Dette bør du vite om EUs nye personvernregler
25. mai trer EUs nye personvernlov i kraft. Den berører deg både som tillitsvalgt, fagorganisert og privatperson.
GDPR: EUs nye personvernlovgivning vil berøre både fagforeningen og arbeidsplassen.
Tora Marie Norberg
line.scheistroen@lomedia.no svein.yngve.madssen@lomedia.no
GDPR står for «General Data Protection Regulation». Denne nye EU-loven for personvern skal gjelde fra 25. mai i år. Loven innebærer at alle som lagrer data, som medlemskap i en fagforening, får strengere regler å forholde seg til. Det betyr også et sterkere personvern for deg; en rett til innsyn og en rett til å bli slettet – «retten til å bli glemt».
• Helseminister Bent Høie vil ikke ta ansvar for dataskandalen i Helse Sør-Øst
Hva betyr det for deg?
Du skal nå få vite hva som lagres av informasjon om deg. Og du skal, med noen få unntak, aktivt si ja til at det samles inn og lagres. Du skal også få vite hva informasjonen brukes til.
Hva betyr det for fagforeningen?
Alle virksomheter som samler inn eller bruker personopplysninger, skal ha oversikt over hvilke opplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Dette gjelder også fagforbund og fagforeninger. (Se faktaboks om artikkel 9 i loven.)
Hva betyr det for virksomheten?
Alle virksomheter må nå sette seg inn i den nye lovgivningen og hva det innebærer av nye plikter. Ledelsen må sørge for rutiner for å overholde pliktene. Alle ansatte må følge de nye rutinene. All informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og forståelig.
Virksomhetene må kunne dokumentere hvordan personopplysningene håndteres og hvordan det er foretatt konsekvensanalyser. Mange nye virksomheter må opprette personvernombud.
• Kundemålinger skal drøftes med tillitsvalgte
Hva er personvernombud?
Det er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte (for eksempel medlemmer) og Datatilsynet.
Personvernombudet kan være en ansatt i virksomheten eller en profesjonell tredjepart. Flere virksomheter, som LO og forbundene, kan ha felles ombud.
Hvem må ha ombud?
• offentlige virksomheter
• virksomheter som behandler sensitive personopplysninger i stor skala, som blant annet fagforbund
• virksomheter som systematisk overvåker europeiske borgere i stor skala
Hvem kan bli ombud?
I utgangspunktet alle. Tillitsvalgte kan også være ombud, men det er viktig å ha tenkt igjennom eventuelle mulige interessekonflikter.
Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til faglige kvalifikasjoner:
• dybdekunnskap om personvernlovgivning og praksis på området
• evne til å utføre oppgavene sine
• faglige kvalifikasjoner
• Svensk IT-skandale bekymrer også i Norge
Hvilke oppgaver har et ombud?
Ombudet skal:
• bistå personer som er registrert hos virksomheten, for eksempel medlemmene i et fagforbund
• informere og gi råd til virksomheten og de ansatte
• bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk
• gi råd om og delta i konsekvens-analyser
• være kontaktpunkt mellom Datatilsynet og virksomheten
• rapportere til den øverste ledelsen, men ombudet skal ha en fri og uavhengig stilling
• involveres i alle saker som handler om behandling av personopplysninger
Stillingen er særskilt vernet mot oppsigelser ved konflikt knyttet til personvernspørsmål.
• Kronikk: Slik overvåkes vi på jobben
Hva betyr det for medlemmene?
Den nye lovgivningen innebærer at medlemmene får styrkete rettigheter når det gjelder innsyn, og at det må gis tillatelse til hvordan opplysningene brukes og hva medlemskapet innebærer. Som tidligere betyr det også at innmelding i en forening skal skje gjennom et aktivt samtykke fra den enkelte.
Ved en utmelding skal vedkommende straks slettes fra registrene. Utmelding kan også skje ved at medlemmet ikke betaler kontingent. Datatilsynet har bestemt at personopplysningene da skal slettes senest etter seks måneder.
Hva skjer hvis loven brytes?
Det er Datatilsynet som skal kontrollere at virksomhetene følger opp det nye lovverket. Datatilsynet kan gi bøter på inntil fire prosent av virksomhetens årlige omsetning eller 20 millioner euro.
• Les flere saker om fagbevegelsen, arbeidsliv og politikk på vår forside
Dette sier loven om fagbevegelsen
Medlemskap i et fagforbund er sensitiv opplysning ifølge den nye personvernloven. Dette omhandles i artikkel 9. Slik lyder lovteksten:
Behandling av særlige kategorier av personopplysninger
1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.
2. Nr. 1 får ikke anvendelse dersom ett av følgende vilkår er oppfylt:
Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.
Flere saker
Dette sier loven om fagbevegelsen
Medlemskap i et fagforbund er sensitiv opplysning ifølge den nye personvernloven. Dette omhandles i artikkel 9. Slik lyder lovteksten:
Behandling av særlige kategorier av personopplysninger
1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.
2. Nr. 1 får ikke anvendelse dersom ett av følgende vilkår er oppfylt:
Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.
