EU-lag ger ökat skydd för medborgarna

  • GDPR
  • personuppgifter
  • dataförordning

Högre krav på de som behandlar personuppgifter och ökade rättigheter för privatpersoner. Det är konsekvenserna av Dataskyddsförordningen, även kallad GDPR, som trädde i kraft förra året.

I och med den nya lagen GDPR, General Data Protection Regulation, ska kommunen kunna redogöra för hur man behandlar personuppgifter och att man följer lagen. Tidigare låg ansvaret hos Datainspektionen att bevisa brister i hanteringen av personuppgifter hos företag och andra organisationer.

mattias

– Framöver kommer GDPR att vara en självklar del av hur vi bedriver verksamhet, ungefär som offentlighetsprincipen är det idag, säger juristen Mattias Gotthold, dataskyddsombud på Luleå kommun.

Nytt är också att Datainspektionen kan utkräva sanktioner. För kommunens del innebär det att nämnderna kan få betala mellan 5-10 miljoner kronor vid brott mot GDPR.

Lagen säger dessutom att alla kommuner ska ha ett dataskyddsombud. På Luleå kommun är det juristen Mattias Gotthold.
– Den övergripande och viktigaste uppgiften för dataskyddsombudet är att på ett självständigt sätt övervaka att organisationen följer GDPR, säger han.

Nämnderna och de kommunala bolagen har personuppgiftsombud. De samordnar och stöttar i frågor kring hanteringen av personuppgifter inom respektive verksamhetsområde. De samarbetar med dataskyddsombudet, som bistår med råd och stöd.

GDPR i korthet

  • Alla personuppgiftsbehandlingar måste ha rättslig grund, till exempel avtal (anställningsavtal, avtal med kund), allmänt intresse (forskning, statistik, arkiv) myndighetsutövning (bygglov, ekonomiskt bistånd) och rättsliga förpliktelser (till exempel bokföringsskyldighet). Har vi ingen rättslig grund kan vi i vissa fall arbeta med samtycken, men samtycken bör som huvudregel undvikas.
  • Varje verksamhet ansvarar för sina egna personuppgiftsbehandlingar.
  • Rättigheterna stärks för enskilda personer. Det ställs bland annat högre krav på att vi ska informera om hur vi hanterar medborgarens personuppgifter.
  • Kraven på IT-system som hanterar personuppgifter förtydligas. Personuppgifter ska exempelvis skyddas så att bara de som är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste även skyddas så de inte förstörs genom olyckshändelse.
  • Ändamålet måste vara tydligt vid insamlingen av uppgifter. Vi får inte samla in fler personuppgifter än nödvändigt, till exempel för att "det kan vara bra att ha".
  • En sanktionsavgift kan utdömas vid brott mot förordningen. Det är Datainspektionen som är tillsynsmyndighet.
  • Vid brott mot dataskyddsförordningen eller dataskyddslagen kan även den eller de drabbade begära skadestånd.

Så hanteras en personuppgiftsincident inom skolan

Skolan hanterar en stor mängd personuppgifter. Med hjälp av tydliga rutiner finns beredskap för att hanterar en eventuell personuppgiftsincident.
– Det är viktigt att först stoppa en pågående personuppgiftsincident och sedan utreda varför och hur den inträffade, säger Mattias Gotthold.

Anmälare av en incident kan vara exempelvis medborgare, anställda, GDPR-samordnare, personuppgiftsombud eller dataskyddsombudet.

Så här fungerar rutinerna:

  1. En anmälan om en personuppgiftsincident inkommer exempelvis via e-tjänst.
  2. Personuppgiftsincidenten fördelas till rätt nämnd som stoppar personuppgiftsincidenten och sedan utreder den.
  3. Om incidenten medför stora risker för de registrerade (de som personuppgifter gäller) ska de informeras.
  4. Personuppgiftsombudet kallar vid behov till möte med dataskyddsombudet, GDPR-samordnare, informationssäkerhetsansvarig samt annan expertis.
    - På mötet beslutas ifall anmälan ska lämnas till Datainspektionen (inom 72 tim).
    - Om information till registrerade/berörda ska lämnas.
    - Det görs en analys av incidentens effekt och vilka åtgärder som ska vidtas.
    - Slutligen upprättas en incidentrapport.

Allmänna handlingar och GDPR

I GDPR finns ett undantag för offentlighetsprincipen. Det innebär att kommunen har skyldighet att lämna ut handlingar som är allmänna och inte omfattas av sekretess. Det har ingen betydelse om handlingarna innehåller personuppgifter.
– Vi har alltså ingen generell rätt att neka att lämna ut handlingar som innehåller personuppgifter eller ta bort personuppgifter i en handling och hänvisa till GDPR. Däremot bör man fundera kring vilken information man lägger in i allmänna handlingar utifrån GDPR, säger Mattias Gotthold.

Ett ständigt pågående arbete

Arbetet med GDPR blir aldrig klart menar Mattias Gotthold.
– I och med den ökade digitaliseringen, och att samhället i övrigt förändras, måste säkerheten kring personuppgifter hela tiden ses över. Framöver kommer GDPR att vara en självklar del av hur vi bedriver verksamhet, ungefär som offentlighetsprincipen är det idag.

 

DELA VIA SOCIALA MEDIER

Text och bild: Karin Kemi

Logotyp

Vårt Luleå – Nyheter, fördjupning och berättelser från Luleå kommunkoncern. Kommunens ca 7 000 medarbetare jobbar dagligen med att bygga ett hållbart samhälle, ge service genom hela livet och skapa attraktion för att medborgare, besökare och inflyttare ska trivas. Vårt Luleå redovisar vad som händer i kommunen, våra verksamheter och bolag. Vårt Luleå finns både som tidning, taltidning, nyhetssajt och playkanal.

Det är fritt att länka till artiklar och filmer. Andra massmedia får kopiera artiklar så länge som man anger källan vartlulea.se, Luleå kommun.

Linda Sundström

Du hittar vårtlulea.se även på sociala medier.

© 2018 Luleå Kommun