Ofte stillede spørgsmål om GDPR

Nedenfor er svar på ofte stillede spørgsmål i forhold til GDPR. Hvis du ikke har fundet svar på dit spørgsmål eller ønsker sparring i forhold til behandling af personoplysninger, er du altid velkommen til at kontakte forbundets GDPR-ansvarlige Astrid Marie Biehl på tlf.: 31 63 66 03 eller mail: amb@kost.dk

Hvad har jeg som TR(S) ret til at få oplyst af Kost og Ernæringsforbundet?

Videregivelse af personoplysninger mellem Kost og Ernæringsforbundet og TR(S) vil som udgangspunkt være en intern behandling. Du kan derfor lovligt videregive og modtage personoplysninger fra Kost og Ernæringsforbundet angående de medlemmer, som du repræsenterer.

Du kan altid henvende dig til Kost og Ernæringsforbundet, hvis du ønsker arbejdsrelevante oplysninger om medlemmer på din arbejdsplads eller for at få svar på konkrete spørgsmål for at kunne varetage dit hverv som TR(S).

Du skal som TR(S) kunne varetage dit arbejde. Du har derfor som TR(S) ret til at få fremsendt oplysninger om de medarbejdere, du repræsenterer. Oplysningerne må udelukkende bruges til at varetage de opgaver, som er underlagt TR(S)-hvervet. Det kan f.eks. være at få fremsendt en liste med navne, ansættelsesforhold og e-mailadresse på de medlemmer, du repræsenterer i forbindelse med en lønforhandling. Oplysningerne skal være relevante i forhold til formålet.

Hvis du har brug for råd, vejledning eller bistand fra Kost og Ernæringsforbundet, må du gerne viderebringe personoplysninger til Kost og Ernæringsforbundet, så du efterfølgende kan få et korrekt og fyldestgørende svar. Det betyder, at de oplysninger, du behandler som led i din funktion som TR(S), kan du også videregive til Kost og Ernæringsforbundet.

Jeg skal indkalde til møde i forbindelse med min TR-funktion. Må jeg gøre dette pr. mail?

Du må gerne indkalde de medlemmer, du repræsenterer, til generalforsamlinger, afdelings- eller valggruppemøder. Når du sender en e-mail ud til flere medlemmer samtidigt, skal du være opmærksom på, hvor du angiver modtagernes e-mailadresser.

Modtagerne af masseudsendelsen bør ikke fremgå af selve e-mailen. Du skal derfor placere modtagernes e-mailadresser i e-mailens bcc-felt. Når du placerer deres e-mailadresser i bcc-feltet, kan modtagerne ikke se hinandens e-mailadresser.

Du skal være opmærksom på, at det som udgangspunkt vil være et brud på persondatasikkerheden, hvis du ved en fejl ikke sætter medlemmernes mailadresse i bcc-feltet. Hvis der sker et brud på persondatasikkerheden, skal du kontakte Kost og Ernæringsforbundets GDPR-ansvarlige. Du kan læse om, hvordan du håndterer et persondatabrud her.

Hvordan skal jeg håndtere referater fra afdelingsmøder mv.?

Når der er afholdt møde kun for medlemmer af Kost og Ernæringsforbundet, og du skal sende referatet ud til andre end dem, der deltog på mødet, kræver det et udtrykkeligt samtykke fra dem, der er nævnt i referatet. Alternativt skal navnene slettes i referatet. Det skyldes, at referatet kan indikere et fagforeningsmæssige tilhørsforhold, hvilket er en følsom oplysning, som kræver et udtrykkeligt samtykke før oplysningen kan deles.

Vi anbefaler, at du som TR(S) gør det, der er mindst indgribende, dvs. kun sætter navne på, hvis det er nødvendigt. Forbundet vurdering er, at det som udgangspunkt ikke er nødvendigt at sætte navne på referater fra afdelings- eller valgruppemøder.

Hvis du skal indhente et samtykke, skal det kunne dokumenteres og bør derfor altid gøres skriftligt. Før et samtykke kan anses for gyldigt, skal det opfylde en række betingelser. Du kan læse yderligere om indhentelse af samtykke længere nede på denne side. Vi opfordrer til, at du altid kontakter forbundet, hvis du tænker, at en behandling kræver et samtykke fra personen, du ønsker at behandle oplysninger omkring.

Hvad gør jeg, når jeg skal sende en mail med personoplysninger eller CPR-numre?

Når du skal sende e-mails, som indeholder fortrolige eller følsomme personoplysninger (f.eks. lønsedler, kontraktudkast eller CV med angivelse af CPR-nummer) eller det på baggrund af mailen kan udledes, at personen er med medlem af Kost og Ernæringsforbundet, skal oplysningerne krypteres.

Du skal kontakte din arbejdsgiver, hvis du er i tvivl om, du har en sikker mail, som du kan modtage og sende personoplysninger fra.

Hvordan skal jeg opbevare personoplysninger i forhold til mit tillidserhverv?

Som TR(S) skal du behandle personoplysninger, om dem du repræsenterer, fortroligt. Oplysninger må ikke være tilgængelig for tredjepart, hverken fysisk, elektronisk eller på anden måde.

Det indebærer, at du f.eks. skal gemme alle elektroniske dokumenter i en mappe, det kun er dig og evt. din arbejdsgivers IT-afdeling, der kan tilgå. De elektroniske dokumenter skal ligeledes være krypteret på computerens harddiske eller være gemt i skyen, så det ikke er muligt at hente data fra computeren i tilfælde af tyveri. Du må ikke gemme personoplysninger, som du behandler i dit tillidshverv, på eksterne harddiske eller USB-stik.

Fysiske dokumenter skal være opbevaret, så det ikke er muligt for uvedkommende at tilgå dem. Det kan f.eks. være i et aflåst skab, hvor det kun er dig, der har adgang til. Hvis du skal have dokumenter med fra din arbejdsplads, er det vigtigt, at du sørger for, at der fortsat er en forsvarlig opbevaring af dokumenterne, samt at det ikke er muligt for andre at se dem.

Du skal kontakte din arbejdsgiver, hvis du er i tvivl om, hvorvidt personoplysningerne om de medlemmer, som du repræsenterer, er sikkert opbevaret.

Hvilke personoplysninger må jeg behandle som led i mit tillidshverv? (dataminimering)

Som TR(S) har du ret til at behandle en lang række af personoplysninger, når det er nødvendigt for, at du kan varetage dit tillidshverv og sikre de overenskomstmæssige rettigheder. Det gælder både almindelige personoplysninger som navn, kontaktoplysninger og stillingsbetegnelse, fortrolige oplysninger som CPR-nummer samt følsomme personoplysninger som fagforeningsmæssigt tilhørsforhold og helbredsoplysninger.

Når du behandler personoplysninger om de medlemmer, du repræsenterer, er du underlagt princippet om dataminimering. Det indebærer, at du som TR(S) kun må behandle personoplysninger, når det er nødvendigt til at opfylde formålet med behandlingen.

Det er derfor vigtigt, at du som TR(S) ikke indhenter eller får tilsendt oplysninger, der ikke er nødvendige for, at du kan varetage din funktion som TR(S). Hvis du modtager personoplysninger, der ikke er nødvendige for din funktion som TR(S), skal du slette oplysningerne.

Arbejdsgiver må fremsende personoplysninger til dig som TR(S), hvis det er nødvendigt for at varetage dit tillidshverv, og der er grundlag for det i en kollektiv aftale.

Som TR(S) må du heller ikke fremsende eller på anden måde videregive personoplysninger, der ikke er relevante og nødvendige for din funktion som TR(S) i den givne sag.

Som TR(S) må du kun gemme/ opbevare personoplysninger så længe de er nødvendige for, at du kan varetage din funktion som TR(S). Personoplysninger skal derfor slettes, når du ikke længere har et formål med opbevaringen. Du kan se yderligere om, hvornår og hvordan du skal slette personoplysninger i forbundets GDPR-vejledning for tillidsrepræsentanter.

Må jeg som TR(S) modtage kontaktoplysninger på en nyansat fra arbejdsgiver?

Arbejdsgiver er forpligtet til at udlevere kontaktoplysninger på en nyansat på dit TR-område, som f.eks. navn, adresse og telefonnummer, til dig som TR(S), for at du kan udføre dit tillidshverv. Da det er nødvendigt for dig som TR(S) at have disse oplysninger, er du berettiget til at modtage og behandle dem til de formål, der ligger inde for din funktion som TR(S). Arbejdsgiver skal ikke have samtykke fra den nyansatte, før du kan modtage kontaktoplysninger.

Må jeg som TR(S) modtage en liste over de ansatte, som falder ind under Kost og Ernæringsforbundets forhandlingsområde, fra arbejdsgiver?

Arbejdsgiver må gerne videregive oplysninger om de ansatte til TR(S) eller Kost og Ernæringsforbundet, hvis det sker for at overholde en retlig forpligtelse eller for at overholde overenskomsten. Du har som TR(S) forhandlingsretten for de personer, som er ansat på Kost og Ernæringsforbundets organisationsaftale.

En liste over de ansatte (som omfatter både medlemmer og ikke-medlemmer) indeholder ikke følsomme oplysninger, da den ansattes fagforeningsmæssige tilhørsforhold ikke kan udledes på baggrund af listen.

Må jeg sende en liste ud med resultaterne for de årlige lønforhandlinger?

Når du sender en liste ud med resultaterne for de årlige lønforhandlinger (forudsat at der er vedtaget åben lønpolitik), vil der, udover lønoplysningerne, fremgå navne på medlemmerne. Listen kan som udgangspunkt udsendes uden samtykke, så længe der ikke står noget om medlemskab af Kost og Ernæringsforbundet. Omvendt gælder, at hvis de ansattes fagforeningsmæssige tilhørsforhold fremgår af listen er der tale om en følsom personoplysning, som du som TR derfor hverken direkte eller indirekte må offentliggøre uden samtykke.

Hvad gør jeg som TR(S), når en ansat, jeg repræsenterer, ønsker indsigt eller at udøve en anden rettighed?

Personer som du behandler personoplysninger om, har efter GDPR-reglerne ret til at få indsigt i de personoplysninger, som du behandler om den pågældende, samt en række oplysninger om hvordan deres personoplysninger bliver behandlet.

Som udgangspunkt har en person ret til at få indsigt i alle de oplysninger, der bliver behandlet. Retten til indsigt omfatter dog ikke ret til at få udleveret oplysninger om andre end sig selv. Personoplysninger om øvrige personer skal derfor slettes fra det materiale, som den pågældende modtager. I særlige tilfælde kan der være grund til, at en person ikke kan få indsigt i oplysninger, der behandles om den pågældende.

Hvis du modtager en anmodning om indsigt som led i din funktion som TR(S), skal du kontakte Kost og Ernæringsforbundet. Forbundet har nemlig en forpligtelse til at registrere anmodninger fra personer, som du som TR(S) modtager. Vi kan ligeledes bistå dig med, om der foreligger et særligt tilfælde, der gør, at du ikke skal give indsigt i nogle oplysninger.

Udover indsigtsret har en person, som du behandler personoplysninger om, følgende rettigheder:

• Ret til berigtigelse
• Ret til sletning
• Ret til begrænsning af behandlingen
• Ret til dataportabilitet (til den registrerede eller en anden databehandler)
• Ret til indsigelse mod behandlingen
• Ret til ikke at være genstand for automatiske afgørelser.

Det er ikke i alle tilfælde de personer, hvis personoplysninger du behandler, der har mulighed for at udøve de ovenforstående rettigheder.

Du kan læse mere om de registreredes rettigheder i forbundet GDPR vejledning for tillidsrepræsentanter.

Hvordan indhenter jeg et samtykke?

Skal jeg indhente et samtykke?

Når du behandler personoplysninger som led i dit tillidshverv, vil du som udgangspunkt ikke skulle have et samtykke fra personen, for at kunne behandle personoplysninger. Det vil f.eks. være i forbindelse med lønforhandling, sikring af de overenskomstmæssige rettigheder og rekruttering af medlemmer.

I særlige tilfælde kan det dog være nødvendigt at indhente et samtykke. Det kan f.eks. være i tilfælde, hvor du skal videregive oplysninger til andre end Kost og Ernæringsforbundet.

Hvis du er i tvivl om, hvorvidt den behandling, du ønsker at foretage, kræver et samtykke, kan du kontakte Kost og Ernæringsforbundets GDPR-ansvarlige Lida Akiodé.

Hvordan indhenter jeg et samtykke?

Hvis en behandling af personoplysninger kræver, at du skal indhente et samtykke, skal samtykket leve op til databeskyttelsesreglerne. Et samtykke skal kunne dokumenteres og bør derfor altid være skriftligt og gemmes i den periode, hvor behandlingen foretages. Samtykket skal indgås inden behandlingen begynder.

Inden du indhenter et samtykke, skal du overveje, om det er muligt for personen, der afgiver samtykket, at trække sit samtykke tilbage. Når en person trækker sit samtykke tilbage, skal alle oplysninger, der er indhentet på baggrund af samtykket slettes, og behandlingen skal afsluttes.

Samtykket skal være frivilligt. Det indebærer bl.a., at samtykket skal være udtryk for den registreredes frie valg, og at det ikke må have negative konsekvenser for den registrerede, hvis personen vælger ikke give sit samtykke.   

Nedenfor er beskrevet, hvad en samtykkeerklæring skal indeholde for at leve op til persondatareglerne, men du kan også henvende dig til forbundets GDPR-ansvarlige, der kan hjælpe dig med at udforme en samtykkeerklæring.

Hvad skal et samtykke indeholde?

Samtykket skal være skriftligt og indgås inden behandlingen starter. Samtykkeerklæringen skal underskrives af personen, som du ønsker at behandle personoplysninger om.

Samtykkeerklæringen skal som minimum indeholde følgende oplysninger og være skrevet i et sprog der er let at forstå for personen:

• Den dataansvarliges identitet
  Hvis du indhenter samtykket som led i dit tillidshverv er det Kost og Ernæringsforbundet, der er den dataansvarlige. Du skal her indskrive:
  Kost og Ernæringsforbundet
  Holmbladsgade 70
  2300 København S
  CVR-nr.: 23972913
  Telefon: 31 63 66 00
  Mail: sikkermail@kost.dk
• Beskrivelse af de personoplysninger, der skal indgå i behandlingen
  I den forbindelse skal det fremgå, hvis nogen af personoplysningerne er følsomme personoplysninger (fx fagforeningsmæssigt tilhørsforhold eller helbredsoplysninger) eller fortrolige oplysninger (fx CPR-nummer).
• Formålet med behandlingen
  Du skal klar og præcist beskrive, hvad formålet med behandlingen er. Hvis du ønsker at behandle personoplysninger til flere formål, skal personen frit kunne til- eller fravælge, hvilke formål de samtykker til.
• Retten til at trække sit samtykket tilbage
  Samtykkeerklæringen skal indeholde et afsnit om muligheden for at trække samtykket tilbage. Det skal herunder nævnes, hvordan samtykket kan trækkes tilbage. Det kan gøres til dig som TR(S) eller til Kost og Ernæringsforbundets GDPR-ansvarlige.
• Dato og underskrift
  Samtykkeerklæringen skal indeholde plads til, at personen kan skrive underskrift og dato for underskrift, samt evt. fulde navn.

Det kan ligeledes være en god ide at beskrive baggrunden for, at du ønsker at indhente et samtykke.

Kontakt forbundets GDPR-ansvarlige, hvis du er i tvivl om, hvordan du skal udforme samtykkeerklæringen.