Röda kors-kretsen Treudden bröt mot personuppgiftslagen
Datainspektionen har genomfört en tillsyn mot Röda korskretsen Treudden på Gotland sedan en anmälan inkommit om att den brutit mot Personuppgiftslagen.Orsaken är att kretsen gjort ett utskick av en deltagarlista över sjukvårdsfrivilliga till Gotland Grand National med bland annat fullständiga personnummer, sjukdomar och avvikande kostbehov angivna till samtliga deltagare.Treuddens ordförande Ulla Ronström-Lundgren konstaterar att i sakfrågan är klagomålet både rätt och berättigat, misstaget beror på den mänskliga faktorn och man har vidtagit åtgärder för att det skedda inte skall upprepas.
Ulla Ronström-Lundgren konstaterar att man själva uppmärksammade misstaget dagen efter att breven skickats ut till berörda. Anledningen till det skedda var att man bytt handläggare för detta arbete och att man uppenbarligen brustit i överlämnandet av uppgifterna.
Vi har vidtagit åtgärder för att detta inte skall upprepas.
Ändamålet med den utskickade listan är att den behövs för administrationen av resa och boende för deltagarna i samband med deras frivilliga medverkan vid sjukvårdsberedskapen under GGN.
Personnummer finns med för att det krävs vid transporten med Destination Gotland. Uppgifter om sjukdomar och avvikande kostbehov behövs för att man skall kunna ta hänsyn till dessa faktorer i samband med att man tilldelar personerna lämpliga uppgifter och för att kunna erbjuda lämplig mat.
<span class=MR>Mänskliga faktorn</span>
Skälet till att dessa uppgifter fanns med på den utskickade listan uppger Ulla Ronström-Lundgren således vara den mänkliga faktorn.
Självklart skall uppgifterna inte vara utskrivna på den lista som skickas ut till samtliga deltagare utan endast delges de som behöver den specifika informationen.
I sin bedömning konstaterar Datainspektionen att det i PuL finns bestämmelser om när och hur personuppgifter får behandlas. Huvudregeln är att dessa bara får behandlas med den registrerades samtycke.
Personuppgifter som rör hälsa är enligt PuL att beteckna som känsliga och det är förbjudet att behandla känsliga personuppgifter även om ett antal undantag finns.
Behandlingen av personnummer omgärdas också av restriktiva bestämmelser.
Den som är ansvarig för behandlingen av personuppgifter har en långtgående skyldighet att informera de registrerade om den behandlng av personuppgifter som finns, konstaterar Datainspektionen.
Personnummer och känsliga personuppgifter skall inte finnas med på den deltagarlista som skickas till alla deltagare. Treudden har uppgett att ett misstag skett och att åtgärder vidtagits för att misstaget inte skall upprepas.
Datainspektionen finner därför inte anledning att vidta ytterligare åtgärder och avskriver ärendet.
Så jobbar vi med nyheter