Förnyat dataskydd ska reglera kommersiella digijättar

16.2.2016
Kommuntorget Henrik Rainio

EU:s dataskyddsförordning träder i kraft 2018 med nya regler om hur personuppgifter ska behandlas.

Den nya dataskyddsförordningen kommer att förändra behandlingen av personuppgifter i kommuner, företag och andra organisationer inom ett par år. Parlamentet och rådet nådde en uppgörelse i december om förordningen, som har behandlats på EU-nivå sedan år 2012.
Den träder i kraft i början av år 2018.

Fördningen ska svara på de utmaningar som den snabba tekniska utvecklingen och digitaliseringen
för med sig, samt förbättra skyddet av personuppgifter
i en webbmiljö.

Förordningen ger medborgarna nya rättigheter medan de registeransvariga och de som behandlar personuppgifter får nya skyldigheter. I framtiden har medborgarna bättre tillgång till sina egna personuppgifter och de kan enklare kontrollera sina egna uppgifter. De som behandlar personuppgifter måste ge mer information om hur uppgifterna behandlas och informationen ska ges på ett klart och begripligt sätt.

Medborgarna får rätt att överföra uppgifter, vilket underlättar överföringen från en servicegivare till en annan. När användaren inte längre vill att hans eller hennes uppgifter behandlas, raderas uppgifterna, utom då det finns en laglig grund att spara dem. Detta kallas för ”rätten att bli bortglömd”.

Förordningen får betydande effekter på kommunerna i deras egenskap av registeransvariga och behandlare av personuppgifter. Till exempel måste varje myndighet utse en dataskyddsansvarig, som kan vara en anställd eller en person som utses gemensamt av flera myndigheter.

Den registeransvariga ska underlätta medborgarnas möjligheter att utnyttja
de rättigheter förordningen ger.

Ett exempel på skyldigheter som förordningen för med sig är kravet att utan dröjsmål underrätta både de registrerade och myndigheterna om problemsituationer. De registeransvariga å sin sida åläggs att i vissa situationer dokumentera sina åtgärder i behandlingen av personuppgifter.

Förordningen är i första hand avsedd för att reglera kommersiella jättar på den privata marknaden, så som Google och Facebook. Avsikten är att svara på de utmaningar som den snabba tekniska utvecklingen och digitaliseringen för med sig, samt att förbättra skyddet av personuppgifter i en webbmiljö. Därför innehåller förordningen ett antal undantag för myndigheternas verksamhet, till exempel inom hälso- och sjukvård, socialtjänster,
arkivändamål, forskning eller statistikföring.

Dataskyddsförordningen måste ännu officiellt godkännas av rådet och EU-parlamentet, vilket troligtvis sker inom de närmaste veckorna. Förordningen träder i kraft två år efter godkännandet, men redan innan det finns det ett behov av att ändra den nationella lagstiftningen. Åtminstone personuppgiftslagen och offentlighetslagen måste moderniseras.

Kommunförbundet är rätt nöjt med EU:s beredning. Kommissionens ursprungliga förslag beaktade knappast alls myndigheternas behov men under rådets och parlamentets beredning utvecklades förordningsförslaget på ett positivt sätt. Slutresultatet kan anses tillfredsställande, även om förordningen ställer nya krav på kommunerna.

Dataskyddsförordningen är direkt tillämplig EU-lagstiftning och kräver ingen särskild implementering. Förordningen innehåller ändå ett stort nationellt spelrum, särskilt för den offentliga sektorn. Nu har Finland möjlighet att hitta nationella lösningar i stället för att tillämpa förordningen. Det nationella spelrummet bör utnyttjas fullt ut så att förordningen inte ger upphov till en betungande administration eller onödiga kostnader för kommunerna.