Annons

GDPR-missen: Uppgifter om uppsagda skickades fel

Svenskt Näringslivs-ägda organisationen TRR skickade uppgifter om att personer nyss sagts upp, vilka de uppsagda var och vilket stöd de skulle få, till fel mottagare. Händelsen GDPR-anmäldes och TRR har sett över rutinerna efter missen.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

Det var när kollektivavtalsorganisationen Trygghetsrådet, TRR, skulle kontrollera uppgifter om 23 nyligen uppsagda personer som sagts upp, som misstaget skedde.

En lista med de 23 personernas uppgifter skickades av misstag till en kontaktperson för fel kund. Sammanlagt handlar det om 92 personuppgifter om de nyss uppsagda som hamnade i händerna på fel mottagare. 

”Exakt varför listan skickades till fel person, det vet jag faktiskt inte. Ibland kan det finnas anledning att vi kontrollerar att vi har rätt uppgifter, förmodligen är det så nu och då har ett mänskligt misstag skett”, säger Claes Åberg, kommunikationschef på TRR.

Enligt TRR ska de uppsagda personerna ha varit anmälda för omställningsstöd efter att de sagts upp, vilket framgick av uppgifterna som skickades fel. Dessutom framgick förutom personuppgifter bland annat vilken arbetsgivare som sagt upp personerna. 

De drabbade är inte informerade om att TRR läckt att de sagts upp, men organisationen ska ha ändrat sina rutiner för hur man hanterar personuppgifter i fall som dessa.

”Normalt är allt automatiserat i system som löper på. Vi har någonstans mellan 10 000 och 20 000 personer som vi hjälper årligen, så det här är ovanligt att det sker sådana här misstag. Vi har sett över rutinerna och det här är ett undantagsfall där man skickar ut en lista, vilket vi inte gör i normalfallet”, säger Claes Åberg.

Läs mer: Klarna under GDPR-lupp – riskerar jättebot

Missen uppdagades två dagar efter att uppgifterna, som inte var krypterade, skickats när mottagaren informerade TRR som då anmälde händelsen till Datainspektionen. Enligt TRR:s anmälan är en konsekvens att de drabbades anseende kan ha tagit skada.

”Vi har försökt göra allt vi kan för att det här inte ska bli något bekymmer för personerna”, säger Claes Åberg.

TRR ägs av Svenskt Näringsliv och Förhandlings- och samverkansrådet PTK och har avtal med arbetsgivare som, när de sagt upp medarbetare, skickar dem vidare till TRR för olika insatser för att åter få personerna i arbete. 

Enligt EU:s nya dataskyddsbestämmelser ska händelser där personuppgifter sprids felaktigt anmälas till ansvarig tillsynsmyndighet, i Sveriges fall Datainspektionen. Om felen anses vara omfattande riskerar de ansvariga bolagen, organisationerna eller myndigheterna höga böter.

Enligt TRR ska organisationen ha uppmanat den som tog emot personuppgifterna att radera informationen, vilket också ska ha skett.

Läs mer: GDPR-nobben: Datainspektionen vill inte träffa Google 

Facebook
Twitter
LinkedIn
E-post
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies