Behandla uppgifter om facklig tillhörighet

Vi önskar härmed förtydliga samt nyansera tidigare upplysning ifrån Skao samt betona särskilt för att denna ej ägde för att utföra tillsammans den ransomeware attack såsom skett mot Svenska kyrkan – Skao existerar väl medvetet angående för att den incidenten hanteras samt äger anmälts mot Integritetsskyddsmyndigheten.

I stället omfattade Skao:s data förbudet mot för att registrera känslig personuppgift, såsom facklig tillhörighet, inom lista alternativt personaladministrativa struktur, utom då detta finns laglig bas i enlighet med Dataskyddsförordningen såsom för att detta existerar erforderligt tillsammans hänsyn mot lagstiftning alternativt ytterligare reglering.

Skao existerar från uppfattningen för att reglerna samt praxis kring hantering från känsliga personuppgifter existerar sträng samt för att flera organisationer från olika skäl ej existerar tillräckligt uppmärksamma vid vad detta innebär. detta existerar därför viktigt för att Skao, inom sin roll likt företrädare till arbetsgivare, synliggör denna perception samt upplyser dessa ifall reglerna samt användningen inom detta avseende, ej minimalt till arbetstagarorganisationerna.

Nödvändig behandling

Det finns liksom vän en antal regler samt principer likt ständigt måste efterlevas då ett organisation behandlar personuppgifter.

dem kommer främst mot formulering inom dem start artiklarna inom GDPR, såsom inom skrivelse 5 samt produkt 6.

Huvudregeln är att känsliga uppgifter är förbjudna att behandlas

på denna plats förmå vilket modell nämnas kraven vid uppgiftsminimering samt lagringsminimering (se skrivelse ). ett betydelsefull princip såsom därför för att yttra svävar ovan all behandling i enlighet med GDPR existerar för att behandlingen bör artikel viktig (se nyhet ). ifall ett alternativt flera från dessa principer ej efterlevs sålunda uppkommer enstaka ansvarsskyldighet till personuppgiftsansvarig.

Principen angående ansvarsskyldighet (artikel ) innebär mot modell för att organisationen bör dokumenterade rutiner samt skyddsåtgärder vid område.

detta förmå även krävas för att organisationen besitter gjort enstaka konsekvensbedömning till för att behärska behandla vissa typer från personuppgifter till vissa typer från syften.

Känsliga personuppgifter

Utöver dessa primär principer därför ställer GDPR dessutom särskilt höga krav vid behandling från därför kal-lade känsliga personuppgifter.

Vissa personuppgifter existerar särskilt känsliga samt skyddsvärda, samt för att behandling från sådana förmå innebära avgörande risker till individers primär fri- samt rättigheterna. detta existerar inom skrivelse 9 GDPR såsom behandling från ”särskilda kategorier från personuppgifter” (dvs känsliga personuppgifter) regleras.

från skäl 51 GDPR framgår för att personuppgifter likt mot sin natur existerar särskilt känsliga tillsammans hänsyn mot primär rättigheter samt friheter bör åtnjuta särskilt skydd, eftersom behandling från liknande personuppgifter förmå innebära avgörande risker på grund av dem primär rättigheterna samt friheterna.
 
Enligt GDPR betraktas personuppgifter såsom avslöjar medlemskap inom ett fackförening vilket känsliga.

dem anses lika känsliga likt information ifall en läkarbesök alternativt angående sexuell läggning.

Huvudregel samt undantag

Huvudregeln existerar därför för att känsliga personuppgifter ej får behandlas överhuvudtaget.

En arbetsgivare kan i vissa fall vara helt berättigad att fråga ut sina anställda om deras fackliga tillhörighet

till för att behandling bör existera rätt behövs för att något från undantagen inom skrivelse 9 existerar tillämpliga, dock ej på grund av ett arbetsgivare för att löpande, alternativt beneath ett längre period, behandla arbetsuppgift angående anställds medlemskap inom fackförening. Däremot får sådana personuppgifter behandlas på grund av vissa specifika syften beneath enstaka begränsad tidsperiod – detta tillsammans stöd från arbetsrättsliga regler, bestämmelser inom kollektivavtal mm.

Några modell existerar till löneöversyn alternativt inför enstaka facklig förhandling. då lönerevision alternativt förhandlingen existerar avslutad, dvs då syftet tillsammans med behandlingen från denna personuppgift ej längre föreligger, bör uppgiften raderas. fräsch data får därefter göras nära nästa års löneöversyn alternativt nästa förhandling.

detta förmå givetvis finnas regler likt hindrar radering, tex angående uppgiften ingår inom enstaka allmän papper, samt då får personuppgiftsansvarig utföra enstaka ytterligare granskning.

Uppgifter om facklig tillhörighet utgör känsliga personuppgifter då de anses särskilt skyddsvärda och innebär en högre risk för den registrerades fri- och rättigheter

detta vilket beskrivs inom denna kunskap syftar främst vid behandlingar (registreringar) inom HR-system samt liknande system.
 
Under den tidsperiod såsom den känsliga personuppgiften behandlas bör lämpliga säkerhetsåtgärder vidtas. detta förmå således krävas mer grundlig skyddsåtgärder än dem åtgärder vilket vidtas nära behandling från icke-känsliga personuppgifter.
 
Man skulle behärska tro för att en anställningsavtal vilket klart anger för att arbetsgivaren får behandla övning angående individens fackliga tillhörighet skulle existera tillräckligt till för att erhålla registrera samt spara arbetsuppgift ifall facklig tillhörighet.

dock avtal såsom rättslig bas på grund av för att erhålla behandla känsliga personuppgifter i enlighet med nyhet 9 GDPR ingår ej bland undantagen.

Om någon äger gett sitt uttryckliga samtycke därför utgör detta inom samt på grund av sig en undantag i enlighet med produkt 9 GDPR, samt behandlingen från den känsliga personuppgiften existerar rätt tillsammans med stöd från samtycket - dock ej då detta existerar enstaka anställds samtycke mot för att arbetsgivaren får behandla arbetsuppgift ifall facklig tillhörighet.

enstaka arbetare anses nämligen ej behärska ge en giltigt samtycke eftersom den anställde existerar inom beroendeställning inom relation mot sin arbetsgivare. en sådant samtycke existerar därför ej frivilligt inom den fras vilket GDPR avser.

Skao:s rekommendation

Det existerar Skao:s perception för att ifall enstaka organisation fortsätter för att registrera inom HR-system alternativt likande, dvs behandla känsliga personuppgifter, efter detta för att syftet tillsammans med behandlingen, tex ett löneöversyn alternativt facklig förhandling, ej längre föreligger, därför efterlever ej organisationen GDPR.

Flera regler i MBL och i Lagen om anställningsskydd (LAS) innebär nämligen att arbetsgivaren har vissa skyldigheter gentemot fackliga organisationer

identisk sak föreligger ifall personuppgiftsansvarig äger samlat in information ifall facklig tillhörighet till ett löneöversyn, samt därefter, då löneöversynen existerar färdig, använder uppgiften ifall facklig tillhörighet då ett facklig förhandling bör genomföras. Då används personuppgiften till en nytt ändamål, dvs facklig förhandling, samt ej till detta ändamål på grund av vilken den samlades in, nämligen på grund av löneöversyn.

Detta existerar ett överträdelse från GDPR. Skao menar för att då syftet eller målet existerar uppfyllt därför bör uppgiften raderas. Därefter finns detta ett fara, i enlighet med vår analys, till för att enstaka pågående personuppgiftsincident föreligger.
 
Man kunna äga olika uppfattningar angående sådan icke-radering samt bruk från känsliga personuppgifter till nya ändamål ”bara” existerar enstaka överträdelse från GDPR samt dess primär principer alternativt ifall detta även existerar ett person-uppgiftsincident.

Syftet med avtalet är att skapa rättslig förpliktelse enligt GDPR för att uppfylla parternas skyldigheter enligt övriga avtal

Skao:s perception existerar för att tidigare (historiska) behandlingar från känsliga personuppgifter är kapabel undantas ifrån rapporteringsskyldighet beneath förutsättning för att personuppgiftsansvarig dokumenterar detta samt därefter raderar dessa data, medan aktuella behandlingar inom strid tillsammans gällande regelverk är kapabel undantas ifrån rapporteringsskyldighet ifall detta rör sig ifall enstaka ringa behandling beneath begränsad betalkort period.

detta existerar upp mot varenda personuppgiftsansvarig för att, inom samråd tillsammans med sitt dataskyddsombud, utföra enstaka sådan bedömning.
 
Enligt Dataskyddsförordningen föreligger krav vid inspelade eller skrivna bevis från sina ställningstaganden, detta existerar därför i enlighet med Skao, viktigt för att man utför ett granskning samt dokumenterar denna.

Då kunna organisationen vidare ta lärdom samt titta ovan sina rutiner samt skyddsåtgärder. Man förmå titta läka dataskyddsregleringen liksom en självinstruerande instrument såsom förändras allteftersom.

Rekommendationer inom stället på grund av beslut

En massiv mängd från bestämmelserna inom GDPR lämnar en stort tolkningsutrymme – vilket existerar beklagligt då detta gäller tvingande lagstiftning.

De fackliga organisationer som är kollektivavtalsbärande part kan tillhandahålla denna uppgift

enstaka hel sektion frågetecken föreligger vilket gäller den praktiska innebörden från reglerna. detta existerar därför upp mot varenda personuppgiftsansvarig för att egen ta ställning mot hur denne möter kraven inom GDPR samt dem risker såsom detta innebär för att kraven möjligen ej uppfylls. Integritetsskyddsmyndigheten (IMY) samt övriga dataskyddsmyndigheter inom EU ger bara rekommendationer (förutom inom efterhand då beslut saknas inom tillsynsärenden).

Skao vilket serviceorganisation mot arbetsgivare önskar ge varenda arbetsgivare möjligheter för att ta ställning mot dem risker liksom arbetsgivaren tar ifall denne ej efterlever GDPR samt hur denne bör utföra till för att försöka efterleva bestämmelserna.