GDPR – hur ska jag som förtroendevald agera vid en personuppgiftsincident?
Vad är en personuppgiftsincident?
En personuppgiftsincident är, enligt Dataskyddsförordningen (GDPR) en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. För Visions del kan det handla om att förbundets rutiner inte har följts och en anställd eller en förtroendevald råkar röja ett medlemskap för en obehörig. Exempel:
- diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
- ekonomisk förlust
- brott mot sekretess eller tystnadsplikt.
En personuppgiftsincident har inträffat om uppgifter om en eller flera registrerade personer exempelvis har
- kommit i orätta händer.
- blivit förstörda
- gått förlorade på annat sätt
Det spelar ingen roll om det inträffade har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter enligt Dataskyddsförordningen.
Orsaker till att personuppgiftsincidenter kan inträffa
Mänsklig faktor
I rapporter från Integritetsskyddsmyndigheten framgår att den vanligaste orsaken till att en personuppgiftsincident har inträffat beror på mänsklig faktor.
Röjande av medlemskap
För Visions del kan det handla om att en anställd eller en förtroendevald missar en rutin och råkar skicka ut ett mejl till flera medlemmar utan att mejla med hemlig kopia, eller på något annat sätt röjer ett medlemskap för en eller flera obehöriga. Medlemmar i Vision som inte har förtroendeuppdrag räknas som obehöriga i detta fall.
Personuppgiftsincidenter kan vara allvarliga
För individer
En personuppgiftsincident kan få allvarliga konsekvenser för registrerade personer i form av till exempel ekonomisk skada eller kränkning av deras friheter och rättigheter och det kan t.o.m. innebära fara för liv i vissa fall.
För Vision
En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan påverka tilltron till Vision. Den kan också leda till sanktionsavgifter för förbundet.
Vissa personuppgiftsincidenter måste anmälas av Vision
Alla organisationer måste anmäla vissa typer av personuppgiftsincidenter till Integritetsskyddsmyndigheten. Om Visions dataskyddsombud eller Visions dataskyddsansvariga får information om en potentiell personuppgiftsincident så går de igenom vad som har hänt och beslutar sen skyndsamt om det inträffade ska skickas in till myndigheten eller inte.
Vision har 72 timmar på sig att anmäla en personuppgiftsincident
Vision måste anmäla en konstaterad personuppgiftsincident till Integritetsskyddsmyndigheten inom 72 timmar (klocktimmar) efter att den har upptäckts. Anmälan gör det möjligt för myndigheten att bland annat bevaka vad Vision som personuppgiftsansvarig gör för att motverka negativa effekter. Om det blir nödvändigt kan myndigheten också utöva sina tillsynsbefogenheter för att få Vision att vidta nödvändiga åtgärder.
Har du ytterligare frågor?
För allmänna frågor om Visions dataskyddsarbete och som inte är av akut karaktär kan du skriva till dataskyddsansvarig på Vision på mejladressen dataskyddsansvarig@vision.se.