Free Standard Templates

Explore a free library of open-source, peer-reviewed contract standards, adopted by thousands of business around the world and signed millions of times.

Explore Now
oneNDA-badge

CIRKULÆRE 2020

CIRKULÆRE 2020


Cirkulære om aftale om


Tillidsrepræsentanters behandling af personoplysninger i arbejdsgivers it-systemer, herunder arbejdsgivers tekniske bistand hertil


Cirkulære af 21. december 2020

Xxxxx.xx. 053-20

X.xx. 2020-118


Cirkulære om aftale om tillidsrepræsentanters behandling af personoplysninger i arbejdsgivers it- systemer, herunder arbejdsgivers tekniske bistand hertil


Generelle bemærkninger

1. Skatteministeriet og Offentligt Ansattes Organisationer (Det Statslige Område), CO10, Centralorganisationen af 2010, Akademikerne og Lærernes Centralorganisation har den 4. december 2020 indgået vedlagte aftale om tillidsrepræsentanters behandling af personoplysninger i arbejdsgivers it- systemer, herunder arbejdsgivers tekniske bistand hertil.


2. Cirkulæret har virkning fra den 21. december 2020.


Skatteministeriet, Medarbejder- og Kompetencestyrelsen Den 21. december 2020

Xxxxxx Xxxxx

Tillidsrepræsentanters behandling af personoplysninger i arbejdsgivers it-systemer, herunder arbejdsgivers tekniske bistand hertil

1. Indledning

Parterne er enige om, at tillidsrepræsentanten er den centrale medarbejderrepræsentant, og at samarbejdet mellem ledelsen og medarbejderne bygger på tillidsrepræsentantinstitutionen.


Det fremgår af Aftale om tillidsrepræsentanter i staten m.v. § 10, at:


”Anvisning af fælleslokale

Institutionen skal anvise tillidsrepræsentanten et passende (fælles)lokale med adgang til telefon og it-udstyr, der kan anvendes til udførelse af tillidsrepræsentantopgaver. Hvis det på grund af særlige forhold ikke kan lade sig gøre, skal der optages drøftelse for at finde en anden løsning.”.


Nærværende aftale er udarbejdet med henblik på at understøtte parternes dataansvar i forbindelse med tillidsrepræsentanternes behandling af personoplysninger i arbejdsgivers it-systemer, som led i tillidsrepræsentant- funktionen. Aftalen sikrer, at arbejdsgiver (institutionen) yder den fornødne tekniske og sikkerhedsmæssige bistand til de faglige organisationer med henblik på at sikre håndtering af den registreredes rettigheder og sikre fortrolighed omkring den registreredes personoplysninger.


I medfør af de databeskyttelsesretlige regler gælder følgende ved tillidsrepræsentantens behandling af personoplysninger i arbejdsgivers it- systemer som led i tillidsrepræsentantfunktionen:


Den faglige organisation fastlægger formålet med behandlingen (tillidsrepræsentantfunktionen), og er dataansvarlig for behandling af personoplysninger, som sker som led i tillidsrepræsentantens varetagelse af sin funktion.


Arbejdsgivers opbevaring af personoplysninger for tillidsrepræsentanten i arbejdsgivers it-systemer – f.eks. i et e-mailsystem – udgør en behandling af personoplysninger. Arbejdsgiver har et selvstændigt dataansvar for denne behandling, som dog i langt de fleste tilfælde ikke vil forudsætte, at arbejdsgiver har en direkte eller umiddelbar adgang til oplysningerne.

Aftalen ændrer således ikke på de databeskyttelsesretlige regler.

De faglige organisationers dataansvar udøves i praksis af tillidsrepræsentanten. Det vil således alene være tillidsrepræsentanten, der har adgang til it-systemerne, uanset at det er den faglige organisation, der er dataansvarlig i forhold til tillidsrepræsentantens behandling af personoplysninger.


Aftalen regulerer dermed den behandling af personoplysninger, som tillidsrepræsentanten varetager på vegne af den faglige organisation på den enkelte arbejdsplads. Det indbyrdes forhold mellem tillidsrepræsentanten og den faglige organisation reguleres ikke i denne aftale.


Arbejdsgivers rolle består i teknisk og sikkerhedsmæssig bistand, hvor det alene er arbejdsgiver, som – på baggrund af en risikovurdering efter databeskyttelsesforordningens artikel 32 – træffer beslutning om, hvilke hjælpemidler (it-udstyr) der anvendes til behandlingen, mens den faglige organisation og tillidsrepræsentanten træffer beslutning om formålene med behandlingen. Det forudsættes, at it-udstyret teknisk og sikkerhedsmæssigt opfylder betingelserne for at behandle, herunder opbevare, såvel almindelige som følsomme personoplysninger.


Ifølge aftalen må arbejdsgiver således alene tilgå de personoplysninger, som behandles af tillidsrepræsentanten eller den faglige organisation, hvis særlige tekniske eller sikkerhedsmæssige forhold fordrer dette.


I aftalen anvendes "arbejdsgiver" som betegnelse for den statslige institution. ”Faglig organisation og tillidsrepræsentanten” anvendes som betegnelse for tillidsrepræsentantens1 udøvende funktion og den faglige organisation som dataansvarlig.


2. De registreredes rettigheder


2.1. Den faglige organisation og tillidsrepræsentanten er ansvarlig for opfyldelsen af de registreredes rettigheder, som de fremgår af databeskyttelsesforordningens kapitel III og databeskyttelseslovens §§ 22 og 23 i forhold til den behandling, som den faglige organisation og tillidsrepræsentanten er dataansvarlig for. Der henvises endvidere til Datatilsynets ”Vejledning om de registreredes rettigheder”, juli 2018 med senere ændringer.


2.2. Den faglige organisation og tillidsrepræsentanten opfylder ligeledes i medfør af denne aftale de registreredes rettigheder i forhold til arbejdsgivers opbevaring af personoplysninger, som den faglige organisation og tillidsrepræsentanten er dataansvarlig for. Derved sikres, at arbejdsgiver ikke behandler eller får adgang til



1 Omhandler endvidere fællestillidsrepræsentanter og suppleanter.

flere personoplysninger, end hvad arbejdsgivers formål med opbevaring af personoplysninger forudsætter.


2.3. Arbejdsgiveren yder teknisk bistand til den faglige organisation og tillidsrepræsentanten i det omfang, dette er relevant og nødvendigt for, at den faglige organisation og tillidsrepræsentanten kan efterleve forpligtelserne over for de registrerede.


2.4. Såfremt arbejdsgiveren modtager en henvendelse fra en registreret om oplysninger, som arbejdsgiveren må antage, at tillidsrepræsentanten behandler eller opbevarer i arbejdsgivers it-systemer som led i tillidsrepræsentant- funktionen, videresendes denne til besvarelse hos den faglige organisation og tillidsrepræsentanten uden ugrundet ophold.


2.5. Den faglige organisation og tillidsrepræsentanten behandler eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen eller databeskyttelsesloven, som den faglige organisation og tillidsrepræsentanten er ansvarlig for.


3. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen og databeskyttelsesloven


3.1. Arbejdsgiveren foretager passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der tager højde for de tekniske risici forbundet med behandlingen, jf. databeskyttelsesforordningens artikel 32.


3.2. Tillidsrepræsentanten kan behandle personoplysninger i arbejdsgivers it- systemer. Tillidsrepræsentantens anvendelse af arbejdsgiverens it-systemer sker på de generelle betingelser vedrørende sikkerhed, som arbejdsgiveren har fastsat, og som gælder for alle ansatte for så vidt de pågældende foranstaltninger er nødvendige for at beskytte datasikkerheden i arbejdsgivers it-infrastruktur, herunder i relevant omfang arbejdsgiverens generelle it-sikkerhedspolitik.


3.3. Arbejdsgiver kan som led i de almindelige beføjelser som offentlig myndighed ved afværgning af angreb på arbejdsgivers it-systemer tilgå alle dele af it-systemerne, hvis dette er påkrævet af it-sikkerhedsmæssige grunde, herunder

it-systemer, der er stillet til tillidsrepræsentantens rådighed af arbejdsgiver. Arbejdsgiver må alene tilgå de personoplysninger som tillidsrepræsentanten behandler eller opbevarer i arbejdsgivers it-systemer, som led i tillidsrepræsentantfunktionen, hvis særlige it-sikkerhedsmæssige forhold gør dette nødvendigt, således at fortroligheden, integritet og tilgængelighed ikke kompromitteres.

3.4. Tillidsrepræsentanten er omfattet af arbejdsgivers generelle it- sikkerhedspolitik.


3.5. Arbejdsgiver orienterer uden ugrundet ophold den faglige organisation og tillidsrepræsentanten, hvis afværgning af angreb på arbejdsgivers it-systemer eller særlige sikkerhedsmæssige forhold har gjort det nødvendigt at tilgå personoplysninger, som tillidsrepræsentanten behandler eller opbevarer i arbejdsgivers it-systemer som led i tillidsrepræsentantfunktionen.


3.6. Den faglige organisation og tillidsrepræsentanten orienterer uden ugrundet ophold arbejdsgiveren såfremt de bliver opmærksomme på potentielle brud på behandlingssikkerheden, der kan henføres til de tekniske eller organisatoriske foranstaltninger efter punkt 3.1.


4. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden


4.1. Den faglige organisation anmelder brud på persondatasikkerheden, som beror på den faglige organisations dataansvar efter denne aftale.


4.2. Arbejdsgiver anmelder brud på datasikkerheden, som kan henføres til tekniske eller organisatoriske foranstaltninger i forbindelse med opbevaringen af personoplysninger i arbejdsgivers it-systemer efter denne aftale, til tilsynsmyndigheden, jf. databeskyttelsesforordningens artikel 33.


4.3. Arbejdsgiver orienterer uden ugrundet ophold den faglige organisation og tillidsrepræsentanten om sikkerhedsbrud omfattet af pkt. 4.2. og om anmeldelsen heraf.


4.4. Hvis brud på datasikkerheden medfører, at arbejdsgiver fejlagtigt får adgang til de personoplysninger, som tillidsrepræsentanten behandler som led i sit hverv, skal arbejdsgiveren underrette den faglige organisation og tillidsrepræsentanten uden ugrundet ophold.


5. Underretning om brud på persondatasikkerheden til den registrerede


5.1. Den faglige organisation og tillidsrepræsentanten underretter den registrerede om brud omfattet af pkt. 4.1., jf. databeskyttelsesforordningens artikel 34. Desuden underretter den faglige organisation og tillidsrepræsentanten i henhold til denne aftale den registrerede om brud, som den faglige organisation og tillidsrepræsentanten er blevet informeret om, jf. pkt. 4.3.

5.2. Arbejdsgiveren yder teknisk bistand til den faglige organisation og tillidsrepræsentanten i det omfang, dette er relevant og nødvendigt for, at den faglige organisation og tillidsrepræsentanten kan foretage underretning af den registrerede.


6. Håndhævelse og opsigelse af aftalen


6.1. Denne aftale kan ikke gøres til genstand for sag om fortolkning eller brud, herunder med påstand om bod, i det fagretlige system.


6.2. Parterne vil i øvrigt i fællesskab bidrage til at få bilagt uenigheder i forhold til aftalen. Parterne vil i nødvendigt omfang søge vejledning/udtalelse fra Datatilsynet.


6.3. Denne aftale kan opsiges skriftligt af begge parter til bortfald med 6 måneders varsel.


København, den 4. december 2020



Akademikerne

Xxxx Xxxxxxxxxx

Skatteministeriet, Medarbejder- og Kompetencestyrelsen

Xxxxxx Xxxxxxxxxx-Xxxxxx

CO10 – Centralorganisationen af 2010

Xxxxxx Xxxxxxxxx Xxxxxx

Lærernes Centralorganisation

Xxxxxx Xxxxxx Xxxxxx


Offentligt Ansattes Organisationer (Det Statslige Område)

Xxxx Xxxxxxxxx

Document Metadata

Filed: January 18th, 2021