Konsekvensbedömning avseende dataskydd Fysioterapeuterna Distrikt Västernorrland
|
|
Konsekvensbedömning avseende dataskydd
2019-12-03
Fysioterapeuterna Distrikt Västernorrland
Enligt Europaparlamentets och rådets förordning 2016/679 (dataskyddsförordningen) krävs en konsekvensbedömning avseende dataskydd i fall där den personuppgiftsansvarige i stor omfattning behandlar så kallade känsliga personuppgifter. Till känsliga personuppgifter räknas bland annat medlemskap i fackförening.
Mellan Fysioterapeuterna och Distrikt Västernorrland (nedan kallat Distriktet) har ett datadelningsavtal tecknats daterat 2019-03-04. Denna konsekvensbedömning redogör för de personuppgiftsbehandlingar som utförs av Distriktet som personuppgiftsansvarig utifrån de riktlinjer som sammanställts av Datainspektionen och av Artikel 29-Arbetsgruppen för skydd av personuppgifter1. Syftet med konsekvensbedömningen är att analysera vilka risker Distriktets behandlingar av personuppgifter kan komma att aktualisera och ta fram rutiner och åtgärder för att dessa risker inte ska uppstå. Processen dokumenteras och utvärderas kontinuerligt för att säkerställa att Distriktet uppfyller kraven i dataskyddsförordningen.
Vad gäller frågan om medverkan från berörda parter har Distriktet bedömt att det inte är praktiskt möjligt att inhämta synpunkter avseende Distriktets behandlingar av personuppgifter från samtliga medlemmar i distriktet.
Innehåll
1 Behandlingar inom ramen för medlemsregistret 3
1.1 Administration av medlemskap 3
1.1.1 Systematisk beskrivning av den planerade behandlingen och dess syften 3
1.1.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 3
1.1.3 Risker för de registrerades fri- och rättigheter 4
1.1.4 Åtgärder för riskhantering 4
1.2 Behandlingar av uppgifter i individärenden 4
1.2.1 Systematisk beskrivning av den planerade behandlingen och dess syften 5
1.2.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 5
1.2.3 Risker för de registrerades fri- och rättigheter 6
1.2.4 Åtgärder för riskhantering 6
1.3.1 Systematisk beskrivning av den planerade behandlingen och dess syften 7
1.3.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 7
1.3.3 Risker för de registrerades fri- och rättigheter 8
1.3.4 Åtgärder för riskhantering 8
1.4 Distriktets behandling av vissa medlemsuppgifter i förbundets centrala medlemsregister 9
1.4.1 Systematisk beskrivning av planerad behandling och dess syften 9
1.4.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 9
1.4.3 Risker för de registrerades rättigheter och friheter 10
1.5 Utbildningar, kurser och seminarier 11
1.5.1 Systematisk beskrivning av planerad behandling och dess syften 12
1.5.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 12
1.5.3 Risker för de registrerades rättigheter och friheter 13
1.5.4 Åtgärder för riskhantering 13
2 Behandling av uppgifter om förtroendevalda och andra funktionärer 14
2.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 15
2.3 Risker för de registrerades rättigheter och friheter 15
2.4 Åtgärder för riskhantering 15
3 När personuppgifter lämnas ut till eller hämtas från tredje part 16
3.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte 16
3.3 Risker för de registrerades rättigheter och friheter 16
1 Behandlingar inom ramen för medlemsregistret
Fysioterapeuternas verksamhetssystem (i grunden ett Microsoft CRM Dynamics) är ett verktyg för att bland annat hantera förbundets medlemsregister och ärendehanteringssystem. Mysoft AB tillhandahåller verksamhetssystemet, inklusive ett Records Management System (RMS), och agerar därmed som biträde åt Fysioterapeuterna. I systemet lagras bland annat namn och personnummer, kontakt-, anställnings och kontouppgifter. RMS används för att hantera
Fysioterapeuternas personuppgifter under alla delar av dessa uppgifters livscykler. Detta innebär att uppgifterna, inom ramen för systemet, bland annat registreras, lagras, uppdateras, minimeras och raderas.
I sin verksamhet behandlar Fysioterapeuterna så kallade särskilda kategorier av personuppgifter, vilket ställer höga krav på behandlingen, bland annat vad gäller laglig grund. Fysioterapeuterna behandlar särskilda kategorier av personpersonuppgifter i första hand med stöd av artikel 9.2 d dataskyddsförordningen.
Distriktet kan via RMS administrera vissa delar av medlemmars uppgifter.
1.1 Administration av medlemskap
1.1.1 Systematisk beskrivning av den planerade behandlingen och dess syften
Fysioterapeuterna kommer att använda de uppgifter som lämnats av förbundets medlemmar för att administrera dessa personers medlemskap i förbundet.
Distriktet har behörighet att ändra medlemmars angivna arbetsplats/arbetsställe/arbetsgivare samt kontaktuppgifterna telefonnummer och e-mailadress med syfte att kunna bistå medlemmen inom ramen för kollektivavtal.
1.1.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
Behandlingen är nödvändig för att Distriktet ska kunna uppfylla sina åtaganden enligt medlemskapsavtalet och arbetsrätten. Distriktet har vidare ett berättigat intresse av att kunna sortera medlemmarna utifrån arbetsgivare och arbetsmarknadssektor.
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Uppgifterna tas emot och registreras samt uppdateras utifrån särskilda, uttryckligt angivna ändamål och behandlas inte senare på ett sätt som är oförenligt med dessa. Den lagliga grunden är fullgörande av avtal till vilken den registrerade är part (artikel 6.1 b) och vidare att behandlingen sker inom ramen för förbundets berättigade verksamhet (artikel 9.2 d). Uppgifterna lagras endast så länge som de behövs för att uppfylla ändamålen med behandlingen.
Åtgärder som stärker de registrerades rättigheter
I samband med ansökan om medlemskap ges berörda personer information om Fysioterapeuternas policy för personuppgiftsbehandling. Policyn finns tillgänglig för alla på förbundets webbplats. Av personuppgiftspolicyn framgår hur Fysioterapeuterna behandlar personuppgifter. Policyn berör vidare de registrerades rättigheter enligt dataskyddsförordningen samt när Distriktet kan komma att lämna ut (eller hämta in) medlemmens personuppgifter till (från) tredje part. Av dokumentet framgår också hur en person kan göra en anmälan till Datainspektionen.
Distriktet överför inte några personuppgifter till länder utanför EU/EES.
1.1.3 Risker för de registrerades fri- och rättigheter
De största riskerna med ett medlemsregister är att obehöriga får åtkomst till systemet samt att uppgifterna på ett oönskat sätt ändras eller försvinner.
När obehöriga får tillgång till systemet finns en risk för att en persons fackliga tillhörighet avslöjas. I värsta fall kan detta leda till ofördelaktig behandling och diskriminering på arbetsplatsen. En annan risk kan vara att Distriktet sparar felaktiga eller, för ändamålet, alltför omfattande uppgifter.
De ovannämnda riskerna kan uppstå om Fysioterapeuternas medlemsregister utsätts för ett hackningsförsök, om den registrerade blir av med sina inloggningsuppgifter eller lämnar ut dessa till obehöriga eller om fel uppgifter registreras i systemet. Vidare uppstår risken om inte systemet uppdateras och om Fysioterapeuterna missar att uppgifts- och lagringsminimera.
1.1.4 Åtgärder för riskhantering
Fysioterapeuterna upprätthåller lämplig säkerhet för personuppuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling, förlust, förstöring och skada. Säkerheten upprätthålls med hjälp av organisatoriska och tekniska åtgärder, som utbildning för anställda som arbetar i systemet, tydliga instruktioner för dem som hanterar personuppgifter, behörighetssättning, brandväggar, krypterad kommunikation osv.
Fysioterapeuterna har tydliga gallringsrutiner och riktlinjer för uppgiftsminimering. Uppgifterna sparas endast så länge som de behövs. När uppgifterna inte längre behövs raderas de, om inte annat krävs enligt lag. Fysioterapeuterna bedömer därmed att risken för registrerades fri- och rättigheter är försumbar.
1.2 Behandlingar av uppgifter i individärenden
Inom ramen för tecknade kollektivavtal i sitt distrikt kan utsedd förhandlingsansvarig hantera personuppgifter som berör individer för att hjälpa medlem inom arbetsrätten.
1.2.1 Systematisk beskrivning av den planerade behandlingen och dess syften
När en medlem tar kontakt med Distriktet gör förhandlingsansvarig en bedömning av vilken typ av handlingar som kan komma att behövas för att kunna bistå medlemmen.
Noteringar i ärendet noteras i ett särskilt system i en egen mapp på arbetsgivarens dator som endast förhandlingsansvarig har tillgång till eller i ett papperssystem som förvaras i låst arkivskåp/liknande som endast kan låsas upp av förhandlingsansvarig.
I det fall handlingar sparas på arbetsgivarens dator ska det av rubriken på mappen/utrymmet/o.dyl. tydligt framgå att det rör sig om facklig konfidentiell information.
I de fall noteringar först för hand men ärendet sparas digitalt ska dessa noteringar scannas och sparas med ärendet digitalt. Finns det externa dokument som är av relevans för ärendet, t.ex. ur ett bevishänseende, sparas dessa tillsammans med huvudärendet.
Distriktet behandlar följande personuppgifter:
Namn, personnummer, adress, telefonnummer, e-post, arbetsgivare, lön, sysselsättningsgrad, titel, arbetsmarknadsstatus och, i förekommande fall, uppgifter om hälsa, sjukfrånvaro, föräldraledighet, diskrimineringsgrunder, m.m.
När personen avslutat sitt medlemskap kommer Distriktet inte längre att behandla personens uppgifter, om inte annat krävs enligt lag.
1.2.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
Behandlingen är nödvändig för att Distriktet ska kunna uppfylla sina åtaganden enligt medlemskapsavtalet och arbetsrätten. Om en medlem hör av sig och vill ha juridiskt stöd i arbetsrättsliga frågor behöver Distriktet inhämta underlag som eventuellt kan vara av känslig karaktär och behandla underlaget för att kunna agera det juridiska stöd som medlemskapet ska erbjuda personen. Mindre ingripande former av behandling saknas.
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Uppgifterna registreras utifrån särskilda, uttryckligt angivna ändamål och behandlas inte senare på ett sätt som är oförenligt med dessa. Den lagliga grunden är fullgörande av avtal inom vilken den registrerade är part (artikel 6.1 b) och vidare att behandlingen sker inom ramen för förbundets och således även Distriktets berättigade verksamhet (artikel 9.2 d) samt, i förekommande fall, att Distriktet och den registrerade ska kunna uppfylla sina åtaganden och utöva sina rättigheter enligt arbetsrätten (artikel 9.2. b). I det sistnämnda fallet kan det till exempel vara fråga om ett rehabiliteringsärende, där både arbetsgivaren, arbetstagaren och Distriktet har vissa åtaganden och rättigheter enligt arbetsrätten. Uppgifterna lagras endast så länge som de behövs för att uppfylla ändamålen med behandlingen. När alla personuppgifter inte längre behövs kommer Distriktet att minimera uppgifterna så att endast de uppgifter som behövs sparas.
Åtgärder som stärker de registrerades rättigheter
Fysioterapeuterna har en policy för personuppgiftsbehandling som omfattar alla delar av förbundet, däribland Distriktet. Policyn finns tillgänglig för alla på förbundets webbplats. Av dokumentet framgår hur Fysioterapeuterna behandlar personuppgifter. Policyn behandlar vidare de registrerades rättigheter enligt dataskyddsförordningen samt när Fysioterapeuterna kan komma att lämna ut medlemmens personuppgifter till tredje part. Av dokumentet framgår också hur en person kan göra en anmälan till Datainspektionen samt vilka personuppgiftsbiträden som Fysioterapeuterna anlitar.
Distriktet överför inte några personuppgifter till länder utanför EU/EES.
1.2.3 Risker för de registrerades fri- och rättigheter
Den största risken är att felaktiga uppgifter registreras eller att obehöriga får del av uppgifterna. Då det i det här fallet kan röra sig om andra känsliga personuppgifter än enbart facklig tillhörighet, till exempel sexuell läggning i en diskrimineringstvist, kan konsekvenserna för individen om uppgifterna kommer ut bli ytterst negativa.
1.2.4 Åtgärder för riskhantering
Fysioterapeuterna har en intern handbok avseende hantering av känsliga personuppgifter. Av dokumentet framgår bland annat att känsliga personuppgifter under inga omständigheter får skickas via mejl, om inte vissa åtgärder som anonymisering eller kryptering först vidtagits.
Uppgifterna förvaras på ett säkert sätt och med tydliga behörighetsrutiner. Personuppgifterna förvaras i pärmar i ett låst arkivskåp/liknande som endast förhandlingsansvarig och, i de fall där denna person av någon anledning inte kan fullgöra sitt uppdrag, annan facklig representant med behörighet att förhandla åt Fysioterapeuterna i den aktuella frågan.
Eller,
Uppgifterna förvaras i särskilda mappar under ett särskilt utrymme på arbetsgivarens dator eller på extern hårddisk. Utrymmet är låst till förmån för den förhandlingsansvarige och i fall där den ansvarige inte kan fullgöra uppdraget annan behörig förtroendevald med behörighet att förhandla åt Fysioterapeuterna i den aktuella frågan. Utrymmet är särskilt markerat så att det för arbetsgivaren tydligt framgår att det innehåller känslig och konfidentiell facklig information.
Den person som tillfälligt ersätter den förhandlinsgasvarige vid ex sjukdom har endast behörighet att ta del av den aktuella pärmen/mappen och äger ej tillgång till hela systemet.
I övrigt upprätthåller Distriktet lämplig nivå av säkerhet för uppgifterna som uppfyller kraven i dataskyddsförordningen. Mot ljuset av ovanförda resonemang bedömer Distriktet att risken för registrerades fri- och rättigheter är liten.
1.3 Mejlhantering
Distriktet har via Fysioterapeuterna egen mejladress xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxx.xx
För tillhandahållandet av mejltjänsten anlitar Fysioterapeuterna Microsoft som personuppgiftsbiträde. Vad gäller Microsoft har Fysioterapeuterna, i likhet med andra organisationer som använder bolaget som biträde, inte kunnat förhandla fram ett specifikt personuppgiftsbiträdesavtal, där biträdet exempelvis utfäster sig att inte överföra personuppgifter till tredjeland. Fysioterapeuterna har i stället hänvisats till Microsofts standardavtal.
Datainspektionen har i ett tidigare tillsynsärende avseende personuppgiftslagen godtagit Microsofts standardavtal om molntjänsten i Office-paketet som ett biträdesavtal. Huruvida detta även gäller i förhållande till dataskyddsförordningen är oklart. Fysioterapeuterna vill dock vara transparenta med att förbundet inte har kunnat lämna skriftliga instruktioner till Microsoft, vilket alltså har varit möjligt med de andra biträden som anlitats av förbundet. Fysioterapeuterna strävar efter att upprätthålla en hög grad av säkerhet och verkar kontinuerligt för förbättrat inbyggt dataskydd, bland annat genom tydliga mejlrutiner som gäller för förbundets anställda och förtroendevalda.
1.3.1 Systematisk beskrivning av den planerade behandlingen och dess syften
Det som skiljer e-post från annan uppgiftshantering är att innehållet oftast är okänt när e-posten kommer in till verksamheten. Enligt Datainspektionen behöver en verksamhet hantera inkommande post. Distriktet behandlar således inkommande e-post utifrån grunden berättigat intresse.
När e-posten är mottagen avgör dess innehåll om och i sådana fall hur länge och hur den sparas. E-post med känsliga personuppgifter som gäller ett specifikt ärende sparas, om så bedöms vara nödvändigt för ärendet, så snart som möjligt i det aktuella ärendet, varefter e-posten raderas från Outlook.
1.3.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
För att Distriktet ska kunna erbjuda medlemmen det stöd som personen kan förvänta sig vid ett medlemskap finns ett behov av kommunikation mellan Distriktet och medlemmen samt, i vissa fall, mellan Fysioterapeuterna och Distriktet eller medlemmen. Distriktet behöver även kommunicera med andra parter, som arbetsgivare och arbetsgivarorganisationer, för att kunna uppfylla sina åtaganden inom arbetsrätten.
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Uppgifterna tas emot och sparas utifrån särskilda, uttryckligt angivna ändamål och behandlas inte senare på ett sätt som är oförenligt med dessa. All e-post tas emot utifrån den lagliga grunden berättigat intresse. Om e-posten är /ska blir ett ärende sparas e-posten och därefter ska e-post raderas ur mejlsystemet.
Om e-posten avser en specifik fråga där personuppgifter nämns ska personuppgifterna raderas från svarsmail. Den lagliga grunden för denna behandling är fullgörande av avtal inom vilken den registrerade är part (artikel 6.1 b) och vidare att behandlingen sker inom ramen för distriktets berättigade verksamhet (artikel 9.2 d) samt, i förekommande fall, att
Distriktet och den registrerade ska kunna uppfylla sina åtaganden och utöva sina rättigheter enligt arbetsrätten (artikel 9.2. b). Dessa uppgifter sparas endast så länge som de behövs för att uppfylla ovannämnda ändamål, om inte annat krävs enligt lag. Uppgifterna kan till exempel sparas i fall där förbundet har företrätt medlemmen i en arbetsrättslig tvist. För denna behandling använder förbundet berättigat intresse som grund.
Åtgärder som stärker de registrerades rättigheter
Fysioterapeuterna har en policy för personuppgiftsbehandling. Policyn finns tillgänglig för alla på förbundets webbplats. Av dokumentet framgår hur Distriktet behandlar personuppgifter. Policyn behandlar vidare de registrerades rättigheter enligt dataskyddsförordningen samt när Distriktet kan komma att lämna ut medlemmens personuppgifter till tredje part. Av dokumentet framgår bland annat också hur en person kan göra en anmälan till Datainspektionen samt vilka personuppgiftsbiträden som Fysioterapeuterna anlitar.
1.3.3 Risker för de registrerades fri- och rättigheter
Den största faran med e-post är att känsliga personuppgifter skickas via oskyddade mejl och därmed ger obehöriga åtkomst till innehållet. Det finns även en risk att känsliga personuppgifter hanteras i länder utanför EU/EES. Detta kan till exempel inträffa när en förtroendevald inom Distriktet under en resa, antingen privat eller i tjänst, öppnar mejlkorrespondens som innehåller känsliga personuppgifter. Det finns även en risk för att mejl med känsliga personuppgifter öppnas i oskyddade nätverk eller enheter, t.ex. om en förtroendevald har tillgång till arbetsgivarens e-post på sin privata mobiltelefon som dessutom kopplats mot mobilens moln.
Det finns även en risk att medlemmar inte uppdaterar sina mejladresser och att e-post således inte kommer fram. Dessutom finns en risk för att e-post skickas till fel person.
1.3.4 Åtgärder för riskhantering
Fysioterapeuterna har utarbetat ”Riktlinje personuppgiftshantering via e-post” som är kopplade till en Säkerhetspolicy.
Distriktet skickar som huvudregel inte känsliga personuppgifter via mejl. Om det ändå sker anonymiseras uppgifterna. Uppgifterna kan även undantagsvis skickas genom mejl med krypterade filer och på sikt även krypterade mejl.
Av Fysioterapeuternas GDPR-rutiner för anställda och förtroendevalda framgår bland annat att förtroendevalda inte ska använda sig av privata e-postadresser i sin fackliga verksamhet.
Medlemmar uppmuntras regelbundet att uppdatera sina uppgifter, inklusive sin mejladress, och kan göra så på Fysioterapeuternas webbplats genom att logga in med BankID eller genom tvåfaktorsautentisering. Detta bidrar till att förbundet kan upprätthålla kravet på uppgifternas korrekthet samtidigt som källan för informationen säkerställs. Fysioterapeuterna gör en samlad bedömning att risken för registrerades fri- och rättigheter är liten.
1.4 Distriktets behandling av vissa medlemsuppgifter i förbundets centrala medlemsregister
Fysioterapeuternas lokala verksamhet är uppdelad i distrikt och sektioner. Både distrikten och sektionerna har egna styrelser. Mellan de lokala organisationerna och förbundet centralt rådet samarbete och samverkan, vilket innebär att organisationerna gemensamt får behandla vissa personuppgifter, inklusive känsliga personuppgifter. Behandlingen kan bland annat innebära olika former av registerutdrag från och sökningar i gemensamma medlemsregister samt utbildningar, medlemsträffar, medlemsutskick och liknande. Vad gäller distriktsstyrelser kan samverkan även omfatta medlemsinformation, rådgivning och företrädarskap i tvister.
Fysioterapeuterna och de lokala organisationerna är ensamt personuppgiftsansvariga för behandlingen av medlemmars personuppgifter som sker inom ramen för respektive organisation och gemensamt personuppgiftsansvariga för ovannämnda behandlingar som sker i samverkan. Det gemensamma personuppgiftsansvaret har parterna reglerat i datadelningsavtal.
1.4.1 Systematisk beskrivning av planerad behandling och dess syften
Fysioterapeuterna administrerar via biträdet Vasabyrån sitt medlemsregister. Registret innehåller förutom information om medlemskap i det centrala förbundet även information om medlemskap i distrikt, sektioner samt, i förekommande fall, lokala fackliga föreningar.
Den person som har ett uppdrag som ordförande i distrikts- respektive sektionsstyrelsen har möjlighet att via en webblösning logga in med mobilt BankID. Personen har i inloggat läge behörighet att se vilka som är medlemmar i den lokala organisationen och kan också ladda ned en aktuell medlemslista. Personen har enbart tillgång till dessa uppgifter under sitt uppdrag som ordförande eller förhandlingsansvarig i distriktet.
De personuppgifter som ordföranden samt förhandlingsansvarig kan se är namn, personnummer, kontaktuppgifter och arbetsplats.
1.4.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Distriktet behöver behandla uppgifterna för att, i enlighet med stadgarna, kunna erbjuda det stöd som det fackliga medlemskapet innebär för personen.
Distriktsstyrelserna har, i enlighet med stagar och stöd i MBL, behov av att kunna se vilka som är medlemmar i deras distrikt för att agera för medlemmars räkning. Distrikten har i enlighet med stadgar behov av att se vilka som är medlemmar i respektive distrikt för att uppfylla de åtaganden som följer av medlemskapet.
Fysioterapeuterna och Distriktet har, som redan nämnts, fastställt sina åtaganden och ansvar i inbördes arrangemang, i form av datadelningsavtal. Fysioterapeuterna informerar även om behandlingen i sin personuppgiftspolicy.
Distriktet behandlar inte fler uppgifter än vad som behövs. De uppgifter som distriktet har tillgång till är nödvändiga för att dessa organisationer ska kunna utföra sina uppgifter enligt stadgarna och, i förekommande fall, enligt arbetsrätten.
Distriktet behandlar uppgifter om sina medlemmar för att tillvarata dessa personers intressen och fullgöra de skyldigheter som Distriktet har gentemot medlemmarna. Det framgår av medlemskapsavtalet tillsammans med Fysioterapeuternas stadgar, där även bestämmelser om distrikten ingår, vad Distriktets uppdrag är. Enligt Datainspektionen anses en lokal förening inom ett förbund vara ”inom organet”. Känsliga uppgifter får således behandlas av både förbundet centralt och den lokala organisationen eftersom även den lokala organisationens behandling sker inom det centrala förbundets berättigade verksamhet.
Uppgifterna hanteras således utifrån särskilda, uttryckligt angivna ändamål och behandlas inte senare på ett sätt som är oförenligt med dessa. All behandling av personuppgifter sker utifrån de lagliga grunderna berättigat intresse, för att uppfylla åtaganden i medlemskapsavtalet och inom distriktets berättigade verksamhet (artikel 6.1 f respektive 6.1 b och 9.2 d).
De uppgifter som lokalt förtroendevalda kan se är minimerade så att endast medlemmar i det egna distriktet kan ses. Vidare kan uppgifterna endast tas ut av ordföranden samt förhandlingsansvarig i distriktet.
Åtgärder som stärker de registrerades rättigheter
Fysioterapeuterna har en policy för personuppgiftsbehandling. Policyn finns tillgänglig för alla på förbundets webbplats. Av dokumentet framgår hur Distrikten behandlar personuppgifter samt vilka rättigheter som de registrerade har.
Distriktet överför inte några personuppgifter till länder utanför EU/EES.
1.4.3 Risker för de registrerades rättigheter och friheter
När Distriktet hämtar en lista så sker detta genom en RMS (Regional medlemsservice) webblösning. Behörigheten är uppsatt utifrån det uppdrag som en person har. När hantering sker via mejl finns en risk för obehörig åtkomst och spridning. När uppgifterna tagits ut ur medlemssystemet och hanteras i exempelvis ordförandes dator innan kryptering föreligger också en risk. Det finns även en risk för felhantering av filen, till exempel att ordföranden glömmer att radera filen. Vidare finns en risk att medlemslistan lämnas ut och hamnar hos obehöriga. Det finns också en risk att lokala förtroendevalda börjar föra egna listor över medlemmar, till exempel när en medlem byter arbetsgivare eller får ändrade kontaktuppgifter. Det finns en risk för att en ordförande som avslutat uppdraget fortsätter att ha åtkomst till uppgifterna, eller inte återlämnar eller raderar alla uppgifter.
1.4.4 Hantering av risker
Behörigheten att ta ut medlemslistor är begränsad till ordföranden samt förhandlingsansvarig i distriktet. Därtill finns tydliga rutiner om hur personuppgifter ska hanteras. Det framgår av exempelvis Fysioterapeuternas rutiner för förtroendevalda att förtroendevalda inte får föra egna medlemslistor. Fysioterapeuterna tillhandahåller även en handbok i GDPR och på sikt planeras en utbildning för de förtroendevalda som har inloggningsmöjligheter i systemet. Ordföranden samt förhandlingsansvarig har möjlighet att direkt via RMS uppdatera/avsluta/lägga till fackliga uppdrag i sitt distrikt. Ändring av arbetsgivare, telefonnummer, e-post etc. är något som medlemmen gör själv direkt via inloggning på ”min sida” (kräver Bank-ID).
Av Fysioterapeuternas och distriktets datadelningsavtal framgår att ordföranden samt förhandlingsansvarig endast har behörighet att se medlemsuppgifter under tiden som personen innehar detta uppdrag. När uppdraget är avslutat har personen inte längre tillgång till dessa uppgifter. Personen ska dessutom radera eller till förbundet centralt återlämna eventuella kvarvarande personuppgifter.
Riskerna med att mejla hanteras genom att samtliga filer krypteras. På sikt ska även mejlen krypteras. Eventuella ändringar (uppdatering av kontaktuppgifter) i medlemsregistret loggas.
Distriktet lämnar inte ut ovannämnda personuppgifter till någon annan (till exempel arbetsgivare) utan att berörda personer har samtyckt till det. Undantaget är om Distriktet behöver bekräfta en persons medlemskap inför en eventuell förhandling som initierats av personens arbetsgivare. Den rättsliga grunden är då att fullgöra medlemskapsavtalet och att det sker inom ramen för arbetsrätten.
Genom dessa åtgärder bedömer Distriktet att behandlingarna är proportionerliga och att riskerna för de registrerades fri- och rättig0heter är låga.
1.5 Utbildningar, kurser och seminarier
I Distriktens verksamhet ingår hantering av kurser. Medlemmar och, i förekommande fall, andra än medlemmar kan anmäla sig till kurser, seminarier och liknande genom länkar i mejl eller på distriktens hemsida.
I samband med kursanmälan behandlar Distrikten känsliga personuppgifter. Detta gäller uppgift om facklig tillhörighet men även om exempelvis matallergier, det vill säga hälsa. För att kunna upprätta och fullfölja ett avtal mellan personen och förbundet behöver Distriktet behandla dessa uppgifter samt även, i förekommande fall, skicka uppgifterna vidare till en tredje part, som till exempel en kursgård eller restaurang.
I kursanmälan finns därför en text som deklarerar att anmälan är lika med att personen samtycker till denna behandling. Informationen om matallergier raderas så fort ändamålet med behandlingen är uppfyllt, det vill säga när Distriktet meddelat exempelvis en restaurang att en eller flera av kursdeltagarna behöver specialkost.
1.5.1 Systematisk beskrivning av planerad behandling och dess syften
När en person anmäler sig till någon av Distriktets utbildningar, kurser, seminarier eller liknande behandlar Distriktet de uppgifter som personen lämnat för att administrera kursanmälan. Den rättsliga grunden är att fullgöra det avtal som distriktet och personen ingår i samband med anmälan.
Distriktet lämnar inte ut känsliga uppgifter om personer, till exempel uppgifter om allergier eller information som avslöjar fackligt medlemskap, utan berörda personers samtycke. Samtycke behövs under vissa förutsättningar, som redan nämnts, till exempel för att Distriktet ska kunna skicka personers matpreferenser vidare till en kursgård. Distriktet behandlar också personuppgifter för att kunna följa upp och utvärdera kursen. Rättslig grund för den behandlingen är distriktets berättigade intresse av att följa upp och utveckla sin verksamhet.
1.5.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Distrikten behöver behandla ovannämnda personuppgifter för att kunna administrera och fullfölja avtalet som personen är part till. Distrikten behandlar inte fler uppgifter än vad som behövs. När uppgifter om hälsa inte längre behövs för det ändamål som de samlats in för raderas de.
Uppgifterna hanteras således utifrån särskilda, uttryckligt angivna ändamål och behandlas inte senare på ett sätt som är oförenligt med dessa. All behandling av personuppgifter sker utifrån de lagliga grunderna berättigat intresse, för att uppfylla åtaganden i ett avtal inom vilken den registrerade är part samt inom distriktens berättigade verksamhet (artiklar 6.1 f respektive 6.1 b och 9.2 d). Uppgifter om hälsa behandlas med den registrerades samtycke som grund (artikel 9.2 a).
Åtgärder som stärker de registrerades rättigheter
Fysioterapeuterna har en policy för personuppgiftsbehandling. Policyn finns tillgänglig för alla på förbundets webbplats och personer får möjlighet att läsa den innan de skickar in kursanmälan. Av dokumentet framgår hur Distrikten behandlar personuppgifter samt vilka rättigheter som de registrerade har. I samband med kursanmälan lämnar Distrikten även information om att uppgifter avseende matallergier kommer att skickas vidare till tredje part och att Distrikten inte kommer att spara dessa uppgifter. Kursdeltagaren får därefter välja om han eller hon vill samtycka till behandlingen.
Distriktet överför inte några personuppgifter till länder utanför EU/EES.
1.5.3 Risker för de registrerades rättigheter och friheter
När det gäller anmälan till kurser där en tredje part ofta är inblandad, finns en risk för förlust och skada av personuppgifter eller att känsliga personuppgifter om exempelvis hälsa hamnar hos obehöriga och eventuellt sprids.
1.5.4 Åtgärder för riskhantering
Distriktet behandlar endast de personuppgifter som är nödvändiga för ingåendet och fullföljandet av det avtal som kursanmälan avser. Uppgifterna raderas när de inte längre behövs. Uppgifterna om hälsa anonymiseras så att exempelvis en kursgård inte får reda på vilka personer som lider av matallergier utan endast hur många personer (antalet) som önskar specialkost. Mot bakgrund av detta bedömer Distriktet risken för registrerades fri- och rättigheter som försumbar.
2 Behandling av uppgifter om förtroendevalda och andra funktionärer
Om en person har åtagit sig ett förtroendeuppdrag, till exempel som arbetsplatsombud eller som ordförande i en distriktsstyrelse, behöver Distriktet behandla uppgifter om personen för att exempelvis kunna:
Föra listor över förtroendevalda,
skicka personen information för förtroendevalda,
introducera personen i hennes eller hans roll och ge personen råd och information samt
administrera möten för förtroendevalda.
2.1 Systematisk beskrivning av planerade behandlingen och dess syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse
De uppgifter som behandlas för att personen ska kunna vara förtroendevald är de som personen själv lämnar till sin distriktsstyrelse. Om Distriktet inhämtar uppgifter om personen från någon annan, till exempel från personens arbetsgivare kommer distriktet att informera personen om det.
De uppgifter som distriktet behandlar är namn, kontaktuppgifter, funktion som förtroendevald och arbetsgivare.
Den rättsliga grunden för de här behandlingarna är att de är nödvändiga för att fullgöra avtalet mellan förtroendevalda och Fysioterapeuterna och att behandlingen sker inom ramen för förbundets berättigade verksamhet. För att kunna vara lokalt arbetsplatsombud måste information om personen och hennes eller hans roll finnas tillgänglig för anställda på personens arbetsplats. Om en person är ordförande i till exempel en distriktsstyrelse behöver förbundet kunna offentliggöra hennes eller hans namn på Fysioterapeuternas webbplats och skriva det i förbundets nyhetsbrev. Det här godkänner berörda personer när de skriver på uppdragshandlingen. Förtroendevalda kan när som helst ta tillbaka sitt godkännande, men då kan de inte längre ha kvar uppdraget.
Om en person har åtagit sig ett uppdrag som ordförande i ett distrikt och/eller råd eller som ledamot i en kommitté behöver Distriktet även kunna offentliggöra personens namn på Distriktets webbplats och, i förekommande fall, skriva det i Distriktets nyhetsbrev. Det här godkänner personen när hon eller han skriver under uppdragshandlingen. Personen kan när som helst ta tillbaka sitt godkännande, men då kan hon eller han inte längre ha kvar uppdraget.
2.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Distriktet behöver behandla ovannämnda personuppgifter för att kunna administrera uppdragshandlingen som personen är part till samt förvalta uppdraget. När personen undertecknar uppdragshandlingen får han eller hon bekräfta att de avser att följa Fysioterapeuternas personuppgiftspolicy. Dokumentet har personen även tidigare tagit del med anledning av sitt medlemskap i förbundet.
Åtgärder som stärker de registrerades rättigheter
Distriktet behandlar inte fler personuppgifter än vad som behövs. När en person avslutar sitt uppdrag kommer Distriktet inte längre behandla personuppgifterna för detta ändamål. Personen kan vidare närsomhelst ta tillbaka sitt samtycke till ovannämnda behandlingar men då kan personen inte längre inneha uppdraget som förtroendevald.
2.3 Risker för de registrerades rättigheter och friheter
Även om förtroendevalda och andra funktionärer själva offentliggör vissa känsliga personuppgifter, som facklig tillhörighet finns ändå viss risk för att uppgifterna kan komma att behandlas på fel sätt, till exempel för fel ändamål eller i för stor omfattning eller att uppgifter inte uppdateras eller raderas i tid. I det förstnämnda fallet kan det exempelvis röra sig om ett lokalt arbetsplatsombud vars personuppgifter offentliggörs för allmänheten, medan det i det andra fallet kan handla om att /Distriktet missar att uppdatera eller radera uppgifter om till exempel ordförandeskap.
2.4 Åtgärder för riskhantering
Fysioterapeuterna har tydliga rutiner för publicering av personuppgifter på sin hemsida, nyhetsbrev och liknande samt rutiner för uppdatering och gallring av uppgifter. Exempelvis publiceras inte uppgifter om lokalt förtroendevalda på den del av förbundets hemsida som är tillgänglig för allmänheten, det vill säga utan inloggning. Fysioterapeuterna bedömer därmed risken för registrerades fri- och rättigheter som försumbar.
3 När personuppgifter lämnas ut till eller hämtas från tredje part
3.1 Behandlingar av personuppgifter inför lönerevisioner - Systematisk beskrivning av planerad behandling och dess syften
När det är dags för löneöversyner och revisioner bekräftar Distriktet uppgifter om medlemmars fackliga tillhörighet till arbetsgivare för att arbetsgivare ska veta vilket avtal som berörda personer går under. Den rättsliga grunden är då att fullgöra medlemskapsavtalet och att det sker inom ramen för arbetsrätten.
3.2 Är behandlingen nödvändig / proportionerlig i förhållande till dess syfte
Åtgärder som bidrar till att behandlingen är proportionerlig och nödvändig
Distriktet har ett berättigat intresse att fastställa vilka anställda hos en specifik arbetsgivare som också är medlem i Fysioterapeuterna. Detta är nödvändigt för att uppfylla åtaganden enligt medlemskapsavtalet inom vilken den registrerade är part samt fullgöra förbundets skyldigheter inom arbetsrätten (artiklar 6.1 b och 9.2 b). Fysioterapeuterna bedömer att arbetsgivare likaledes har ett berättigat intresse av att behandla dessa uppgifter för att båda parter ska kunna fullfölja sina respektive skyldigheter enligt arbetsrätten, däribland enligt, mellan parterna gällande, kollektivavtal.
Åtgärder som stärker de registrerades rättigheter
Distriktet behandlar inte fler personuppgifter än vad som behövs.
3.3 Risker för de registrerades rättigheter och friheter
Risken finns att Fysioterapeuterna skickar känsliga personuppgifter via e-post och att känsliga personuppgifter hamnar hos obehöriga och sprids.
3.4 Åtgärder för riskhantering
Fysioterapeuterna har beslutat att inte lämna ut några personuppgifter i samband med löneöversyner och revisioner utan att endast bekräfta facklig tillhörighet när enskilda arbetsgivare gör en förfrågan hos Distriktet. Fysioterapeuternas anställda och förtroendevalda ska vidare, som huvudregel, inte bekräfta uppgifterna via e-post.
4 Översyn av behandlingarna av personuppgifter
Distriktet åtar sig att vid behov se över de olika behandlingarna av personuppgifter som analyseras i detta dokument för att bedöma om en specifik behandling genomförs i enlighet med konsekvensbedömningen avseende dataskydd när den risk som behandlingen medför förändras. Konsekvensbedömningen är ett levande dokument som uppdateras vid behov, till exempel när en viss behandling utgår eller ersätts av annan behandling eller när en helt ny behandling tillkommer.
1 ”Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande huruvida behandlingen `sannolikt leder till en hög risk` i den mening som avses i förordning 2016/679”, Artikel 29-Arbetsgruppen för skydd av personuppgifter, riktlinjer senast reviderade och antagna den 4 oktober, 2017.
|
|