Håndtering av personopplysninger

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til enkeltpersoner.

Personopplysninger

EUs personvernforordning (GDPR) er vedtatt i norsk lov, og trådte i kraft 20. juli 2018.

I forordningen er fagforeningsmedlemskap en sensitiv personopplysning, og det er svært viktig at tillitsvalgtes håndtering av våre medlemmers personopplysninger er i samsvar med loven.

I hver bedrift må det derfor utvikles rutiner som beskriver håndtering av personopplysninger. Rutinen skal regulere hvordan tillitsvalgte håndterer og sikrer personopplysninger på Finansforbundets vegne, og sørge for overholdelse av personopplysningslovens bestemmelser.

På denne siden finner du utgangspunkt for slik rutine, som i dialog med personvernombudet skal tilpasses de interne forhold i den enkelte bedrift.

Det er viktig at rutinen omfatter all deres bruk av personopplysninger.

Den behandlingsansvarlige

Finansforbundet sentralt (Sekretariatet) er ansvarlig for at behandlingen av personopplysninger foregår etter personopplysningslovens bestemmelser (behandlingsansvarlig).

Hovedtillitsvalgt plikter å sørge for at innholdet i bedriftens rutiner gjøres kjent for alle tillitsvalgte. De tillitsvalgte plikter å sette seg inn i rutinens innhold, og oppfylle dens forpliktelser. Sekretariatet har våren 2018 innkalt alle hovedtillitsvalgte til kurs i ny personvernlovgivning. Det vil gis opplæring til alle nye tillitsvalgte på grunnopplæringens del 2 og denne siden vil til enhver tid være oppdatert.

Utlevering av personopplysninger

Tillitsvalgte skal ikke utlevere eller overføre medlemmenes personopplysninger til andre.

Lagring av e-post

Tillitsvalgte skal skille mellom e-post knyttet til tillitsvalgtvervet og e-post knyttet til den ordinære stillingen de innehar i bedriften. En måte å gjøre det på er å ha en mappe (med tilhørende undermapper ved behov) der all korrespondanse knyttet til tillitsvalgtvervet legges.

Avvikshåndtering

Ved brudd på personopplysningssikkerheten skal det meldes fra til Datatilsynet, med mindre det er lite trolig at bruddet vil medføre risiko for fysiske personers rettigheter og friheter. Varsling må skje senest 72 timer etter at tillitsvalgte har fått kjennskap til bruddet.

Også de berørte medlemmene skal varsles, med mindre det er truffet etterfølgende tiltak som sikrer at det er lite trolig at den høye risikoen vil oppstå. Ved brudd på personopplysningssikkerheten, skal tillitsvalgte umiddelbart ta kontakt med personvernombudet i Finansforbundet.

Det er viktig at personvernombudet i Finansforbundet kontaktes med én gang dersom det har vært en svikt i personopplysningssikkerheten. Personvernombudet vil foreta en vurdering av situasjonen, og stå for eventuell videre dialog med Datatilsynet og berørte enkeltpersoner.  

For at varslingsplikten skal inntre må det ha vært en svikt i personopplysningssikkerheten, hvor uautoriserte personer har fått tilgang til personopplysninger, eller hvor selskapet som har samlet inn opplysningene, på grunn av en svikt i rutinene, har slettet, endret, mistet tilgang til eller delt personopplysninger, uten at det har vært anledning til det.

IT-sikkerhet ivaretas av arbeidsgivers systemer.

Hvilke avvik skal meldes?

På Datatilsynest hjemmesider gis følgende eksempler på avvik som skal meldes:

Forsendelsesfeil

  • Beskyttelsesverdige personopplysninger er sendt til feil mottaker pr. post eller e-post.
  • Digitale forsendelser som avslører andres e-postadresse i en kontekst hvor mottakerne skal beskyttes.
  • Forsendelser til riktig mottaker, men som ved en feil også inneholder beskyttelsesverdige personopplysninger om andre.
  • Postforsendelser til riktig mottaker, men hvor det er informasjon om mottakeren som skal skjermes for andre er synlig utenpå forsendelsen. Eksempel på dette er innkalling til medlemsmøte i en religiøs menighet.
  • Postforsendelser hvor innholdet mangler eller innholdet er der, men konvolutten er revet opp.

Hacking eller datainnbrudd, hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelig, eller at det er sannsynlig at dette har skjedd.

Tilgangsstyring feilet, er mangelfull eller manglende, slik at uvedkommende har fått tilgang til beskyttelsesverdige personopplysninger.

Nettpublisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.

Fysisk innbrudd hvor ukrypterte digitale data eller papirdokumenter med personopplysninger er forsvunnet.

Kaste/kvitte seg med opplysninger uten sletting eller makulering

Mistet/gjenglemt/forlagt:

  • Papirdokumenter
  • Laptop, nettbrett eller telefoner der innholdet ikke er kryptert
  • Minnepinner eller andre små lagringsmedier der innholdet ikke er kryptert

Rutineforslag

I forslaget til rutine er det listet opp 17 punkter som (minimum) bør behandles i deres rutine for tillitsvalgtes behandling av personopplysninger i bedriften.

Rutinen er ikke nødvendigvis uttømmende for de personopplysninger som behandles i din bedrift. Hvis du lurer på om dere har behov for en mer omfattende rutine, ta kontakt med sekretariatet.

Var dette nyttig?