Behandla uppgifter om facklig tillhörighet

Vi önskar härmed förtydliga samt nyansera tidigare resultat ifrån Skao samt betona särskilt för att denna ej ägde för att utföra tillsammans den ransomeware attack vilket skett mot Svenska kyrkan – Skao existerar väl medvetet angående för att den incidenten hanteras samt besitter anmälts mot Integritetsskyddsmyndigheten.

I stället omfattade Skao:s upplysning förbudet mot för att registrera känslig personuppgift, såsom facklig tillhörighet, inom lista alternativt personaladministrativa struktur, utom då detta finns laglig bas i enlighet med Dataskyddsförordningen såsom för att detta existerar erforderligt tillsammans hänsyn mot lagstiftning alternativt ytterligare reglering.

I princip är det enligt GDPR lika känsligt att behandla uppgifter om facklig tillhörighet som uppgifter om till exempel sjukdomsdiagnoser eller sexuell läggning

Skao existerar från uppfattningen för att reglerna samt praxis kring hantering från känsliga personuppgifter existerar sträng samt för att flera organisationer från olika skäl ej existerar tillräckligt uppmärksamma vid vilket detta innebär. detta existerar därför viktigt för att Skao, inom sin roll såsom företrädare till arbetsgivare, synliggör denna perception samt upplyser dessa ifall reglerna samt användningen inom detta avseende, ej minimalt till arbetstagarorganisationerna.

Nödvändig behandling

Det finns vilket vän en antal regler samt principer såsom ständigt måste efterlevas då ett organisation behandlar personuppgifter.

dem kommer främst mot formulering inom dem start artiklarna inom GDPR, såsom inom nyhet 5 samt skrivelse 6. denna plats är kapabel likt modell nämnas kraven vid uppgiftsminimering samt lagringsminimering (se skrivelse ). enstaka betydelsefull princip vilket således för att yttra svävar ovan all behandling i enlighet med GDPR existerar för att behandlingen bör artikel nödvändigt (se skrivelse ).

ifall enstaka alternativt flera från dessa principer ej efterlevs därför uppkommer enstaka ansvarsskyldighet till personuppgiftsansvarig.

Syftet med avtalet är att skapa rättslig förpliktelse enligt GDPR för att uppfylla parternas skyldigheter enligt övriga avtal

Principen ifall ansvarsskyldighet (artikel ) innebär mot modell för att organisationen bör dokumenterade rutiner samt skyddsåtgärder vid lokal. detta är kapabel även krävas för att organisationen äger gjort ett konsekvensbedömning på grund av för att behärska behandla vissa typer från personuppgifter på grund av vissa typer från syften.

Känsliga personuppgifter

Utöver dessa elementär principer därför ställer GDPR dessutom särskilt höga krav vid behandling från sålunda kal-lade känsliga personuppgifter.

Vissa personuppgifter existerar särskilt känsliga samt skyddsvärda, samt för att behandling från liknande kunna innebära avgörande risker till individers elementär fri- samt rättigheterna. detta existerar inom nyhet 9 GDPR såsom behandling från ”särskilda kategorier från personuppgifter” (dvs känsliga personuppgifter) regleras.

En arbetsgivare kan i vissa fall vara helt berättigad att fråga ut sina anställda om deras fackliga tillhörighet

från skäl 51 GDPR framgår för att personuppgifter vilket mot sin natur existerar särskilt känsliga tillsammans hänsyn mot primär rättigheter samt friheter bör åtnjuta särskilt skydd, eftersom behandling från liknande personuppgifter är kapabel innebära avgörande risker på grund av dem primär rättigheterna samt friheterna.
 
Enligt GDPR betraktas personuppgifter vilket avslöjar medlemskap inom enstaka fackförening vilket känsliga.

dem anses lika känsliga likt fakta angående en läkarbesök alternativt angående sexuell läggning.

Huvudregel samt undantag

Huvudregeln existerar därför för att känsliga personuppgifter ej får behandlas överhuvudtaget. på grund av för att behandling bör existera rätt behövs för att något från undantagen inom skrivelse 9 existerar tillämpliga, dock ej på grund av enstaka arbetsgivare för att löpande, alternativt beneath enstaka längre period, behandla övning angående anställds medlemskap inom fackförening.

Däremot får sådana personuppgifter behandlas på grund av vissa specifika syften beneath ett begränsad tidsperiod – detta tillsammans med stöd från arbetsrättsliga regler, bestämmelser inom kollektivavtal mm.

Några modell existerar på grund av löneöversyn alternativt inför enstaka facklig förhandling. då lönerevision alternativt förhandlingen existerar avslutad, dvs då syftet tillsammans behandlingen från denna personuppgift ej längre föreligger, bör uppgiften raderas. fräsch data får därefter göras nära nästa års löneöversyn alternativt nästa förhandling.

detta är kapabel givetvis finnas regler såsom hindrar radering, tex angående uppgiften ingår inom ett allmän papper, samt då får personuppgiftsansvarig utföra enstaka ytterligare utvärdering.

Enligt Martin Hemberg är medlemmarnas uppgifter bättre skyddade nu än tidigare

detta liksom beskrivs inom denna data syftar främst vid behandlingar (registreringar) inom HR-system samt liknande system.
 
Under den tidsperiod såsom den känsliga personuppgiften behandlas bör lämpliga säkerhetsåtgärder vidtas. detta förmå således krävas mer grundlig skyddsåtgärder än dem åtgärder liksom vidtas nära behandling från icke-känsliga personuppgifter.
 
Man skulle behärska tro för att en anställningsavtal liksom klart anger för att arbetsgivaren får behandla övning ifall individens fackliga tillhörighet skulle existera tillräckligt till för att ett fåtal registrera samt spara övning ifall facklig tillhörighet.

dock avtal liksom rättslig bas på grund av för att erhålla behandla känsliga personuppgifter i enlighet med produkt 9 GDPR ingår ej bland undantagen.

Om någon äger gett sitt uttryckliga samtycke sålunda utgör detta inom samt på grund av sig en undantag i enlighet med nyhet 9 GDPR, samt behandlingen från den känsliga personuppgiften existerar rätt tillsammans stöd från samtycket - dock ej då detta existerar enstaka anställds samtycke mot för att arbetsgivaren får behandla arbetsuppgift angående facklig tillhörighet.

enstaka arbetare anses nämligen ej behärska ge en giltigt samtycke eftersom den anställde existerar inom beroendeställning inom relation mot sin arbetsgivare. en sådant samtycke existerar därför ej frivilligt inom den fras vilket GDPR avser.

Skao:s rekommendation

Det existerar Skao:s perception för att ifall ett organisation fortsätter för att registrera inom HR-system alternativt likande, dvs behandla känsliga personuppgifter, efter detta för att syftet tillsammans behandlingen, tex enstaka löneöversyn alternativt facklig förhandling, ej längre föreligger, således efterlever ej organisationen GDPR.

Avtal om utbyte av personuppgifter tydliggör hanteringen av utlämnandet av känsliga personuppgiften facklig tillhörighet

identisk sak föreligger ifall personuppgiftsansvarig äger samlat in fakta angående facklig tillhörighet på grund av enstaka löneöversyn, samt därefter, då löneöversynen existerar färdig, använder uppgiften angående facklig tillhörighet då ett facklig förhandling bör genomföras. Då används personuppgiften till en nytt ändamål, dvs facklig förhandling, samt ej på grund av detta ändamål på grund av vilken den samlades in, nämligen till löneöversyn.

Detta existerar ett överträdelse från GDPR. Skao menar för att då syftet eller målet existerar uppfyllt således bör uppgiften raderas.

Flera regler i MBL och i Lagen om anställningsskydd (LAS) innebär nämligen att arbetsgivaren har vissa skyldigheter gentemot fackliga organisationer

Därefter finns detta ett fara, i enlighet med vår granskning, på grund av för att enstaka pågående personuppgiftsincident föreligger.
 
Man kunna äga olika uppfattningar angående sådan icke-radering samt bruk från känsliga personuppgifter på grund av nya ändamål ”bara” existerar enstaka överträdelse från GDPR samt dess elementär principer alternativt angående detta även existerar enstaka person-uppgiftsincident.

Skao:s perception existerar för att tidigare (historiska) behandlingar från känsliga personuppgifter kunna undantas ifrån rapporteringsskyldighet beneath förutsättning för att personuppgiftsansvarig dokumenterar detta samt därefter raderar dessa fakta, medan aktuella behandlingar inom strid tillsammans gällande regelverk förmå undantas ifrån rapporteringsskyldighet ifall detta rör sig ifall enstaka ringa behandling beneath begränsad vykort tidsperiod.

detta existerar upp mot varenda personuppgiftsansvarig för att, inom samråd tillsammans sitt dataskyddsombud, utföra ett sådan bedömning.
 
Enligt Dataskyddsförordningen föreligger krav vid inspelade eller skrivna bevis från sina ställningstaganden, detta existerar därför i enlighet med Skao, viktigt för att man fullfölja ett granskning samt dokumenterar denna.

Då kunna organisationen vidare ta lärdom samt titta ovan sina rutiner samt skyddsåtgärder. Man är kapabel titta bota dataskyddsregleringen vilket en självinstruerande instrument liksom förändras allteftersom.

Rekommendationer inom stället på grund av beslut

En massiv mängd från bestämmelserna inom GDPR lämnar en stort tolkningsutrymme – vilket existerar beklagligt då detta gäller tvingande lagstiftning.

Huvudregeln är att känsliga uppgifter är förbjudna att behandlas

enstaka hel sektion frågetecken föreligger vad gäller den praktiska innebörden från reglerna. detta existerar därför upp mot varenda personuppgiftsansvarig för att egen ta ställning mot hur denne möter kraven inom GDPR samt dem risker likt detta innebär för att kraven möjligen ej uppfylls. Integritetsskyddsmyndigheten (IMY) samt övriga dataskyddsmyndigheter inom EU ger bara rekommendationer (förutom inom efterhand då beslut saknas inom tillsynsärenden).

Skao liksom serviceorganisation mot arbetsgivare önskar ge varenda arbetsgivare möjligheter för att ta ställning mot dem risker likt arbetsgivaren tar ifall denne ej efterlever GDPR samt hur denne bör utföra på grund av för att försöka efterleva bestämmelserna.