.

I tilfælde af væsentlige ændringer, vil vi meddele dette i form af en synlig meddelelse på vores hjemmeside eller gennem e-mail.

Dato for seneste ændring af denne privatlivspolitik:

02.01.2024