Særligt til tillidsvalgte

GDPR - for arbejdsmiljørepræsentanter

Som arbejdsmiljørepræsentant håndterer du medlemsoplysninger, der er omfattet af persondataforordningen (GDPR). Derfor skal du være klar til at handle, hvis du opdager, at persondata er blevet delt - et såkaldt persondatabrud. Læs hvordan her.

Har du ved et uheld sendt en mail med medlemsoplysninger til en forkert person, eller har du glemt noget it-udstyr med persondata i toget?

EU’s persondataforordning - GDPR - stiller krav til, hvordan tillidsvalgte skal håndtere medlemmers data, og hvis ikke disse krav overholdes, kan der ifølge forordningen være tale om et persondatabrud.

Men hvordan ved du, om du er kommet til at forårsage persondatabrud, og hvad skal du foretage dig, hvis uheldet er ude? Det kan du få svar på her. 

Vejledning til behandling af personoplysninger

  • Følsomme persondata er fx cpr-nr., helbredsoplysninger, fagforeningsmedlemsskab, race, seksualitet og politisk overbevisning.

    Almindelige (ikke-følsomme) persondata er identifikationsoplysninger såsom en kollegas navn, adresse og telefonnummer.

  • Et persondatabrud er et brud på sikkerheden, der medfører, at følsomme persondata bliver tilgængelig for andre end de personer, der har lov til at arbejde med dem.

    Glemmer du fx it-udstyr med følsomme persondata i toget, vil der altså være tale om et brud. Hvis udstyret du glemmer i toget er krypteret, så er risikoen for, at uvedkommende kan tilgå data meget mindre, og dermed kan kryptering af enheder klart anbefales.

    Der er ligeledes tale om et persondatabrud, hvis du glemmer papirdokumenter med medlemmers persondata eller du ved et uheld har sendt en mail med personoplysninger til et forkert medlem.

  • Fordi en oplysning om ’fagforeningsmæssigt tilhørsforhold’, som fx et medlemskab af FOA, ifølge forordningen tæller som en ’følsom personoplysning’. Derfor skal ethvert medlemskab behandles fortroligt på linje med helbredsoplysninger og oplysninger om fx seksuel orientering og religiøs overbevisning.

  • Du skal sikre dig en minimering af persondatabruddet i det omfang, det er muligt. Har du fx sendt en mail til en forkert modtager så kontakt vedkommende øjeblikkeligt og bed personen om at slette mailen med det samme.

  • Du skal hurtigst muligt kontakte din arbejdsgiver, da det er arbejdsgiver der er dataansvarlig for AMR. Det skal ske uden unødig forsinkelse og senest inden for et døgn, så den dataansvarlige for din arbejdsplads kan nå at vurdere og indberette bruddet til Datatilsynet inden for 72 timer.

    1. Dato og tidspunkt for bruddet, gerne så præcist som muligt
    2. Hvornår blev du bekendt med bruddet? Fx ved henvendelse fra et medlem.
    3. Hvad er der sket? (En kort beskrivelse af persondatabruddet herunder årsagen til bruddet?)
    4. Hvilken type af personoplysninger er berørt?
    5. Hvor mange personer er berørt af bruddet?
    6. Hvis det er muligt så giv gerne en kort beskrivelse af mulige konsekvenser for persondatabruddet.

      På baggrund af de oplysninger kan den dataansvarlige vurdere, om der er tale om et brud på persondataforordningen.

Mere om rollen som AMR

Tillidsvalgt

Din indgang til opgavehjælp, værktøjer, viden og nyheder som tillidsvalgt i FOA.

Rollen som AMR

Få et overblik over, hvilke regler og vilkår, der gælder for dig som arbejdsmiljørepræsentant.

Kontakt FOA