Medlem hittade känsliga brev som Hyresgästföreningen slängt: ”Jag blev förvånad”
Det handlar om utskick från Hyresgästföreningens medlemscenter till medlemmar där adresserna inte stämt. Breven har därför kommit i retur till medlemscentret, som är lokaliserat i centrala Örebro.
Personalen är van vid att hantera returbrev av det här slaget. Normalt läggs de i sekretesslådor för att sedan förstöras. Försändelserna innehåller nämligen personuppgifter som namn och adress och att sprida sådant till obehöriga kan vara ett brott mot dataskyddsförordningen, GDPR.
Men de här breven lades aldrig i någon sekretesslåda. I stället hamnade de i fastighetens soprum som delas av Hyresgästföreningen, vanliga hyresgäster och näringsidkare.
Medlem hittade breven
Det rör sig om minst 350-400 brev som handlar om hur man ska betala sitt medlemskap eller att betalning saknas. I början av augusti hittades de av en man som i sin tur tipsade Hem & Hyra.
– Det är många som har tillgång till det här soprummet så fler än jag kan ha sett dem, säger mannen.
Han fortsätter:
– Jag blev förvånad eftersom det sedan länge reglerats i lagen hur man ska handskas med integritetsskydd och personuppgifter. Sedan är jag själv medlem i Hyresgästföreningen, så jag funderar på om de varit så här ovarsamma även med mina uppgifter, säger tipsaren som i sitt jobb själv hanterar GDPR-frågor.
Allvarlig sak
Mika Nuutilainen, chef för medlemscentret, fick vetskap om breven efter att Hem & Hyra uppmärksammat honom om dem.
– Vi ser mycket allvarligt på det här. Det finns en lagstiftning kring personuppgifter och den ska vi så klart följa. Så fort vi fick reda på det här försökte vi reda ut vad som hade hänt. Hade vi bristande rutiner eller var det kanske någon i personalen som gjort något fel? säger han.
Men varför breven hamnade i soprummet i stället för i sekretesslådan gick inte att klarlägga.
– Nej, ingen har tagit på sig det här. Men vi har landat i att det är en enskild person som har gjort ett misstag, vilket naturligtvis är oerhört olyckligt. Samtidigt kan jag säga att vi aldrig varit med om något liknande tidigare.
– Och vårt fokus har varit att det här inte ska upprepas. All personal har på nytt fått information om GDPR, vad som räknas som personuppgifter och hur man handskas med dem, säger Mika Nuutilainen.
En annan åtgärd är att medlemscentret förbättrat rutinerna för hur returposten hanteras.
Har inte anmält
Personuppgifter samlas in av många verksamheter – exempelvis myndigheter, företag och organisationer som Hyresgästföreningen. Det får inte göras hur som helst utan man måste ha ett specifikt syfte för insamlingen.
En annan grundförutsättning är att den som samlar in dina personuppgifter inte får tappa kontrollen över dem. Om uppgifterna sprids till obehöriga rör det sig om en så kallad personuppgiftsincident.
Det är verksamheten som själv får avgöra om det rör sig om en sådan incident. Finner man att så är fallet är huvudregeln att det så snart som möjligt ska anmälas till Integritetsskyddsmyndigheten, IMY. Det ska ske 72 timmar efter att man upptäckt saken.
Hyresgästföreningen har inte skickat in någon anmälan till IMY om breven i soprummet. Dataskyddsombudet, juristen Johan Mirtorp, bedömer att det inte behövs.
– Han anser att de åtgärder vi har gjort är tillräckliga och då följer vi hans råd. Jag är inte expert på det här men Johan Mirtorp är det, säger Mika Nuutilainen.
Mirtorp vill inte kommentera sitt ställningstagande till Hem & Hyra.
Expert: Borde anmälas
Men Daniel Westman, jurist och GDPR-expert, gör en annan bedömning utifrån de uppgifter han får från Hem & Hyra. Han tycker att saken borde anmälas.
– Jag antar att det rör sig om ett oavsiktligt läckage och att det inte tillhör de normala rutinerna att hantera brev som kommer i retur på detta sätt. Men lika fullt är det inte tillåtet att sprida personuppgifter på det här viset. Huvudregeln är att en incident av detta slag ska anmälas till IMY, men undantag gäller om det är osannolikt att incidenten leder till skada för de drabbade personerna, säger Daniel Westman.
Han menar att det finns saker som är både försvårande och förmildrande i det här fallet. Till exempel räknas inte medlemskap i Hyresgästföreningen som en känslig personuppgift (se faktaruta).
Och även om det handlar om hundratals brev som kan sägas röra personernas ekonomi så är skadan troligen begränsad.
– Det är väl inte så många som tittar i soporna. Annat hade det varit om man hade lagt ut uppgifterna på nätet.
– Om Hyresgästföreningen kommer fram till att det är osannolikt att någon skadas av incidenten och därför väljer att inte anmäla den till IMY ska den bedömningen dokumenteras. Dessutom ska organisationen vidta åtgärder för att se till att något liknande inte händer igen, säger Daniel Westman.
Brev till dödsbo
I tidningsinsamlingen låg även ett brev till ett dödsbo. Men här rör det sig definitivt inte om något brott mot GDPR eftersom lagstiftningen inte omfattar avlidna personer.
– Det är sorgligt att någon har dött och de berörda kan förstås tycka att det är jobbigt. Men GDPR gäller bara för levande personer, kommenterar Daniel Westman.
Verksamheten som samlar in dina personuppgifter får bara göra det för specifika, särskilt angivna och berättigade ändamål.
Dina uppgifter ska skyddas. Till exempel ska obehöriga inte få tillgång till dem och de får heller inte förloras eller förstöras.
Men när uppgifterna inte längre behövs ska verksamheten radera dem.
Som personuppgifter räknas till exempel namn, adress, telefonnummer och e-postadress.
Vissa personuppgifter räknas som känsliga. Det gäller exempelvis uppgifter om religion, etnicitet, politisk uppfattning och medlemskap i en fackförening. Medlemskap i Hyresgästföreningen räknas inte som en känslig uppgift.
Det händer inget särskilt om en verksamhet inte anmäler till IMY, även om man egentligen är skyldig att göra det. Myndigheten kan dock inleda egna undersökningar, till exempel efter ett tips från en anställd eller en privatperson.
En tillsyn kan leda till en reprimand om det rör sig om en mild överträdelse. IMY kan även förbjuda eller förelägga en verksamhet att vidta vissa åtgärder.
Utöver det kan nästan alla överträdelser leda till sanktionsavgifter. Det finns ingen ”prislapp” för hur hög en sanktionsavgift ska vara för en viss överträdelse. Däremot finns det övre beloppsgränser, det vill säga maxbelopp. Läs mer här