I morgon den 25 maj införs den EU-övergripande dataskyddsförordningen, GDPR, som ersätter den svenska personuppgiftslagen, PUL.
– Den nya dataskyddsförordningen sätter fokus på att skydda och värna om personuppgifter. GDPR är bra för medborgarna, säger Ulf Gustafsson som jobbat länge med informationssäkerhet på Piteå kommun.
Offentliga myndigheter samt företag och organisationer som behandlar personuppgifter i stor omfattning måste utse ett dataskyddsombud som övervakar hur förordningen följs. I Piteå kommun har Ulf Gustafsson fått rollen som omfattar en heltidstjänst.
– Min roll kommer först och främst att vara rådgivande till verksamheterna. Men det finns även ett tillsynsansvar och för kommunmedborgaren blir jag kontaktperson om man har frågor om sina personuppgifter.
Samtidigt som medborgarnas rättigheter stärks innebär förordningen ett krävande merarbete och ökade kostnader för myndigheter, företag och organisationer. Piteå kommun är inget undantag.
– Det har varit en ganska tuff belastning på verksamheterna att styra upp enligt de nya reglerna och vi har fortfarande saker kvar att göra. Men vi försöker prioritera så att vi tar de absolut viktigaste före den 25 maj, säger Ulf Gustafsson.
En förändring med GDPR är att rätten att bli raderad från olika register förstärks. Personer kan kontakta myndigheter och företag och be att uppgifterna tas bort. Om det inte finns legitima skäl att behålla dem ska förfrågan verkställas.
– Där det inte finns något myndighetsutövande eller lagstöd för att behålla personuppgifterna har man rätten att bli glömd. När det gäller kommunen har vi lagstöd i det mesta vi gör, men det kan till exempel vara avtal där avtalstiden gått ut.
Har GDPR inneburit att ni har gått in i era arkiv och raderat uppgifter?
– Vi har dokumenthanteringsplaner och arkivlagen som styr vad vi ska gallra och vad som ska bevaras. Jag kan inte säga exakt hur mycket vi har varit in och reviderat. Det är upp till varje verksamhet att jobba med den frågan.
Den som behandlar personuppgifter måste informera den registerade och i många fall krävs även samtycke. För kommunen gäller detsamma som vid rätten till radering – saknas lagstöd för att registrera uppgifter måste personen tillfrågas.
– Vi kommer aldrig ifrån att informera, men i vissa fall är det också samtycke som krävs, säger Ulf Gustafsson.
Bland annat kommer informationsavdelningen på Piteå kommun att påverkas mycket av förordningen och det pågår ett arbete med att ta fram rutiner för bildhantering.
– Det är inte ett myndighetsutövande att fotografera personer till personaltidningen eller ta bilder från evenemang i informationssyfte. Då måste vi be personen om skriftligt samtycke. Det räcker inte längre med muntligt.
PT har pratat med några kommunanställda som uttryckt viss oro för hur GDPR ska fungera i praktiken. Från den 25 maj krävs bland annat en laglig grund för behandling av personuppgifter i e-post och det måste nu göras en bedömning om det rör sig om ”arbetsuppgifter av allmänt intresse”.
– Jag tror att det finns en generell osäkerhet i hela landet kring det här. Det är helt ny lag och det finns ännu inget rättsfall som slår fast vad som är rätt eller fel. Det kommer att visa sig och tills dess tycker jag man ska sitta ganska lugnt i båten, säger Ulf Gustafsson.
– Sedan tror jag det är bra med ett visst mått av ängslan. Det innebär att vi skärper oss och börjar fundera på hur vi behandlar våra personuppgifter.