GDPR: Resurskrävande arbete väntar

Den 25 maj träder EU:s allmänna dataskyddförordning, GDPR, i kraft. GDPR ska stärka och skydda EU-medborgares personliga integritet, något som sätter press på kommuner att se över vilka personuppgifter som finns lagrade i organisationen. Ett kostsamt och tidskrävande arbete menar Nils Hermansson.

Den 25 maj träder EU:s allmänna dataskyddsförordning (General Data Protection Regulation, GDPR) i kraft. Lagen innebär en förändring vid hanteringen av personuppgifter, och ska stärka samt skydda EU-medborgares personliga integritet. GDPR, som ersätter svenska personuppgiftslagen (PuL) och dess motsvarighet runt om i EU, kommer påverka aktörer som behandlar privat data i form av bland annat e-postadresser, bilder, namn och personnummer. Detta skapar för kommunernas del ett behov av att inventera och se över vilka personuppgifter som finns lagrade i exempelvis maillistor, samt ett behov av att införa nya rutiner för den persondata kommunen lagrar.
– Det krävs mycket resurser för att efterleva den nya dataskyddsförordningen, noterar Nils Hermansson.

Nils Hermansson arbetar på Kommunförbundet Skåne med det interna arbetet kring GDPR. Han menar att ett problem som han mött i det interna arbete inför den nya dataskyddsförordningen är omfattningen av det arbete som behövs utföras, och att det arbetet antagligen har påbörjats för sent.

PuL ”på riktigt”

Samtidigt är det mycket som är oförändrat i den nya dataskyddsförordningen jämfört med den nu gällande personuppgiftlagen. Även efter den 25 maj får personuppgifter behandlas så länge det finns en laglig grund för att hantera dem. Skillnaden med GDPR ligger mycket i storleken på de sanktionsavgifter som kan dömas ut om man inte följer lagen. Missbruksregeln som är gällande i PuL, vilken innebär enklare regler för personuppgifter i ostrukturerat material, kommer dessutom att försvinna. GDPR går därför att beskrivas som PuL ”på riktigt”.
– PuL var lite tandlöst i jämförelse med GDPR, kommenterar Nils Hermansson.

2016 beslutade EU om lagen, vilken är en del i EU-kommissionens arbete med den digitala inre marknaden. Syftet med lagen är att EU ska få ett gemensamt regelverk för hanteringen av personuppgifter för att underlätta det fria flödet av data på marknaden. GDPR ska även säkerställa en enhetlig och likvärdig nivå av dataskydd inom EU.

Full koll på lagrade personuppgifter

Lagen innebär bland annat att organisationer och andra aktörer inte ska lagra uppgifter som de inte behöver. Dessutom behöver den som behandlar personuppgifter ha tillräckliga säkerhetsåtgärder så att uppgifterna skyddas på rätt sätt.

GDPR innebär vidare att kommuner och andra aktörer ska ha full koll på vilka typer av uppgifter organisationen behandlar. Avtal måste även tecknas med alla tjänster, och befintliga avtal måste vara uppdaterade. Nils Hermansson menar även att man behöver kunna argumentera för vilken lagstiftning man använder och vad som gäller i olika sammanhang.
–  Efter den 25:e maj behöver de flesta organisationer ha ett dataskyddsombud, som ser till att organisationen efterlever regelverket, säger Nils Hermansson.

Samtidigt påpekar Nils Hermansson att GDPR på sikt troligtvis kommer att ha en positiv inverkan på kommuners, företags och andra organisationers inställning till privat data och personers integritet.

Mer om GDPR

Datainspektionen har sammanställt information om EU:s allmänna dataskyddsförordning på deras hemsida.

Mer information om GDPR går att hitta på EU-kommissionens hemsida.

Publicerad:

Sidansvarig

Karin Berg

Skriv en kommentar