Regeringspropositionen 9/2018 med förslag till ny dataskyddslag behandlas av riksdagen under mars månad. Lagen är tänkt att träda i kraft 25.5.2018 på samma gång som EU:s allmänna dataskyddsförordning börjar tillämpas.

Den nationella dataskyddslagen innehåller bestämmelser som preciserar dataskyddsförordningens artiklar. Den preciserar vad som avses med allmänt intresse som grund för behandling av personuppgifter (4 §), och ger klara regler för när och hur särskilda kategorier av personuppgifter får behandlas (6 §). Dessutom preciseras vilka kriterier som gäller för behandling av uppgifter för historisk, vetenskaplig eller statistisk verksamhet, samt arkivering.

Förutom preciserande paragrafer innehåller den föreslagna dataskyddslagen också paragrafer med självständiga normer. Ur kommunernas synvinkel är det viktigt att lägga märke till föreslagna stadganden om begränsningar i den personuppgiftsansvarigas skyldighet att lämna ut information om behandlingen eller att lämna ut uppgifter på grund av rätten till insyn (33-34 §§).

En utmaning i dataskyddslagen är den kommande övervakningsmyndighetens uppgifter i förhållande till befintliga resurser. I och med att övervakningsmyndigheten, i Finland Dataskyddsombudsmannen, kommer att få avsevärt fler uppgifter ställs stora krav på tillseendet av tillräckliga resurser för ett effektivt genomförande av dessa uppgifter.

Aktivt nätverk för dataskyddsombud

Kommunförbundet grundade i februari ett nätverk för medlemmarnas dataskyddsombud. Hittills har närmare 200 personer gått med i nätverket och kring 100 personer har tagit i bruk nätverkets webbplattform.

På nätverkets webbplattform har medlemmarna speciellt diskuterat dataskyddsombudets ställning inom kommunen och om hur förordningens artiklar 12-14 gällande informering av registrerade i praktiken skall implementeras.

Den europeiska arbetsgruppen WP 29, som består av medlemsländernas dataskyddsmyndigheter, har tagit ställning till båda dessa frågor. I förhållande till dataskyddsombudets ställning betonar WP 29 framför allt att ombudet måste ha reella möjligheter att utföra sina uppgifter, dvs. tillräckligt med tid och resurser. Dessutom betonas kravet på oberoende, så att ombudet inte själv kan vara en person som bestämmer om nyckelfrågor angående behandlingen av personuppgifter. I övrigt konstaterar WP 29 att det finns många olika sätt att organisera uppdraget på.

Gällande informationen riktad till registrerade betonar WP 29 att informationen måste vara lättillgänglig och förståelig för mottagarna. Eftersom förordningen inte kräver att information skall ges om register utan om behandlingen av personuppgifter oavsett i vilket format de ingår och oavsett ifall fråga är om ett eller flera register, så är det inte nödvändigt att använda sig av traditionella registerbeskrivningar. Den personuppgiftsansvariga måste själv bestämma på vilket sätt information om hur, varför osv. personuppgifter behandlas bäst görs tillgängliga.

 

WP 29:s anvisningar: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

[Kurstorget erbjuder en videobaserad utbildning om dataskydd med Ida Sulin.]

Keskustele

E-postadressen publiceras inte. Obligatoriska fält är märkta *