How Can We Help?
Forbundets personvernpraksis
Definisjoner
Personopplysning er: «… enhver opplysning som gjør at en fysisk person kan identifiseres …» (fra artikkel 4 nr.1 i GDPR). Behandling er: «… enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger … » (fra artikkel 4 nr. 2 i GDPR).
Vår måte å ivareta personvernet
Punktene nedenfor beskriver Arbeidsmandsforbundets personvernpraksis og vår måte å etterleve personvernlovgivingen på:
- Forbundets behandling av personopplysninger skal til enhver tid skje med grunnlag i lov, avtale eller samtykke.
- Lovgrunnlaget er personopplysningsloven hvor EUs generelle forordning om personvern (GDPR) er tatt inn og gjelder som lov. Den «norske» delen av loven inneholder viktige «tilleggsbestemmelser» som tilpasser forordningen til våre forhold.
- Vår personvernpraksis omfatter både personopplysninger som behandles elektronisk (på data) og manuelt og inngår eller skal inngå i et register.
- Forbundet v/forbundsleder er behandlingsansvarlig etter forordningens artikkel 4 nr 7. Ansatte med særlig ansvar for registre skal påse at personvernhensyn følges opp i det daglige.
- Alle personopplysninger skal behandles med omtanke for registrertes behov for og rett til personvern. All behandling skal ha et behandlingsgrunnlag, dvs. en hjemmel i lov, avtale eller samtykke. Vi behandler personopplysninger hovedsakelig om medlemmer og ansatte, til en viss grad også allmenheten. Behandlingsgrunnlaget kan være forskjellig både ut i fra hvilken gruppe personer det gjelder og i hvilken situasjon det gjelder. For medlemmer kan situasjoner være medlemsregistrering, saksbehandling, e-post- eller telefonhenvendelse, møteregistering, utmelding, overføring av opplysninger til andre osv., for ansatte kan det være ansettelse, fratreden, tvistesak, omtale på nettet, e-postregistering osv. og for allmennheten vil det først og fremst være ved bruk av vår hjemmeside på nett og adgangskontroll.
- Vi viser særlig omtanke i forvaltningen av opplysninger om personers medlemskap hos oss. Opplysninger om fagforeningsmedlemskap er en sensitiv opplysning og er som hovedregel forbudt å behandle. Forbundet kan likevel behandle slike opplysninger, fordi det er fastsatt et unntak for fagforeningers behandling av medlemsopplysninger (forordningen artikkel 9, pkt. 2 d)) og presisert i lovens § 6. Vi registrerer bare fødselsnummer når det er saklig behov for det (lovens § 12).
- Vi behandler medlemsopplysninger og saksopplysninger så lenge behandlingen skjer etter disse bestemmelsene, samt bestemmelsen i artikkel 6 nr. 1 c) i forordningen, uten å innhente samtykke (… oppfyllelse av en rettslig forpliktelse). Tilsvarende kan vi også overføre opplysninger til ekstern databehandler (tredjepart, f.eks. forsikringsselskap) når det er nødvendig for å innfri våre forpliktelser overfor medlemmet. Dersom vi ikke har hjemmel til registering av opplysningen iht. lovens § 6, forordningens artikkel 9 nr. 2 d) eller forordningens artikkel 6 nr. 1 c), skal den registrerte gi samtykke før behandling skjer.
- Dersom det innhentes samtykke til registering, skal samtykket være aktivt og informert. Forbundet skal registrere at samtykke er gitt. Opplysninger kan bare brukes til det som det er gitt samtykke til.
- Vi gir generell informasjon ved en standard tekst om behandling av personopplysninger I forbundet. Våre nettsider gir utvidet informasjon om forbundets behandling av medlemmers personopplysninger som det kan henvises til.
- Gjennom «Min side» har tillitsvalgte tilgang til forbundets medlemsregister for «sine medlemmer». Tillitsvalgte vil også behandle personopplysninger om våre medlemmer i andre sammenhenger. Som behandlingsansvarlig må vi påse at tillitsvalgte behandler opplysningene iht. personopplysningsloven.
- Vi praktiserer innebygd personvern. Våre systemer bygges opp med tanke på at personopplysninger skal vernes ved senere bruk. Vi samler ikke inn mer opplysninger enn nødvendig og søker å begrense omfanget i bruken av dataene.
- I enkelte sammenhenger vil vi bruke automatiserte avgjørelser. Alle avgjørelser knyttet til medlemskap eller ansettelse skal være tatt av en fysisk person.
- Vi utleverer ikke personopplysninger til land utenfor EØS/EU. Det er et ansvar for alle som behandler personopplysninger og påse at dette ikke skjer når det inngås avtaler med databehandlere. Det er utarbeidet en standard avtale for utlevering til slike databehandlere. Det skal ikke registreres personopplysninger i nettløsninger med mindre vi er helt sikre på at opplysningene lagres innen EØS/EU.
- Vi utleverer ikke personopplysninger i chatt, i videokonferanser e.l.
- Registrerte personer har rett til innsyn i opplysningene som er registrert om vedkommende. Registrerte har rett til å få slettet uriktige opplysninger eller opplysninger som vi eventuelt ikke har saklig grunn for å lagre.
- Vi sletter ikke personopplysninger ved utmelding ut i fra arkivformål, framtidas behov for historiske data eller forskningsmessige behov knyttet til våre medlemsgrupper jf. artikkel 9 nr. 2 d og j) og lovens §§ 8 og 9.
- Vi påser at vi alltid har best mulig datateknisk og fysisk sikring av våre personregistre.
- Vi har egne sikkerhetsrutiner for bruk og tilgang til teknisk utstyr, arkiver, kontorer mv. og følger opp at reglene praktiseres.
- Der det er nødvendig utarbeides det arbeidsbeskrivelser for å sikre at personvernet ivaretas.
- Brudd eller mistanke om brudd på personvernregler meldes som avvik. Til dette bruker vi samme skjema som for HMS-avvik, se pkt. 9.1. under HMS i internhåndboka.
- Hvis det skjer brudd på personopplysningssikkerheten som kan true personers rettigheter og frihet, melder vi straks og senest innen 72 timer bruddet til Datatilsynet (etter krav i artikkel 33 nr. 1).
- Vi påser at alle som behandler personopplysninger som vi er behandlingsansvarlig for, har god kunnskap om personvern og vår personvernpraksis (etter krav i artikkel 32 nr. 4)
- Vi behandler personopplysninger i en rekke sammenhenger. Det skal straks og senere løpende, tas gjennomgang av eksisterende rutiner, beskrivelser, avtaletekster mv. som brukes i alle ledd av forbundet for å sikre at disse er i tråd med personvernkravene. Alle ansatte har et ansvar for å vurdere dette på sitt arbeidsområde, og ledere har et ansvar for å følge opp at dette skjer.
- Tilsvarende (som pkt. 23) skal det påses at det er inngått nødvendige databehandleravtaler. Databehandlerbehandleravtaler skal lagres samlet.