DATASKYDDSPOLICY Innehåll
DATASKYDDSPOLICY
Innehåll
1. Om dataskydd och vår policy 1
2. Förbundets registrering och behandling 2
3. Ändamål, laglig grund och behandlingar 3
4. Principer för behandling av personuppgifter (art. 5) 11
5. De registrerades rättigheter 12
8. Rutiner, arbetssätt och dokumentation 16
1. Om dataskydd och vår policy
Förbundets verksamhet faller under Dataskyddsförordningens regler (GDPR) och vi strävar efter en hög nivå av skydd för de personuppgifter som vi hanterar.
Vi värnar om medlemmars, förtroendevaldas, personals och övriga registrerades personliga integritet och arbetar för att dessa tryggt kan lämna sin uppgifter till oss. Vi strävar efter öppenhet kring vår hantering av dessa frågor och att samtliga behandlingar av personuppgifter ska vara ändamålsenliga och med ske i så begränsad omfattning som möjligt. Felaktiga uppgifter rättas så snart som möjligt och vi gallrar löpande information som är umbärlig.
Denna policy samlar information om förbundets organisation och hantering av dataskyddsreglerna och utgör förbundets ramverk för vår behandling av personuppgifter, enskilda fall måste alltid prövas mot gällande regler. Policyn ska därmed tillämpas av alla inom förbundet som hanterar personuppgifter inom ramen för sitt uppdrag eller sin roll.
PERSONUPPGIFT
En personuppgift är när man direkt eller indirekt utifrån en eller flera uppgifter kan identifiera en fysisk, levande person. Exempel på personuppgifter är personnummer, namn, adress, telefonnummer och mailadress.
KÄNSLIG PERSONUPPGIFT
Facklig tillhörighet är en känslig personuppgift med extra skyddsvärde. Andra känsliga personuppgifter är sådana som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt personuppgifter som rör hälsa eller sexualliv.
KATEGORIER AV REGISTRERADE
• Medlem
• Utträdda medlemmar
• Potentiella medlemmar
• Förtroendevalda medlemmar
• Anställd på Seko
• Ägare av enskild firma
• Kontaktperson hos arbetsgivare
• Övriga registrerade
KATEGORIER AV PERSONUPPGIFTER
Kategorier av personuppgifter som behandlas av förbundet är (exempel i parantes):
• Uppgifter för identifiering (namn, personnummer, medlemsnummer m.m.)
• Kontaktuppgifter (adress, e-post, telefonnummer m.m.)
• Medlemsuppgifter (tillhörighet region, klubb, klubbsektion, inträdesdatum, medlemskategori)
• Uppgifter vid förhandlingsärenden
• Utbildningar (genomgångna utbildningar, period/år)
• Uppgifter om anställningsförhållanden (arbetsgivarens namn, organisationsnummer, arbetsplats, lön)
• Bankuppgifter (bank, kontonummer om du väljer autogiro, t.ex.)
• Reskontra (inbetalda avgifter, påminnelser, obetalda fakturor)
• Uppgifter om förtroendeuppdrag (tidsperiod, uppdrag, utbildningar)
• Uppgifter i samband med anställning på förbundet
• Bilder på anställda och förtroendevalda
INSAMLING AV PERSONUPPGIFTER
Nedan redovisas hur vi samlar in de personuppgifterna vi behandlar. Vi strävar alltid efter att endast insamla de uppgifter vi behöver för ändamålet med behandlingen, se nedan under avsnitt Ändamål, laglig grund och behandlingar.
Medlem och utträdda medlemmar
• Medlem lämnar själv uppgifter (via medlemsansökan, Xxxx sidor på xxxx.xx och löpande under medlemstiden vid kontakt med förbundet)
• Utbyte av information med din arbetsgivare, arbetsgivarorganisationer
• Uppgifter från Skatteverkets folkbokföringsregister (SPAR)
• Potentiella medlemmar
Potentiella medlemmar
• Medlem lämnar själv uppgifter (via avbruten medlemsansökan)
Förtroendevalda medlemmar
• Medlemsuppgifter finns redan registrerat, se medlem ovan
• Uppdrag meddelas av lokal facklig organisation eller skyddsorganisation
Anställd på Seko
• Anställd lämnar själv uppgifter (anställningsavtal och via personaladministrationssystemet)
Ägare av enskild firma och kontaktperson hos arbetsgivare
• Individen lämnar själv uppgifter (vid tecknande av kollektivavtal)
• Uppgifter från arbetsgivarorganisation
• Uppgifter från Bolagsregistret (Infotorg)
Övriga registrerade
• Individen lämnar själv uppgifter
GALLRING AV PERSONUPPGIFTER
De uppgifter vi samlar in sparas endast så länge det är nödvändigt utifrån syftet med behandlingen. Hur lång tid detta är varierar mellan de olika behandlingarna.
Dokumenthanteringsplan
I förbundets dokumenthanteringsplan går att utläsa vilka typer av handlingar, med och utan personuppgifter, som hanteras inom ramen för hela förbundets verksamhet. Här framgår vad som ska arkiveras och när underlag ska gallras.
3. Ändamål, laglig grund och behandlingar
Ändamål: Medlemsregister
Laglig grund
Laglig grund: 6 b och 9 d om det innebär hantering av känslig personuppgift
Behandlingen är nödvändigt för att Seko ska kunna fullgöra avtalet, medlemskapet i organisationen, i förhållande till sina medlemmar, art. 6 b i förordningen. Att upprätthålla medlemsregistret är också en berättigad verksamhet hos Seko i förhållande till syftet att kunna fullgöra sina uppgifter som facklig organisation, art. 9 d.
För att komma åt medlemsregistret krävs inloggning i ett särskilt system. För personer med skyddad identitet är åtkomsten begränsad.
Om uppgifterna inte behandlas kan Xxxx inte fullgöra sina skyldigheter i förhållande till sina medlemmar och de kan därför inte vara medlemmar i förbundet.
Behandlingar
• Administration inträden och utträden
• Administration medlemsavgift
• Registervård
• Statistik
Ändamål: Medlemsservice
Laglig grund
Laglig grund: art. 6 b och 9 d om det innebär hantering av känslig personuppgift
Behandlingen är nödvändigt för att Xxxx ska kunna ge sina medlemmar den service som ingår i medlemskapet, art. 6 b i förordningen. I de fall denna behandling innebär att så kallade känsliga personuppgifter behandlas, t.ex. uppgifter om facklig tillhörighet, är behandlingen berättigad i förhållande till syftet att fullgöra skyldigheterna som facklig organisation, art. 9 d.
Om uppgifterna inte behandlas kan Xxxx inte fullgöra sina skyldigheter i förhållande till sina medlemmar och de kan därför inte vara medlemmar i förbundet.
BEHANDLINGAR
• Rådgivning
• Organisering
• Medlemsmöten
• Information
• Statistik
Ändamål: Samverkan med A-kassa
Laglig grund
Laglig grund: Artikel 6 b och 9 d
Behandlingen är nödvändigt för att Seko ska kunna fullgöra avtalet, medlemskapet i organisationen, i förhållande till sina medlemmar, art. 6 b i förordningen. Att leverera medlemsfömåner är också en berättigad verksamhet hos Seko i förhållande till syftet att kunna fullgöra sina uppgifter som facklig organisation, art. 9 d. I de fall uppgifter lämnas utanför förbundet, se villkor för medlemskap.
Ändamål: Studier
Utbildning för medlemmar och förtroendevalda.
Laglig grund
• Intern utbildning, laglig grund: 6 f
• Tvärfackliga utbildningar: 9 a
• Ledighet för facklig utbildning: 6 c (förtroendemannalagen) och/eller 9 b
Fackliga studier har länge utgjort en central del i den fackliga verksamheten. Att organisera facklig och facklig-politisk utbildning är nödvändigt för att Xxxx ska kunna värna sina medlemmars intressen. Om uppgifterna inte får behandlas kan utbildning inte tillhandahållas för medlemmen.
När uppgifter om deltagare delas med t.ex. andra kursdeltagare eller när kursgård får uppgifter om specialkost för viss angiven kursdeltagare inhämtas samtycke, art. 9 a. Enklast är att inhämta samtycke i samband med anmälan till utbildningen.
Behandling
• Administrering studier
• Lokal- och resebokning
• Kommunikation med arbetsgivare vid facklig utbildning
• Register över genomförd utbildning
• Individuella studieplaner
• Administration och organisering av utbildning för ickemedlemmar
• Bistår LO med administration deltagare i utbildning
• Administration av stödberättigad utbildning i förhållande till ABF
• Statistik
Ändamål: Medlemsförmåner
Laglig grund
Laglig grund: Artikel 6 b och 9 d
Behandlingen är nödvändigt för att Seko ska kunna fullgöra avtalet, medlemskapet i organisationen, i förhållande till sina medlemmar, art. 6 b i förordningen. Att leverera medlemsförmåner är också en berättigad verksamhet hos Seko i förhållande till syftet att kunna fullgöra sina uppgifter som facklig organisation, art. 9 d. I de fall uppgifter lämnas utanför förbundet, se villkor för medlemskap.
Behandling
• Folksam
• Help
• LO-mervärde
Ändamål: Kommunikation
Kommunikation med medlemmar, förtroendevalda och allmänhet.
Laglig grund
Information, såvida det inte anses vara journalistisk verksamhet: 6 f. Bilder: 6 a
Allmän intern och extern kommunikation av olika slag är en nödvändighet för att Seko effektivt ska kunna bedriva sin verksamhet, dvs. har ett berättigat ändamål.
Om uppgifterna inte behandlas skulle Xxxx inte kunna bedriva sin verksamhet.
Det bör finnas samtycke för publicering av kontaktuppgifter till andra än förtroendevalda.
Behandlingar
• Informationsutskick
• Sociala medier
• Webbsida
• Intranät
• Extranät
• Filmer
• Bilder
• Mediehantering
• Enkäter
• Statistik
Ändamål: Att teckna kollektivavtal och upprätthålla avtalsregister
Register över vem som har kollektivavtal innehåller endast personuppgifter i den mån det rör sig om enskilda firmor där organisationsnumret är detsamma som personnumret och när vi registrerat t.ex. kontaktpersoner eller firmatecknare hos företagen.
Laglig grund
Laglig grund, 6 b när det gäller enskilda firmor och 6 c när det gäller kontaktpersoner/firmatecknare.
6 b) Registrering och hantering av enskilda firmors organisationsnummer är nödvändig för att ett sådant bolag ska kunna teckna kollektivavtal med Seko. Behandling av organisationsnumret krävs för att Seko ska kunna säkerställa identiteten på bolaget.
Om uppgifterna inte behandlades skulle ett sådant företag inte kunna teckna hängavtal med Seko.
6 c) För att Xxxx ska kunna fullgöra sina förpliktelser enligt kollektivavtal och arbetsrättslig lagstiftning är det nödvändigt för organisationen att behandla uppgifter om kontaktpersoner hos företagen.
Om uppgifterna inte behandlas skulle kollektivavtal inte kunna ingås med Seko.
Behandling
• Administrera och hantera nödvändiga dokument inför avtalsteckning
• Registrering och avregistrering av företag med hängavtal
• Registrering och avregistrering av företag som är medlemmar i en arbetsgivarorganisation
• Vård av register om företag med kollektivavtal och enskilda näringsidkare som ska finnas på UE- listor. Registret innehåller även uppgifter om företaget går i konkurs.
• Hantering av serviceavgifter för hängavtalsbundna företag.
• Gränsdragningsfrågor
• Administration och registrering av arbetsplatsanmälan
• Statistikhantering
Ändamål: Förhandlingsverksamhet
Förhandlingar och tillhörande verksamhet.
Laglig grund
• Förhandlingar: 6 c, 9 b
• Domstolsärenden: 9 f
Att behandla personuppgifter i samband med förhandlingar om avtal eller vid tvister mellan arbetstagare och arbetsgivare är nödvändigt för att Xxxx ska kunna fullgöra sina förpliktelser enligt arbetsrättslig lag och kollektivavtal. För att granska om en arbetsgivare följer kollektivavtal även i förhållande till ickemedlemmar, vilket den har en skyldighet att göra, kan även uppgifter om ickemedlemmar behandlas.
I förhandlingar och tvister förekommer regelmässigt känsliga personuppgifter i form av uppgift om facklig medlemskap. Detta är en nödvändig uppgift för att Xxxx ska kunna förhandla för sina medlemmars räkning enligt skyldigheter i arbetsrättslig lag och avtal. Även andra känsliga personuppgifter som t.ex. uppgifter om hälsa behandlas i det fall det är nödvändigt för att medlemmens rättigheter enligt kollektivavtal och arbetsrättslig lagstiftning ska kunna omhändertas.
Om uppgifterna inte behandlas kan Xxxx inte fullgöra sina skyldigheter i förhållande till sina medlemmar och de kan därför inte vara medlemmar i förbundet.
BEHANDLINGAR
• Arbetsplatsbesök
• Rådgivning
• Domstolsärenden
• Avtalsförhandlingar
• Löneförhandlingar
• Medbestämmandeförhandlingar
• Dispenshantering
• Individärenden
• Granskning av efterlevnad av kollektivavtal
• Delgivning
• Service till hängavtalsbundna arbetsgivare
• Utbildning och information
• Avtalsregister
• Statistik
Ändamål: Konflikthantering
Laglig grund
Laglig grund: 6 b
Att behandla personuppgifter i samband med strejker och konflikter är nödvändigt för att Xxxx ska kunna fullgöra sina förpliktelser i enlighet med medbestämmandelagen. Personuppgiftsbehandling för att betala ut konfliktersättning till medlemmar som deltagit i en konflikt är nödvändigt för att Xxxx ska kunna fullgöra avtalet, medlemskapet i Seko, med medlemmen, och för att medlemmen ska kunna begära och få sin konfliktersättning.
Om uppgifterna inte behandlas kan Xxxx inte fullgöra sina uppgifter som fackförening.
Behandling
• Konfliktersättning
• Statistik
Ändamål: Arbetsmiljö
Regionala skyddsombud med tillhörande verksamhet.
Laglig grund
Laglig grund: 6 c
Arbetsmiljölagen styr denna verksamhet.
Behandlingar
• Skyddsronder
• Skyddsstopp
Ändamål: Försäkringsärenden
Försäkringsärenden, arbetsskadeärenden och rehabiliteringsärenden.
Laglig grund
Laglig grund, art. 6 c, art. 9 b
Behandlingen är nödvändigt för att Xxxx ska kunna fullgöra en rättslig förpliktelse, i det här fallet företräda medlemmarna i försäkringsärenden, arbetsskadeärenden och rehabiliteringsärenden enligt lag, kollektivavtal, art. 6 c. Behandlingen är också nödvändig för att Xxxx ska kunna företräda sina medlemmar och andra förmånstagare (deras familjer) enligt gällande kollektivavtal och lagar, art. 9 b.
Om behandling inte skulle ske skulle Xxxx inte kunna företräda sina medlemmar och deras familjer i försäkringsärenden.
Behandling
• Handläggning av rehabiliteringsärenden, försäkringsärenden och arbetsskadeärenden
• Statistik
Ändamål: Organisation
Förtroendevald inom organisationen (den demokratiska organisationen), interna organisatoriska frågor samt Sekos bolag, stiftelser och fastigheter.
Laglig grund
Laglig grund: 6 f
Behandlingen är nödvändig och berättigad för att Seko ska kunna fungera, driva och hantera de uppdrag den har som facklig och demokratisk organisation och upprätthålla sin organisation och bolag.
För hantering och administrering av kulturstipendiet inhämtas samtycke av de som söker stipendiet, 6 a. Internationellt samarbete, 6b.
Om behandlingen inte kan ske kan Xxxx inte fungera som facklig och demokratisk organisation.
Behandlingar
• Administrering och hantering av regioner, klubbar, sektioner, bransch- och förhandlingsorganisationer
• Register över ansvarsfördelning inom organisationen
• Intern ärendehantering, ärenden som initieras inom organisationen.
• Uppföljning av stadgar (uteslutande av medlemmar, klagomål)
• Utseende av medverkan i olika arbetsgrupper och administrering av arbetsgrupper
• Administration av interna möten
• Fackligt-politiskt arbete
• Tvärfackligt arbete
• Administrering och hantering av Sekos bolag, stiftelser och fastigheter
• Administrering och hantering av uppdrag i sidoorganisationer
• Administration ekonomi
• Administrering av stipendier
• Administrering av internationell verksamhet
• Samarbete med internationella organisationer
• Statistikhantering
Ändamål: Fackliga förtroendemän
Förtroendeuppdrag hos arbetsgivare eller arbetsplats.
Laglig grund
Laglig grund, art. 6 c
Behandlingen är nödvändigt för att Seko ska kunna fullgöra en rättslig förpliktelse, i det här fallet utse fackliga förtroendevalda enligt regleringen i MBL och FML. Att acceptera ett fackligt förtroendeuppdrag innebär samtidigt att den förtroendevalda på ett tydligt sätt själv har valt att offentliggöra sitt fackliga medlemskap, art. 9 f.
Om uppgifterna inte behandlas kan Xxxx inte fullgöra sina skyldigheter i förhållande till lagstiftningen och man kan inte vara facklig förtroendevald.
Behandlingar
• Utseende av uppdrag som förtroendevald
• Avslutande av uppdrag som förtroendevald
• Administrering av register över medlemmar med förtroendeuppdrag
• Information förtroendevalda
• Intern och extern information om vem som utsetts till förtroendevald
• Vård av förtroendevalda
• Statistikhantering
Ändamål: Personal
Laglig grund
Seko som arbetsgivare, art. 6 b och 9 b.
Behandlingen är nödvändig för att Seko ska kunna fullgöra de förpliktelser som åligger arbetsgivaren Xxxx i anställningsavtalen med sina anställda, art. 6 b i förordningen. I den mån känsliga personuppgifter hanteras, vilket sker när det är nödvändigt att behandla uppgifter om t.ex. facklig tillhörighet och hälsa, är behandlingen nödvändig för att Seko som arbetsgivare ska kunna fullgöra sina skyldigheter och rättigheter enligt arbetsrätten och kollektivavtalet. Vissa uppgifter behandlas också för att Xxxx har en rättslig förpliktelse att behandla uppgifter, t.ex. lämna uppgifter till olika myndigheter, 6 c och 9 b.
Om uppgifterna inte får behandlas kan anställning inte ingås med förbundet.
Behandling
• Rekrytering
• Administration kring ingående och avslutande av anställning
• Personaladministration
(medarbetarsamtal, tjänstgöringsintyg, frånvaro, arbetsgivarintyg, sjukanmälan, semester)
• Löneadministration
• Personalförmåner
• Arbetsverktyg (nycklar, IT, mobiltelefon, arbetsglasögon)
• Företagshälsovård
• Lönekartläggning
• Rehabilitering
• Pensionshantering
• Försäkringshantering
• Personalfrämjande aktiviteter och åtgärder
• Enkäter och undersökningar
• Kontaktuppgifter publiceras på intranät och webbsida
• Personalinformation
• Facklig samverkan
• Protokoll från överläggning och förhandlingar
• Register över vilka utbildningar anställda har genomgått
• Biljettbokning
• Administration av förmånsbilar
• Hantering av stöd från Arbetsförmedlingen vid anställning
• Trängselskatt för tjänsteresor
• Administrering av behörigheter för system
• Lägenhetsförteckning
• Statistik
Ändamål: Ekonomi
In- och utbetalningar samt bokföring.
Laglig grund
Laglig grund: 6 b (anställningsavtal) och 6 c (lag, kollektivavtal)
Behandling
• Inbetalning
• Utbetalning
• Bokföring
• Revision
• Lön
• Avdrag
Ändamål: IT
Laglig grund
Administration av system, behörigheter.
Behandlingar
• Registrera behörighet i system
Ändamål: Övrigt
Samråd med offentliga myndigheter, t.ex. yttranden som begärs av Arbetsförmedlingen och Migrationsverket.
Laglig grund
Laglig grund, art. 6 c. Att hantera begära om yttranden från Migrationsverket och Arbetsförmedlingen är en rättslig skyldighet och Xxxx måste fullgöra enligt lag.
Behandlingar
• Hantering av samrådsärenden och förfrågan om yttrande från myndigheter
• Administration av offentligfinansierade projekt
4. Principer för behandling av personuppgifter (art. 5)
Begreppet behandling är brett och omfattar allt man gör med personuppgifter, som läsning, insamling, registrering, lagring, utskrift och spridning. All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen, se nedan.
Laglighet, korrekthet och öppenhet
Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
• Endast tillåtna behandlingar, se avsnitt om laglig grund
• Säkerställande att personuppgifter är korrekta
• Tydlig information till de registrerade om vår behandling
Ändamålsbegränsning
De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett annat sätt.
• Endast uppgifter som krävs för den fackliga verksamheten söks fram
• Underlag och listor gallras när uppgift är slutförd
• Uppgifter får inte samlas in eller sparas för att de ”kan vara bra att ha”
Uppgiftsminimering
De ska vara adekvata, relevanta och inte för omfattande.
• Endast behandling av de uppgifter som är nödvändiga för en viss uppgift
• Undvik att använda personnummer, referera hellre till medlemsnummer eller födelsedatum
• Sprid inte personuppgifter till en större krets än nödvändigt
Korrekthet
De ska vara korrekta och aktuella.
• Förbundet arbetar systematiskt med att hålla hög kvalitet i medlemsregistret
• Vi använder endast aktuella listor, redan nästa dag kan någon begärt utträde eller ändrat adress.
Lagringsminimering
De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än nödvändigt.
• System och andra register ska gallras löpande
• Gallring sker enligt förbundets dokumenthanteringsplan
Integritet och konfidentialitet
Personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.
• Säkra system med säker inloggning och lagring
• Återhållsamma rutiner för behörighet
• Rutiner som säkerställer skydd för integritet
Ansvarsskyldighet
Den personuppgiftsansvarige ansvarar för och ska kunna visa att principerna efterlevs.
• Skriftliga rutiner för hur vi behandlar personuppgifter inom förbundet
• Kontroll av att förbundets delar och biträden efterlever dessa rutiner
5. De registrerades rättigheter
Samtliga registrerade, som medlemmar, förtroendevalda eller personal, har ett antal rättigheter med anledning av Dataskyddsförordningen.
• Medlemmar och förtroendevalda åberopar dessa rättigheter på Mina sidor på xxx.xxxx.xx om inget annat anges nedan
• Personal kontaktar förbundets personalchef om inget annat anges nedan
• Övriga registrerade hänvisas till xxxx@xxxx.xx
Rätt till information
Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form och med ett tydligt och enkelt språk.
• Information om vilka kategorier av personuppgifter som behandlas
• Information om mina uppgifter lämnas vidare samt hur och till vem
• Information om hur länge uppgifter lagras
• Information om automatiserade beslut
• Information om personuppgifterna överförs till tredje land eller internationell organisation
Information om behandling av medlemmars, förtroendevalda, rekryters samt övriga registrerades personuppgifter finns samlat på Sekos webbplats: xxx.xxxx.xx/xxxxxxxxxxxxxxx
Information om behandling av personals personuppgifter finns på Seko:s intranät.
Rätt till rättelse
Rätt att få felaktiga uppgifter rättade.
• Medlemmar kan ta del av och rätta en stor del uppgifter på Mina sidor på xxx.xxxx.xx samt skicka en begäran om rättelse via formulär på Mina sidor.
• Personal kan rätta en stor del uppgifter i personalsystemet Agda. Vid övrig rättelse kontaktas personalchef.
Rätt att bli glömd
Efter avslutad anställning i förbundet eller efter avslutat medlemskap kan person begära att bli glömd och få sina uppgifter raderade. Om det inte av annan lagstiftning kräver att vi sparar dem (exempelvis bokföringslagen) har vi en skyldighet att genomföra en radering av uppgifter i digitala system och register.
Rätt till begränsning av behandling
Enskilda har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.
Dataportabilitet
Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i ett annat fackförbund.
• Projekt: ny övergångsdatabas inom LO
Rätten att göra invändningar
Rätt att invända mot den personuppgiftsansvariges behandling av dennes personuppgifter i de fall vår lagliga grund utgörs av intresseavvägning, se avsnitt om laglig grund. Fortsatt behandling får då endast ske om det finns tvingande berättigande skäl.
En enskild har rätt att invända mot direkt marknadsföring, då ska denna upphöra omgående.
Rätten att inte omfattas av profilering
Den enskilde har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.
Med profilering avses skiktning eller kategorisering av personer, baserad på de registrerades personuppgifter.
Rätt till registerutdrag
Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna.
• Registerutdrag tillhandahålls i digital form så långt som möjligt
• Av registerutdraget framgår registrerade personuppgifter, varifrån dessa kommer, ändamål med behandlingen, kategorier av mottagare om uppgifterna lämnats ut
• Registerutdrag hanteras skyndsamt och lämnas som huvudregel ut inom 30 dagar från begäran
• Vid kopior erläggs en administrativ avgift av den registrerade
Rätt att klaga till Datainspektionen
Om du anser att vi förfarit felaktigt i fråga om dina personuppgifter har du även rätt att vända dig med klagomål till Datainspektionen som är tillsynsmyndighet för dataskyddsfrågor i Sverige.
Kontaktuppgifter dataskyddsombud
Xxx Xxxxxx
E-post: xxxxxxxxx@xxxxx0x.xx Tfn: 000-000 00 00
Nedan specificeras fördelningen av uppgifter mellan förbundets organisatoriska delar.
PERSONUPPGIFTSANSVAR
Förbundet centralt i ledning av förbundsstyrelsen är ensamt personuppgiftsansvarig för samtliga förbundets behandlingar av personuppgifter. I förbundet ingår förbundskontor, regioner och klubbar. Bolag, stiftelser och andra juridiska personer som inte utgör klubbar omfattas inte i förbundet i detta avseende.
Förbundsstyrelsen
VU
Dataskydds-
ombud
Enhet
i ledning av enhetschef
Sakkunnig
Xxxxx Xxxxxxx
Anställda och
förtroendevalda
Förbundsstyrelse och verkställande utskott
• Fastställa förbundsgemensamma rutiner för behandling av personuppgifter
• Säkerställa att personal och förtroendevalda har tillgång till gällande rutiner och utbildningsmaterial
• Ansvar för dataskyddsorganisationen inom förbundet, inkluderat dataskyddsombud
Enhet, i ledning av enhetschef
• Efterleva de rutiner som förbundsstyrelsen fastslår
• Ansvar för enhetens behandlingar i behandlingsregistret
• Säkerställa att det finns skriftliga rutiner för de behandlingar som sker inom enheten verksamhet
• Initiera risk- och konsekvensbedömningar vid nya behandlingar och när så krävs
• Utarbeta personuppgiftsbiträdesavtal i enlighet med gällande rutin för enhetens eventuella personuppgiftsbiträden
• Förstå och efterleva förbundets Dokumenthanteringsplan
• Följa upp att personalen efterlever gällande rutiner
• Rapportera eventuella personuppgiftsincidenter
De enheter och tillhörande chefer som avses är: VU-kansli, Förhandlingsenheten (inkluderat lokalkontor), Organisationsenheten, HR, Internationella enheten samt Seko sjöfolk.
Sakkunnig
• Kalla samman enhetschefer samt representant för lokalkontor med viss regelbundenhet för information om eventuella nyheter samt erfarenhetsutbyte
• Stöd till enhetschefer vid årlig revidering av behandlingsregistret
• Initiera gallringsdag vid behov
Region, klubb, förhandlings- och branschorganisation
• Efterleva de rutiner som förbundsstyrelsen fastslår
• Initiera risk- och konsekvensbedömningar vid nya behandlingar och när så krävs
• Rapportera eventuella personuppgiftsincidenter
Dataskyddsombud
• Rapporterar till förbundsstyrelse
• Ge råd till förbundet i dataskyddsfrågor
• Granska förbundets efterlevnad av dataskyddsreglerna
ÅRLIG UPPFÖLJNING AV DATASKYDDSORGANISATIONEN
Ledningen har att årligen initiera en årlig uppföljning av dataskyddsorganisationen. I denna ingår alltid nedan angivna punkter.
• Översyn rutin personuppgiftsincident
• Revidering behandlingsregister
• Översyn utbildningsmaterial personal & förtroendevalda
• Kontroll av biträdens efterlevnad av PuB-avtal och Dataskyddsregler
SEKOS A-KASSA OCH FASAB AB
A-kassan och Fasab utgör egna organisationer med ett eget personuppgiftsansvar och ska behandlas som övriga leverantörer ur dataskyddsperspektiv.
Förbundet använder ett antal leverantörer för att kunna uppfylla alla åtaganden gentemot framför allt medlemmar och anställda. Dessa utgörs bland annat av banker och försäkringsbolag men även bolag som hjälper förbundet med administrativa uppgifter eller att leverera särskilda anställnings- eller medlemsförmåner. Se detaljer om behandlingarna i avsnitt Ändamål, laglig grund och behandlingar.
PERSONUPPGIFTSBITRÄDEN
Om Seko ger någon annan i uppgift att utföra behandling av personuppgifter för förbundets räkning blir denne ett så kallat personuppgiftsbiträde.
INSTRUKTIONER OCH AVTAL MED PERSONUPPGIFTSBITRÄDEN
Förbundet ska ger personuppgiftsbiträden tydliga instruktioner om hur behandling ska ske och som utgångspunkt tecknas ett personuppgiftsbiträdesavtal som noggrant reglerar dessa frågor. Förbundet har en särskild mall och rutin för hur och när dessa avtal ska tecknas.
I de fall där leverantören inte själv är personuppgiftsansvarig för behandlingarna behöver personuppgiftsbiträdesavtal inte tecknas. I dessa övervägs alltid om ett så kallat överföringsavtal ska tecknas för att säkerställa att överföringen av personuppgifterna sker på ett fullgott sätt.
RUTIN OCH MALL
Majoriteten av förbundets personuppgiftsbiträden tecknar avtal direkt med förbundet. Undantagsvis används dock lokala leverantörer som har affärsavtal med lokal facklig verksamhet.
Personuppgiftsbiträdesavtalen utarbetas i enlighet med förbundets rutin av den enhet eller lokal facklig organisation som ansvarar för den verksamhet som avses i berört affärsavtal. Avtalen signeras alltid av förbundsledningen eller i enlighet med gällande delegationsordning.
8. Rutiner, arbetssätt och dokumentation
Nedan redogörs för de övergripande principerna för behandling av personuppgifter inom förbundet.
SKRIFTLIGA RUTINER OCH INSTRUKTIONER
Förbundet har skriftliga rutiner för all behandling av personuppgifter. Dessa finns tillgängliga för de som ska behandla
Personal
Rutiner publiceras på intranätet.
Förtroendevalda
Rutiner publiceras på xxx.xxxx.xx/xxxx.
Personuppgiftsbiträden
Eventuella biträden ges tydliga instruktioner i samband med ingående av avtal.
Underlag
Material och underlag, behandlingsregister finns samlat och tillgängliggörs vid behov genom en förfrågan till förbundet.
UTBILDNING
Personal
Nyanställd personal genomgår avsett utbildningsmaterial om Dataskyddsregleringen och förbundets rutiner.
Förtroendevalda
Xxxxxxx förtroendevalda genomgår avsett utbildningsmaterial om Dataskyddsreglering och förbundets rutiner.
INFORMATIONSSÄKERHET
Behörigheter
Behörigheter och åtkomst till förbundets fysiska lokaler och arbetsverktyg så väl som till digitala verktyg som IT-system ska alltid tilldelas medvetet, återhållsamt och enligt skriftliga rutiner.
Förtroendevalda har endast tillgång till uppgifter om medlemmar i sin lokala fackliga organisation. Anställda i förbundet har tillgång till de uppgifter som krävs för utförande av tjänst. Anställda i Seko Sjöfolk behandlas i detta avseende på samma sätt som övriga anställda i förbundet.
Eventuella biträden som har tillgång till system tilldelas endast de behörigheter som krävs för att de ska kunna fullgöra sina uppgifter. Förbundet säkerställer även tydliga skriftliga instruktioner, personuppgiftsbiträdesavtal samt kontroll av efterlevnad av dessa.
Teknik och system
Förbundet centralt upphandlar de system som ska användas för behandling av personuppgifter inom ramen för organisationen och säkerställer att det finns skriftliga rutiner för hur dessa ska användas.
• Förbundet använder endast centralt upphandlade servrar och molntjänster (samarbetsrum) vid bearbetning av personuppgifter
MEDLEMSTIDNINGAR OCH LOKAL FACKLIG INFORMATION
Klubbar, regioner eller branschorganisationer som har medlemstidningar eller medlemsbrev och andra tryckta produkter som är att betrakta som journalistiska, så kallade periodiska tidsskrifter, som utges minst fyra gånger per ska ansöka om utgivningsbevis hos Patent- och registreringsverket (PRV). Dessa omfattas då av tryckfrihetsförordningens regler gällande behandling av personuppgifter.
Andra typer av informationsmaterial, som informationsblad på en anslagstavla eller informationsbroschyrer, omfattas inte av tryckfrihetsförordningen och behandling av personuppgifter ska ske i enlighet med denna policy och förbundets övriga rutiner gällande personuppgifter.
SOCIALA MEDIA
Se separat policy för förbundets hantering av sociala media.