Personuppgiftsincident – hur ska jag agera?

Vad är en personuppgiftsincident?

En personuppgiftsincident är, enligt dataskydds­förordningen (GDPR), en säkerhets­incident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks.

För Visions del kan det handla om att förbundets rutiner inte har följts och att en anställd eller förtroendevald råkar röja ett medlemskap för en obehörig.

En personuppgifts­incident har inträffat om uppgifter om en eller flera registrerade personer exempelvis har

• kommit i orätta händer.
• blivit förstörda
• gått förlorade på annat sätt.

Det spelar ingen roll om det inträffade har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgifts­incidenter enligt dataskydds­förordningen.

En personuppgiftsincident kan bland annat leda till

• diskriminering, identitetsstöld, bedrägeri och skadlig ryktes­spridning
• ekonomisk förlust
• brott mot sekretess eller tystnadsplikt.

Orsaker till att personuppgiftsincidenter kan inträffa

• Mänsklig faktor. Rapporter från Integritetsskydds­myndigheten visar att mänsklig faktor är den vanligaste orsaken till att personuppgifts­incidenter inträffar.
• Röjande av medlemskap. För Visions del kan det handla om att en anställd eller förtroendevald råkar skicka ut ett mejl till flera medlemmar utan att mejla med hemlig kopia, eller på något annat sätt röjer ett medlemskap för obehöriga. I detta fall räknas medlemmar i Vision som inte har förtroende­uppdrag som obehöriga.

Personuppgiftsincidenter kan vara allvarliga

• För individer. En personuppgifts­incident kan få allvarliga konsekvenser för registrerade personer, till exempel i form av ekonomisk skada eller kränkning av deras friheter och rättigheter. Det kan även innebära fara för liv i vissa fall.
• För Vision. En personuppgifts­incident som inte hanteras på ett lämpligt sätt kan påverka tilltron till Vision. Den kan också leda till sanktions­avgifter för förbundet.

Vad ska jag göra som förtroendevald vid en personuppgiftsincident?

Om du misstänker att du eller någon annan i Vision kan ha orsakat en personuppgifts­incident ska du omedelbart kontakta Visions dataskydds­ombud eller dataskydds­ansvariga. Vision har bara 72 timmar på sig att anmäla en eventuell personuppgifts­incident till Integritetsskydds­myndigheten.

Det är sedan dataskydds­ombuden eller dataskydds­ansvariga som bedömer om händelsen ska skickas till Integritetsskydds­myndigheten eller inte.

I samband med att du kontaktar dataskydds­ombudet eller dataskydds­ansvariga vill vi att du fyller i en förenklad personuppgifts­incident­rapport.

Kontaktuppgifter till Visions dataskyddsombud

Louise Faxner

072-601 60 68

dataskyddsombud@tco.se

Visions dataskyddsombud är anställd av TCO och har uppdraget att stödja Vision i dataskydds­frågor och att se till att Vision följer dataskydds­förordningen. Dataskydds­ombudet ska även samarbeta med Integritets­skydds­myndigheten vid exempelvis inspektioner.

Kontaktuppgifter till Visions dataskyddsansvariga

Åsa Söderberg och Anette Grenthe:
dataskyddsansvarig@vision.se. 

Visions dataskyddsansvariga har en samordnande roll kring dataskyddsfrågor och är anställd av förbundet. Visions dataskydds­ansvariga ansvarar för förbundets löpande dataskydds­arbete i samverkan med dataskydds­ombuden.