Riktlinjer till förtroendevalda vid hantering av personuppgifter

Du som fackligt förtroendevald är kärnan i vår verksamhet. Det ska vara lätt att utföra förtroendeuppdraget, men också säkert för att skydda uppgifternas sekretess. Nedan finner du riktlinjer och instruktioner som du ska följa när du hanterar personuppgifter som förtroendevald.

Förtroendevald

Senast uppdaterad: 03 april 2025 • min lästid

Förtroendevald

Senast uppdaterad: 03 april 2025 • min lästid

Introduktion

För att säkerställa att personuppgifter hanteras korrekt i din roll som förtroendevald, är det viktigt att du följer dessa riktlinjer och instruktioner. Vid frågor är du välkommen att kontakta Naturvetarnas dataskyddsombud dataskyddsombud@naturvetarna.se eller din kontaktperson på Naturvetarna.

Naturvetarna har en policy som beskriver hur personuppgifter behandlas inom organisationen, vilket inkluderar dina egna personuppgifter i egenskap av förtroendevald. Om du vill veta hur dina personuppgifter behandlas hos Naturvetarna och vilka rättigheter du som registrerad person har kan du läsa om det i personuppgiftspolicyn här: https://www.naturvetarna.se/om-naturvetarna/hantering-av-personuppgifter

Några definitioner

Personuppgift = All slags information som direkt eller indirekt kan identifiera en person. Exempelvis namn, personnummer, telefonnummer, medlems-ID, IP-adress, ljudinspelning, foto. Detta gäller även om identifieringen sker genom en kombination av flera uppgifter, såsom kombination av förnamn och arbetsplats. Så fort information klassas som en ”personuppgift” innebär det att GDPR:s regler ska tillämpas.

Känslig personuppgift = Vissa kategorier av personuppgifter anses i lagens mening som ”känsliga” och ska därför säkerställas ett starkare skydd. Uppgift som avslöjar facklig tillhörighet anses som en känslig uppgift, vilket innebär att säkerhetsnivån avseende medlemsinformation måste vara särskilt hög. Uppgifter om hälsa är också känsliga uppgifter.

Hela uppräkningen finns i artikel 9 i GDPR, men det som är mest relevant att tänka på för Naturvetare är information om medlemskap i fackförening samt hälsouppgifter.

Behandling av personuppgift = ”Behandling” är detsamma som ”hantering”. Det vill säga, alla former av åtgärder som vidtas med personuppgifter. Exempelvis insamling, lagring, ivägskickande, radering.

Dataskyddsombud = En utsedd person inom Naturvetarna som övervakar att Naturvetarna följer GDPR, kommer med råd och riktlinjer, hanterar personuppgiftsincidenter och rättighetsbegäranden. Dataskyddsombudet är kontaktpunkt mellan individ, verksamhet och tillsynsmyndigheten i dataskyddsfrågor.

Personuppgiftsincident = En säkerhetsincident som leder till att personuppgifter av misstag har förstörts, försvunnit eller ändrats, alternativt att personuppgifter har röjts för obehörig (sekretessbrott).

Information om GDPR

Vad är GDPR?

GDPR är en förkortning av namnet General Data Protection Regulation som är en EU-förordning som trädde i kraft våren 2018. På svenska kan förordningen även kallas för Dataskyddsförordningen, men det är samma sak som GDPR. Förordningen syftar till att stärka skyddet för enskilda personers integritet och skydd för sitt privatliv.

Alla organisationer och dess anställda måste följa GDPR. Det är dock extra viktigt för Naturvetarna i och med att medlemmars uppgifter klassas som ”känsliga” vilket ställer extra höga krav på oss att hålla uppgifterna säkra. Känslighetsgraden är jämställd med journaluppgifter inom sjukvården.

Ditt ansvar som förtroendevald

Du som förtroendevald är kärnan i vår verksamhet har ett angivet mandat att för Naturvetarnas räkning driva facklig verksamhet. Det innebär att du agerar under Naturvetarnas ansvar för personuppgifter och måste därför följa Naturvetarnas anvisningar när du hanterar uppgifter som kommer från oss (listor och annat).

GDPR i stora drag

Att göra rätt i förhållande till GDPR handlar i stort sett om att förhålla sig till några grundläggande principer vid hantering av personuppgifter i det dagliga arbetet. Det är även viktigt att rapportera om när något har gått fel så att vi kan vidta åtgärder för att rätta till fallet, i vissa fall måste incidenter också rapporteras till Integritetsskyddsmyndigheten. Vi måste även se till att enskilda personer kan utöva sina lagstadgade rättigheter, som exempelvis att få kopia på sina personuppgifter.

Sanktionsavgifter

Vid felaktig hantering av personuppgifter kan Naturvetarna i värsta fall få höga sanktionsavgifter från Integritetsskyddsmyndigheten. Du som är förtroendevald kan inte drabbas av sanktionsavgifter, utan det är förbundet som är ytterst ansvarig.

Riktlinjer: Allmänna grundläggande förhållningsregler

Detta ska du alltid tänka på när du hanterar personuppgifter.

Personuppgifter om medlemmar ska användas för att bevaka medlemmars fackliga rättigheter och intressen. Personuppgifter får inte användas för egna ändamål.

Använd aldrig personuppgifter för andra syften än de som angivits vid insamlingen av uppgifterna.

Använd endast de personuppgifter som är nödvändiga i varje situation. Fråga dig själv: ”Behöver jag den här personuppgiften?”

Var medveten om att alla anteckningar som görs om en medlem kan begäras ut av medlemmen. Se därför till att alla anteckningar som görs är sakliga och innehåller nödvändig information.

Kontrollera att personuppgifterna är korrekta och uppdaterade. Rätta eller radera felaktiga personuppgifter så snart de upptäcks.

Personuppgifter ska endast lagras under så lång tid som de behövs. Om personuppgifter inte längre behövs ska de tas bort eller anonymiseras. Personuppgifter får inte sparas bara för att de är ”bra att ha”.

Säkerställ att personuppgifter inte kan kommas åt av obehöriga. Ytterligare riktlinjer för att motverka obehörig åtkomst finns i avsnittet nedan.

Säkerställ att personuppgifter inte lagras i system / på platser som kan vara åtkomliga för andra personer inom din arbetsgivarorganisation.

Berätta för oss om något har gått fel, exempelvis om personuppgifter har röjts. Detta måste du göra så snart som möjligt så att Naturvetarna ges möjlighet att hantera händelsen på korrekt sätt. Se särskilt avsnitt om det nedan.

Sekretess

Som förtroendevald måste du anta att all information som du hanterar som avser medlemmar är av känslig karaktär. Behandla därför all information med största möjliga sekretesstänk. Du får endast dela personuppgifter med de personer som är behöriga att ta del av dem (exempelvis din kontakt på Naturvetarna).

Checklista för säkerhet i vardagen:

Lås alltid datorn om du lämnar den, även för en kort stund.

Tips! På Windowsdatorer trycker man ner Windows flaggan och L-tangenten samtidigt.

Säkerställ att ingen obehörig person har åtkomstbehörighet till den lagringsyta där du samlar information inom ditt fackliga arbete.

Ha ett säkert lösenord med minst 14 tecken. Skriv inte ned ditt lösenord i pappersform eller i textfiler, utan använd en krypterad lösenordshanterare.

Tips! iOS har lösenordhanterare i appen Lösenord. Andra lösenordshanterare är Googles lösenordshanterare, Bitwarden och 1Password.

Slå på multifaktorsautentisering (MFA) exempelvis Microsoft Authenticator till din dator och till din e-post.

Personuppgifter som finns nedskrivna på papper / post-it / i pärm behöver vara under uppsikt eller annars låsas in så att uppgifter inte kan kommas åt av obehöriga.

Om papper ska slängas är det viktigt att använda sekretesskärl eller dokumentförstörare.

E-posthantering

E-post får i dagsläget användas för att kommunicera med medlemmar, men vi arbetar för att hitta ett säkrare kommunikationsmedium. Vid kommunikation med medlemmar via e-post är det viktigt att vissa säkerhetsåtgärder vidtas, dessa sammanställs nedan.

Val av e-post:

Anmäl din e-postadress till Naturvetarnas förtroendemannaservice.

Åtkomst till e-post

Använd en e-postadress som endast du har åtkomst till. Aldrig en delad e-postadress.

Lösenordet till din e-post ska vara ett unikt och starkt lösenord. Byt om du är osäker och använd lösenordshanterare för att slippa skriva ned det på en osäker plats.

Slå på MFA för åtkomst till din e-post. Se tips under ”Checklista för säkerhet i vardagen”

Säker kommunikation via e-post

Slå alltid på ett extra krypteringslager när du har möjlighet till det och du ska skicka känslig information.

Dubbelkolla alltid att du mejlar till rätt person.

Kontrollera att stavningen är rätt om du har skrivit mailadressen manuellt.

Om adressen fylls i automatiskt, kontroll-läs att det är rätt för- och efternamn samt organisationsnamn.

Undvik att i ämnesraden skriva något som avslöjar facklig tillhörighet.

När det är nödvändigt att skicka e-post till kansliet gällande ett medlemsärende ska medlemsnumret anges, ej namn och personnummer.

Massutskick

Använd alltid fältet ”dold kopia” när information skickas ut till flera personer samtidigt. Detta är för att e-postadresser (och därmed medlemskap) inte ska avslöjas till obehöriga personer. Har detta gjorts av misstag, se till att snabbt rapportera det till Dataskyddsombudet som en personuppgiftsincident.

När något går fel – hantering av incidenter

En personuppgiftsincident har uppstått när det har skett en avvikelse från hur personuppgifter normalt ska behandlas och den avvikelsen har lett till någon av följande konsekvenser:

personuppgifter har av misstag förstörts, förvanskats, försvunnit eller ändrats

någon har tagit del av personuppgifter utan att ha behörighet till det, s.k. obehörig åtkomst

personuppgifter har på ett felaktigt sätt spridits eller publicerats internt eller externt, s.k. obehörigt röjande

Exempel på personuppgiftsincidenter:

en dator, dokument eller usb har försvunnit eller stulits

någon glömde att låsa säkerhetsskåpet med känslig information

e-post som innehåller personuppgifter om medlemmar skickas till fel person/organisation

organisationen har utsatts för en lyckad hackerattack

krypteringsnyckeln till krypterad data har förlorats

någon obehörig råkar överhöra ett konfidentiellt samtal mellan förtroendevald och medlem

Naturvetarna är skyldigt att dokumentera och hantera personuppgiftsincidenter. Även när du inte tror att det som inträffat var så allvarligt är det viktigt att skyndsamt anmäla incidenten till kansliet så att det kan utvärderas av de dataskyddsansvariga.

När en personuppgiftsincident har inträffat ska du, inom 2 timmar från att du upptäckte incidenten, rapportera det som inträffat till dataskyddsombud@naturvetarna.se. Rapporten ska som minimum innehålla:

en kort beskrivning av vad som inträffat

tid och datum för när avvikelsen inträffade

tid och datum för när avvikelsen upptäcktes

kategorier av personuppgifter som har påverkats

en uppskattning av hur många personuppgifter som påverkats

telefonnummer till dig som är anmälare

Det är bättre att anmäla en gång för mycket än en gång för lite. Var beredd på att du kan bli uppringd av någon från Naturvetarna för att ge mer information om händelsen.

Ta del av medlemslistor

För att få ta del av medlemslistor från Naturvetarna krävs att du är påläst om GDPR och lovar att efterleva dessa riktlinjer. Medlemslistor är känsliga personuppgifter och ska hanteras med största försiktighet och säkerhetstänk.

Undrar du något specifikt är du välkommen att kontakta dataskyddsombud@naturvetarna.se

Delning av information

Till arbetsgivaren

Information om vilka som är medlemmar i Naturvetarna får delas med arbetsgivaren endast i de fall då det bedöms som nödvändigt för att kunna företräda medlemmarna.

Sociala medier

Du får endast dela någons namn och bild på sociala medier om medlemmen givit ett skriftligt samtycke till sådan publicering. Naturvetarnas marknadsavdelning kan tillhandahålla ett samtyckesformulär på förfrågan. Bilder ska inte taggas med personnamn.

Medlemmars rättigheter

GDPR ger alla medlemmar, och även övriga personer vars personuppgifter vi behandlar, en rad olika rättigheter. När en person gör en rättighetsbegäran måste rättigheten tillgodoses så snart som möjligt och absolut senast inom en månad. En begäran kan inkomma på olika typer av sätt och det är därför viktigt…

att du är lyhörd och tillmötesgående, och

att du känner till de olika rättigheterna

De vanligast förekommande är att någon vill att personuppgifter ska raderas eller att få ut en kopia på alla personuppgifter vi har om personen.

Du kan även läsa mer om dem på IMY:s hemsida här: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/de-registrerades-rattigheter/

Här finns även en utbildningsfilm (film 4): https://www.imy.se/verksamhet/utbildning-och-stod/imy-play/

Om du tar emot en rättighetsbegäran ska du direkt hänvisa personen till att skicka in ärendet till Naturvetarnas dataskyddsombud: dataskyddsombud@naturvetarna.se.

Om du får en begäran från dataskyddsombudet: Dataskyddsombudet kan be dig att utföra olika åtgärder, exempelvis radera information eller sammanställda information. Notera att det oftast är en kort tidsfrist och att dessa ärenden därför måste få hög prioritet.

Lagring och gallring av information

Grundregeln är att du bara ska spara den information om medlemmar som du behöver för att kunna utgöra ditt uppdrag. Onödig information eller information som fyllt sitt syfte ska raderas.

Exempelvis: radera Excelfiler med lönelistor när kollektivavtalsperioden eller lönerevisionen är över.