Personoplysninger er de oplysninger, der kan være med til at identificere en specifik person.
Personoplysninger er bl.a. navn, adresse, telefonnummer, e-mail, alder, køn, arbejdsfunktion, titel, uddannelse og arbejdsplads. Personoplysninger er ligeledes oplysning om medlemskab af en fagforening eller oplysning om helbred, seksualitet eller etnisk oprindelse.

Udover at kende til forskellige personoplysninger skal du også være opmærksom på, at der findes forskellige kategorier af personoplysninger.

Man opdeler personoplysninger i tre hovedkategorier:

Fortrolige eller beskyttelsesværdige personoplysninger

Nogle af personoplysningerne i de tre hovedkategorier kan også være fortrolige eller beskyttelsesværdige enten fordi, det fremgår af særlovgivning, som eksempelvis CPR-nr., eller fordi de fleste borgere i Danmark vil synes, at det er ubehageligt, hvis andre bliver bekendt med de pågældende oplysninger.

Eksempler på sådanne personoplysninger kan være oplysninger om sociale problemer, CPR-nr., beskyttede navne og adresser, eksamenskarakterer, disciplinære foranstaltninger (f.eks. en skriftlig advarsel fra arbejdsgiveren), personlighedstest, selvmordsforsøg, langtidsledighed, førtidspension, økonomiske forhold m.v.

Du behandler personoplysninger, når du indsamler, indtaster, organiserer, videresender, deler, opstiller, systematiserer, gemmer, arkiverer, anvender eller sletter personoplysninger.

Når du behandler personoplysninger, skal du være opmærksom på hvilken type personoplysninger, det er, du behandler samt omfanget af personoplysninger, du behandler. Grunden til dette er, at der er forskel på den sikkerhed, der kræves for behandling af almindele personoplysninger og den sikkerhed, der skal være i forbindelse med, at du behandler følsomme personoplysninger, personoplysninger og strafbare forhold og oplysninger af beskyttelsesværdig karakter.

Når du behandler personoplysninger der ikke udelukkende er almindelige personoplysninger, skal disse behandles ekstra sikkert, det betyder bl.a., at du skal sikre at andre ikke kan få adgang til oplysningerne i forbindelse med evt. overførelse af personoplysningerne. Det kan f.eks. være via mail eller via arkivsystemer, hvor det er vigtigt, at dette sker krypteret, så uvedkommende ikke kan få adgang til personoplysningerne.

Når du behandler personoplysninger, skal du ligeledes overveje, om det er nødvendigt at behandle alle de oplysninger du har, eller om nogle af dem kan undværes. Hvis der ikke er behov for oplysningerne for at opnå formålet med behandlingen, skal du undlade at indsamle disse og í øvrigt slette de oplysninger, som der ikke er behov for (saglig grund til).

Som tillidsrepræsentant har du i forbindelse med dit tillidsarbejde ret til at behandle personoplysninger om de kollegaer, du har forhandlingsretten over.

Du har eksempelvis ret til at få oplysninger om lønninger fra din arbejdsgiver for alle de overenskomstdækkede kollegaer, som du repræsenterer.

Udover lønninger, behandler du også personoplysninger om dine kollegaer i form af navn, mail, fødselsdag, uddannelse, ansvarsområde, stillingsbetegnelse, anciennitet, faggruppe m.v.

Du har ret til at få oplysninger om nyansatte, herunder navn, kvalifikationer og løn- og anciennitetsindplacering mv., og du har ligeledes ret til at få oplysninger om dine kollegaers løn og løntillæg og begrundelser for tildeling fra din arbejdsgiver.

Udover oplysninger i relation til løn kan du ligeledes komme ud for at skulle behandle følsomme personoplysninger. Det kan eksempelvis være oplysninger om dine kollegaers race eller etnisk oprindelse, politiske overbevisning, religiøse overbevisning, helbredsoplysninger, herunder misbrug af medicin, narkotika, alkohol m.v. samt dine kollegaers seksuelle forhold eller seksuelle orientering. Alle disse oplysninger har du ret til at behandle så længe, det sker i forbindelse med din varetagelse af dit tillidsarbejde.

Du skal være særligt opmærksom på, at oplysning om fagforeningsmæssigt tilhørsforhold er en følsom personoplysning, der ofte vil kunne udledes af andre oplysninger end det direkte medlemskab af fagforeningen.

Du skal eksempelvis være særlig opmærksom i forbindelse med udsendelse af invitationer til klubmøder m.v. En indkaldelse til klubmøde vil kunne afsløre hvem, der er medlem af klubben/fagforeningen, hvis indkaldelsen ikke sker uden, at andre kan se hvem, der ellers er inviteret (eksempelvis ved udsendelse af mail ved brug af BCC-feltet eller lignende tiltag).

De personer, som du behandler personoplysninger om, har forskellige rettigheder. Bl.a. har de ret til at få oplyst hvilke personoplysninger, der behandles om dem, og hvad formålet med behandlingen er. De har ligeledes ret til at få rettet urigtige oplysninger eller at få slette oplysninger, hvis dette ikke strider mod lovgivningen.

Hvis en person beder om at få indsigt i, hvilke oplysninger du behandler om dem, skal du kontakte dit forbund, der vil hjælpe dig med at opfylde forpligtelserne samt sikre, at der ikke bliver udleveret oplysninger om andre end personen, der beder om indsigt.

Et brud på persondatasikkerheden skal registreres i forbundets log over sikkerhedsbrud og skal eventuelt også indberettes til Datatilsynet inden 72 timer, og ligeledes kan det ske, at de personer, hvis personoplysninger indgår i bruddet, ligeledes skal orienteres om bruddet.

Et brud kan forekomme ved at du eksempelvis kommer til at sende en mail med personoplysninger til en forkert person, eller at du i forbindelse med udsendelsen af mails kommer til at sende denne til flere mailadresser uden at anvende BCC.

Et brud kan ligeledes forekomme ved, at du kommer til at tale med en person om en sag, som denne person ikke har en saglig grund til at blive involveret i.

Men et brud kan også være, at du får stjålet din pc, din telefon, din taske med papirer indeholdende personoplysninger, eller at en person kigger med på din skærm i den offentlige transport eller på en café.

Du skal derfor huske, at hvis du bliver bekendt med, at der er sket et brud, så skal dette straks meldes til den GDPR-ansvarlige i dit forbund.

Det er kun tilladt at behandle personoplysninger, der er et sagligt formål med at behandle. Det betyder, at når der ikke længere er et sagligt formål med behandlingen af de pågældende personoplysninger, så skal disse slettes.

Når en kollega, som du har forhandlingsretten over, fratræder, skal du slette alle personoplysninger vedrørende denne person i overensstemmelse med slettepolitikken, som du har fået fra dit forbund.

Sletning af personoplysninger skal ske sikkert, hvilket vil sige, at mails skal slettes helt også i papirkurven i mailsystemet, at fysiske papirer skal makuleres, at filer på fildrev skal slettes permanent, og at personoplysninger i andre systemer skal slettes, så de ikke kan genskabes.

Udover sletning i forbindelse med fratrædelser skal du også løbende gennemgå de personoplysninger, som du behandler for at se, om nogle af disse ikke længere er nødvendige at gemme i forhold til det formål, de er indsamlet til (der skal være et sagligt formål – ikke blot at det er rart eller praktisk).