GDPR for TR: Sådan gør du ved et persondatabrud
Som tillidsrepræsentant håndterer du medlemsdata, der er omfattet af persondataforordningen(GDPR). Derfor skal du være klar til at handle, hvis du opdager, at persondata er blevet delt - et såkaldt persondatabrud. Læs hvordan her
Har du ved et uheld sendt en mail med medlemsoplysninger til en forkert person, eller har du glemt en USB-nøgle med persondata i toget?
EU’s persondataforordning, GDPR, stiller nye krav til, hvordan tillidsrepræsentanter skal håndtere medlemmers data, og hvis ikke disse krav overholdes, kan der ifølge forordningen være tale om et persondatabrud. Men hvordan ved du, om du er kommet til at forårsage persondatabrud, og hvad skal du foretage dig, hvis uheldet er ude? Det giver Socialpædagogen svar på her.
Hvad er et persondatabrud?
-Et persondatabrud er et brud på sikkerheden, der medfører, at persondata bliver tilgængelig for andre end de personer, der har lov til at arbejde med dem.
-Glemmer du fx en USB-nøgle med ukrypteret persondata i toget, vil der altså være tale om et brud. Har du til gengæld husket at kryptere dataene på USB-nøglen, vil der ikke være tale om et brud.
-Der er ligeledes tale om et persondatabrud, hvis du ved et uheld har sendt en mail med personoplysninger til et forkert medlem.
Hvorfor er det vigtigt at undgå?
Fordi en oplysning om ’fagforeningsmæssige tilhørsforhold’, som fx et medlemskab af Socialpædagogerne, ifølge forordningen tæller som en ’følsom personoplysning’. Derfor skal ethvert medlemskab behandles fortroligt på linje med helbredsoplysninger og oplysninger om seksuel orientering og religiøs overbevisning.
Hvad skal jeg gøre, hvis jeg opdager et persondatabrud?
- Du skal sikre dig en minimering af persondatabruddet i det omfang, det er muligt. Har du fx sendt en mail til en forkert modtager så kontakt vedkommende øjeblikkeligt og bed personen om at slette mailen med det samme.
Hvem skal jeg underrette?
- Du skal underrette Socialpædagogerne. Send hurtigst muligt en mail til dataansvarlig@sl.dk. Det skal ske uden unødig forsinkelse og senest inden for et døgn, så den dataansvarlige hos Socialpædagogerne kan nå at vurdere og indberette bruddet til Datatilsynet inden for 72 timer.
Hvad skal jeg skrive i mailen?
- Mailen til dataansvarlig@sl.dk skal indeholde følgende oplysninger:
- Dato og tidspunkt for bruddet, gerne så præcist som muligt
- Hvornår blev du bekendt med bruddet? Fx ved henvendelse fra et medlem.
- Hvad er der sket? (En kort beskrivelse af persondatabruddet herunder årsagen til bruddet?)
- Hvilken type af personoplysninger er berørt?
- Hvor mange personer er berørt af bruddet?
- Hvis det er muligt så giv gerne en kort beskrivelse af mulige konsekvenser for persondatabruddet.
På baggrund af de oplysninger vurderer den dataansvarlige, om der er tale om et brud på persondataforordningen.
Læs mere om GDPR for tillidsrepræsentanter her.
Du kan også læse de nyeste opdateringer om GDPR på TR-portalen under "Værd at vide".