Nya strikta regler för digitala personuppgifter

I maj 2018 träder EU:s allmänna dataskyddsförordning i kraft. Alla organisationer som hanterar personuppgifter berörs. Förordningen gör ingen skillnad mellan den lokala kennelföreningen och den multinationella nätbutiken. Biblioteket eller idrottsföreningen. Google eller Facebook. Alla organisationer som upprätthåller ett personregister berörs av förordningen.

Utbilda hela kommunen: Beställ videoföreläsning av Ida Sulin om dataskyddsförordningen

I många organisationer börjar det bli bråttom att anpassa hanteringen av personuppgifterna till den nya bindande lagstiftningen. Senast den 25 maj 2018 ska reglerna för personregister följas i alla EU-länder.

– EU:s allmänna dataskyddsförordning tvingar hela Europa att bli bättre på att förstå och respektera människors rätt till privatliv, säger Kommunförbundets ledande jurist Ida Sulin.

Förordningen innebär att ovidkommande uppgifter ska strykas och insynen i registren öka på individnivå. Lagstiftningen är bindande, med påföljder som sanktioner och till och med skadestånd för dem som bryter mot lagstiftningen.

Våra personuppgifter (namn, adress, kontonummer, personnummer osv) finns i kommunala och statliga register, hos vår arbetsgivare, banken, butiken, föreningen och mobiloperatören bara för att nämna några exempel. Uppgifterna kan vara föråldrade, känsliga eller irrelevanta, men det oaktat finns de kvar. Vill vi det?

– Rätten till privatliv är en grundläggande mänsklig rättighet, som också finns inskriver i vår grundlag, understryker Ida Sulin.

EU:s allmänna dataskyddsförordning ger medborgarna rätt att få information om vilka personuppgifter som finns lagrade om dem själva. Informationen ska därtill ges på ett språk som medborgaren förstår.

– Finland har varit dåligt på att beakta människors rätt till privatliv. I jämförelse med resten av världen vet vi i Finland jättemycket om våra medborgare, detta tack vare våra många register, konstaterar Ida Sulin.

För att hantera de förändringar som dataskyddsförordningen innebära är det viktigt att organisationerna inser sitt ansvar i tid.

– För kommunerna handlar det om att planera sina processer så att de följer lagstiftningen. Har kommunen ett datasystem som respekterar privatlivet? Ett system som stryker personuppgifter efter en viss tid?  

Enligt förordningen ska alla organisationer utse en ansvarsperson, ett dataskyddsombud.

– Därtill ska den personal i kommunen som hanterar personuppgifter ha kunskap om hur den nya lagstiftningen tillämpas.

Sulin bedömer att omkring hälften av kommunerna har påbörjat arbetet med att gå igenom sina personuppgiftsregister. Många kommuner har också utsett personregisteransvariga.

–  Det är möjligt för kommunen att ha ett dataskyddsombud på heltid eller deltid. Det är också möjligt att köpa tjänsten utifrån eller att samarbeta med grannkommunerna. Personligen tycker jag att kommun gott kan ha dataskyddsombudet bland sin egen personal. Det här är en tjänst som kommer att behövas i kommunen för all framtid.

Ida Sulin föreslår att de kommuner som ännu inte har börjat förbereda sig för den anpassning som EU:s allmänna dataskyddsförordning kräver, startar med att kartlägga sina register.

– Öppna en Excelfil och döp den till ”Register över kommunens personuppgifter” och låt alla sektorer delta i kartläggningsarbetet, tipsar Ida Sulin och tillägger:

– Det är ett långt och tråkigt jobb, men det är ett jobb som måste göras.

När kartläggningen görs är det viktigt att gå igenom uppgifterna i registret. Vad behöver kommunen veta om de personer som finns i registren? Innehåller registret ovidkommande information?

– En fråga som brukar dyka upp när jag föreläser om dataskyddsförordningen är uppgifter om kön. Är det relevant för till exempel kommunens bibliotek att veta vilket kön en låntagare har? Om svaret är nej, stryker man uppgifter ur registret.