GDPR - Begick jag en brottslig handling?

Trädvy Permalänk
Medlem
Registrerad
Jul 2009

GDPR - Begick jag en brottslig handling?

Hej SweC

Jag har idag gjort en tabbe av helt episka proportioner; jag administrerar en projektgrupp inom offentlig förvaltning, och skulle idag skicka ut inbjudningar till ett evenemang. I min dumhet, och under alldeles för mycket stress, klistrade jag in mailadresserna i "till"'fältet istället för i fältet för "hemlig kopia". Jag insåg mitt misstag först efter att jag fått svar på mailet (där samtligas mailadresser då syns).

I hela mitt yrkesverksamma liv så har jag nog aldrig känt mig så j-vla dum. Frågan är nu, vad bör jag vidta för åtgärder?
Räknas detta som en personuppgiftsincident?

Samtligas mailadresser finns tillgängliga i den gemensamma katalogen (bortsett från tre som använt privat adress, om det nu har någon betydelse).

Undvik gärna dumförklaranden, jag garanterar att jag hanterar den biten galant=)

Tack på förhand

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2018

Du skall kontakta din GDPR-ansvarige i frågan och ta upp det där.

Förvaltningen skall ha en sådan person såvitt jag vet.

Trädvy Permalänk
Medlem
Plats
Twilight Zone
Registrerad
Nov 2001

Nu är jag ingen expert men man bör hantera uppgifterna så smidigt man bara kan. Sen blir det en fråga huruvida e-postadressen anses vara "känslig" information.

Det beror nog även på vad mailet i sig innehåller. Om det nu är ett mail där man bekräftar en bokad tid för abort så är det nog mindre bra.

Är det ett mail som meddelar vilken pub AVn skall vara på så är det nog ett mindre bekymmer.

Men som ovan skriver, ta det med den ansvariga på arbetsplatsen.

Skickades från m.sweclockers.com

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009

Jag antar (men vet inte) att ni har någon typ av samtyckesavtal men kontakta ditt dataskyddsombud för råd i det specifika fallet.
För ni har väl ett dataskyddsombud...
https://www.datainspektionen.se/lagar--regler/dataskyddsforor...

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Trädvy Permalänk
Medlem
Plats
Borlänge
Registrerad
Jul 2007

@Arcturus:

Tillhör ni alla samma juridiska person? (Bolag eller förening)

Trädvy Permalänk
Medlem
Registrerad
Jul 2009
Skrivet av Haladria:

@Arcturus:

Tillhör ni alla samma juridiska person? (Bolag eller förening)

Vi tillhör alla samma förvaltning (landsting), och samtliga mottagare ingår i samma projektgrupp

Trädvy Permalänk
Medlem
Registrerad
Aug 2015

Maila ditt DataSkyddsOmbud (DSO) och fråga.
Dom är till för precis sådana här saker.

Trädvy Permalänk
Medlem
Registrerad
Jul 2009
Skrivet av reverend benny:

Maila ditt DataSkyddsOmbud (DSO) och fråga.
Dom är till för precis sådana här saker.

Det kommer jag självklart göra, men då jag generellt har riktigt lätt för att oroa mig över saker och ting tänkte jag vända mig till Sweclockers samlade expertis innan jag hinner få ett nervöst sammanbrott

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jun 2007
Skrivet av Arcturus:

Vi tillhör alla samma förvaltning (landsting), och samtliga mottagare ingår i samma projektgrupp

Förmodar att alla kan hitta samtligas adress genom en gemensam adressbok?
Sen även när det är arbetsrelaterat där alla mottagare (som du beskriver) ingår i gruppen behöver du inte dölja adresserna.
Du kan vara lugn.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2002

Varför skulle det falla under gdpr? Ser ju sånt här dagligen..

Trädvy Permalänk
Medlem
Registrerad
Jul 2009
Skrivet av MacAllan:

Förmodar att alla kan hitta samtligas adress genom en gemensam adressbok?
Sen även när det är arbetsrelaterat där alla mottagare (som du beskriver) ingår i gruppen behöver du inte dölja adresserna.
Du kan vara lugn.

Oklart om samtliga går att hitta, då vissa använt sig av sin privata mejladress (totalt 5 personer av 30). Jag antar att det förändrar läget en aning?

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Aug 2007

Det är uberlugnt

[Acase El Diablo][Intel Core I7 920][Moderkort Asus P6T Deluxe][3GB kit OCZ ddr 1333mhz][Asus HD4870x2][Corsair Powersupply 650W][1xSamsung Spinpoint 640gb][Windows Vista ultimate 64bit]

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2013

En fråga som kanske är mer allmän, men även aktuell i TS fall: Kan den enskilde medarbetaren bli straffad när något sådant sker, eller är det chef/arbetsgivare som man bli straffad? Vid brott mot GDPR alltså.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2003

@Arcturus: Gick mailet externt? Om ja då har du fuckat upp. Men vem har inte det. I värsta fall kommer eran GDPR ansvarig behöva göra en incident anmälan.

System: i5 3570K, Z77X-D3H, Corsair 12GB VENGEANCE, SSD 256GB Samsung 830, EVGA 1080 SC, Noctua NH-U14S, CMPSU-650HXEU 650W, Antec P280 + BenQ XL 2410T & Windows 10 Home.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2003

@twk: Det är arbetsgivaren som blir bestraffad.

System: i5 3570K, Z77X-D3H, Corsair 12GB VENGEANCE, SSD 256GB Samsung 830, EVGA 1080 SC, Noctua NH-U14S, CMPSU-650HXEU 650W, Antec P280 + BenQ XL 2410T & Windows 10 Home.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Haha sitt lugnt i båten, misstag händer och detta är ju ett pyttelitet misstag som händer hela tiden. Och det händer ju inom förvaltningen som jag förstår det vilket minimerar händelsen till ingenting. Sen att någon skulle bli sur på att de blev som de blev, fine låt den grin-nissen bli det men låt inte detta tynga ner dig. Äg ditt misstag och gå vidare.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jun 2007
Skrivet av Arcturus:

Oklart om samtliga går att hitta, då vissa använt sig av sin privata mejladress (totalt 5 personer av 30). Jag antar att det förändrar läget en aning?

Nej inte i detta fallet.
Som jag sa, ni är en arbetsgrupp och förmodligen samma arbetsgivare.

Tror inte ens det faller inom GDPR.

Trädvy Permalänk
Medlem
Plats
Västra götaland
Registrerad
Sep 2012
Skrivet av twk:

En fråga som kanske är mer allmän, men även aktuell i TS fall: Kan den enskilde medarbetaren bli straffad när något sådant sker, eller är det chef/arbetsgivare som man bli straffad? Vid brott mot GDPR alltså.

Skickades från m.sweclockers.com

IANAL
Arbetsgivaren får GDPR smällen till 100%. Det som kan hända däremot är att arbetgivaren i sin tur gör en juridisk handling mot den anställde om den har misskött sig genom att exempelvis avsiktligt begå GDPR brottet, men det ses som ett separat fall som vilken misskötsel som helst och kan därmed i princip bara resultera i uppsägning om det inte går till arbetsdomstolen.

Även om du har begått GDPR brott (prata med din GDPR ansvarige) så är det i princip inget problem så länge det rapporteras in korrekt. Jag menar, vi snackar inte om 1177 läckan här. Rapportera bara in det och tag det lugnt, inga skäl till oro, de värsta konsekvenserna som kan ske är typ att du behöver informera de drabbade om att läckan skedde. GDPR är som farligast om man inte rapporterar in det. Igen, IANAL.

Schysst däremot att du och din arbetsplats tar GDPR på allvar

Kan låta oavsiktligt aggressiv.
Citera eller @philipborg om du vill att jag ska läsa dina svar.

Trädvy Permalänk
Medlem
Plats
Lund / Stockholm
Registrerad
Jul 2008

Du har alltså skickat mail inom jobbet och råkat göra så att alla mottagare ser vilka du skickat till.

Någon som har lust att förtydliga varför det skulle vara olagligt? Om det nu är olagligt kan jag säga att du inte är den enda inom offentlig sektor som gjort det här misstaget då jag har fått mail från Försvarsmakten, räddningstjänster och högskolor där jag kunnat se mottagarlistan.

Trädvy Permalänk
Medlem
Registrerad
Mar 2011

Du kan ta det hur lugnt som helst. Lyft frågan med din DPO om du vill och sen kan den välja hur stor sak den vill göra av det. Inte dit problem hur som helst.

För att lugna dig kan jag även säga att jag nog inte gått en arbetsdag utan att se liknande och "värre" saker ske helt utan åtgärd.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Den här typen av misstag sker precis hela tiden - och det är just misstag.

Det enda (utan att jag letat) där jag sett att blivit konsekvens med bestraffning med hänvisning till GDPR var när en tysk social Site läckte hela sin inloggning och passord-fil av någon som hackade siten - och då var böterna duktig rabatterat iom. att man gick snabbt ut till sina medlemmar vad som hänt, behjälpliga i utredningen samt satsade mycket pengar till att förbättra sin IT-säkerhet även innan domen föll att det stannade på mer behändiga 20000€ - i företagssammanhang inga stora pengar då de hade investera på IT-sidan med över 1000000€

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2001

Vidta INGEN åtgärd, sitt lugnt i båten. Gör inget, säg inget, skicka inga mail.

Om alla är inom samma organisation tycker jag inte ens du gjort något fel.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2018
Skrivet av Arcturus:

Oklart om samtliga går att hitta, då vissa använt sig av sin privata mejladress (totalt 5 personer av 30). Jag antar att det förändrar läget en aning?

Om det var arbetsrelaterat för en grupp där alla är inom verksamheten så är det mera en principfråga. Att några har valt att ta emot på sin privata mailadress är möjligen en liten risk för dem, men det är trots allt så att informationen om mailadresser i stora drag inte har spridits vilt på internet.

Men det kan vara bra att diskutera detta med GDPR-ansvarig för att åtminstone ha ett typexempel att utgå ifrån.

Om det är ett fåtal med privat adress - skicka ett ursäktsmail endast till dessa.

Sedan kan man tänka på att junk mail filter i många fall blockerar mail med många mottagare idag också, så det skulle kunna bli så att vissa inte ens sett mailet för att det hamnat i skräpkorgen eller helt enkelt kastats bort av skräpfiltret.

Trädvy Permalänk
Medlem
Plats
/dev/null
Registrerad
Aug 2008

Är nämnda evenemang som du skulle skicka ut inbjudan till relaterat till projektgruppens arbete? De har ju lämnat ut sin emailadress just för att få info rörande projektgruppen, vilket du isf skickat dem. Har du inte utlovat att mail skall skickas som just "bcc" (eller på annat sätt utlovat anonymitet) så har jag svårt att se att du skulle gjort något juridiskt fel.

Är däremot evenemanget helt orelaterat till projektgruppen (t.ex. din privata 50-års fest) så har du använt deras uppgifter till något de inte samtyckt till, och som inte är motiverat av syftet i vilket de delade med sig av uppgifterna (dvs projektgruppens arbete), och i så fall har du begått ett fel (är dock inte säker på om det rör sig om just GDPR eller om det handlar om någon annan data- eller personuppgiftsskyddslag)

NUC: Intel i5-4250U | 8GB RAM | 250GB SSD
Laptop: Dell Latitude E7270 | 12,5" FHD IPS | i5-6300U | 16GB RAM | 120GB SSD
Laptop: MacBook Air 13"

Trädvy Permalänk
Medlem
Registrerad
Jul 2006

Det är alldelles för lätt att göra misstaget. Hemlig kopia? Tror inte ens att majoriteten användare vet hur man anävnder den funktionen. Det är inte direkt glasklart. Felet görs flerra gånger varje dag kan jag lova. Jag saknar en funktion i Outlook som hindrar en att skicka mass epost till olika organisationer. Borde inte va alls svårt att programera in. Säg att om du skickar till 10 eller fler olika domän så poppar en ruta upp och frågar om du verkligen inte ska skicka som hemlig kopia? JA ändra/Nej Skicka.

Intel 2600K@4.7GHz | LG 55EG920V | Silverstone Raven RV02 | Zalman 9900CCMAX | MSI GTX970 4096Mb 3-way SLi | Kingston 16Gb DDR3 1866Mhz | Windows 8 64 Bit | Hyper 880W Gold | LG BH10LS30 | Asus P8P67 Maximus IV Extreme| Samsung 840 Pro 256GB SSD | Acer H5360 |

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2001
Skrivet av dealerovski:

Det är alldelles för lätt att göra misstaget. Hemlig kopia? Tror inte ens att majoriteten användare vet hur man anävnder den funktionen. Det är inte direkt glasklart. Felet görs flerra gånger varje dag kan jag lova. Jag saknar en funktion i Outlook som hindrar en att skicka mass epost till olika organisationer. Borde inte va alls svårt att programera in. Säg att om du skickar till 10 eller fler olika domän så poppar en ruta upp och frågar om du verkligen inte ska skicka som hemlig kopia? JA ändra/Nej Skicka.

Finns som plugin till Thunderbird för att hantera just massutskick.
Köar upp och skickar utifrån dina SMTP-begränsningar (gsuite på jobbet) samt hanterar mallar så att det går att customizea varje enskilt mail.

Samt varnar om du har mer än ett visst antal adresser i mottagarfältet.
Mail Merge, bra skit.

Huvudrigg: R7 1700 @ 3,85GHz | GTX 1060 | ASUS Prime B350-plus | Corsair 16GB Hynix @ 2933 | Carbide 270R | EVGA GQ 650
Gästdator: Xeon E5450 @ 3,6GHz | GTX 460 | ASUS P5B Deluxe | 8GB DDR2 | Samsung 850 EVO | Antec Sonata III | CM 620M
Filserver: Synology DS1812+ | 4 + 1 x 3TB Seagate Barracuda :( RAID 1+0 | 4GB DDR3 SODIMM
Vardagsrum: LG OLED55C8 | Epson TW3200 | Onkyo TX-NR646 | Infinity Reference 61/51 mk2 | Shield TV V2 | minhembio.com

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Sep 2010

@Arcturus: Inom samma organisation , samma projektgrupp vad är det som är sekretessbelagt du mailat? Annars så är det ett simpelt misstag. Nämn det för chef , ojdå

460X moddat av timpelay | Full Custom loop | PG279Q | PG278Q
9900k | X Hero | 4x8GB Tridentz | 2x1080TI | RM850X (Custom sleeve)

Trädvy Permalänk
Testpilot
Plats
Ängelholm
Registrerad
Aug 2014

Om alla redan har tillgång till varandras epost adresser samt har rätt att få samma information (om jag förstod rätt så skulle ändå alla få samma mail) så ska det inte vara något problem alls i detta. Inte en incident heller.

AMD Ryzen 7 2700 @4,0ghz, Corsair h115i med 2x ML140 PRO, Asus B450-i Strix Gaming, G-Skill Flare X DDR4 2x8gb @3200mhz cl14, Palit RTX 2080ti Pro Gaming OC 11gb, 2xSamsung 960 EVO 500gb M2, Samsung 850 PRO 256gb, Corsair RM750x, Phanteks Evolv mITX tempered glass, med 3x ML140 Pro, Acer X34A 1440p 100hz IPS G-sync
Galleri chassimod Allspark
-----------------------------------------------
Intel i5 6600k, MSI Z270-Pro, Coolermaster GTS V8, Crucial 2133mhz DDR4 8gb, XFX RX 580 8gb, Samsung 850 PRO 256gb, Corsair CX750W, Corsair Air 540, Dell IPS 60hz 27"

Trädvy Permalänk
Medlem
Registrerad
Dec 2015

Icke-problem.

Om du mailar två kollegor om något gemensamt ämne, använder du då blind kopia så att dom inte kan se varandras adresser? Nu var det 30 mottagare - so what?

Ja, det är olämpligt av praktiska skäl, när folk börjar svara till alla. Men knappast olagligt eller ens att klassa som ett misstag.

Trädvy Permalänk
Forumledare
Kent
Registrerad
Jan 2005

*Ohjälpsamma inlägg raderade*

Synpunkter eller frågor gällande modereringen? Då kan du kontakta mig eller moderatorerna.
Danskjävel så stavar som en kratta..