Det nationella spelrummet bör utnyttjas

EU:s dataskyddsförordning ändrar behandlingen av personuppgifter

EU:s dataskyddslagstiftning revideras genomgripande under de närmaste åren i och med att den nya dataskyddsförordningen träder i kraft. Före jul nådde Europeiska kommissionen, parlamentet och rådet enighet om förordningens innehåll.

Det är fråga om en omfattande revidering som ställer betydande nya krav på behandlingen av personuppgifter i kommuner, företag och andra organisationer. Med förordningen skapas nya rättigheter för medborgarna samt nya skyldigheter för de registeransvariga och dem som behandlar personuppgifter.

 

Avsikten är att anta de utmaningar som den snabba tekniska utvecklingen och digitaliseringen för med sig samt att förbättra personuppgiftsskyddet i webbmiljö.

 

De viktigaste revideringarna ur kommunernas synvinkel

 

Bestämmelserna i dataskyddsförordningen tillämpas på behandlingen av personuppgifter såväl hos myndigheterna som inom näringslivet. Förordningen har betydande effekter på kommunerna i deras egenskap av registeransvariga och behandlare av personuppgifter. Utgångspunkten är den registeransvariges plikt att sörja för dataskyddet och för att de behandlade personuppgifterna är skyddade. Förordningen stärker på det sättet den registrerades rättigheter gentemot den registeransvarige.

 

Förordningen innehåller allmänna principer för behandlingen av personuppgifter samt bestämmelser om när det överhuvud taget är tillåtet att behandla personuppgifter. Dessutom finns det särskilda bestämmelser som gäller känsliga uppgifter. Ur myndighetssynvinkel är det tillåtet att behandla personuppgifter exempelvis med den registrerades samtycke, i syfte att uppfylla en lagstadgad förpliktelse, med stöd av allmänintresset eller vid utövandet av offentlig makt.

 

Till den registeransvariges nya skyldigheter hör att trygga att skyddet av personuppgifter i så stor utsträckning som möjligt sker automatiskt. Enligt förordningen bör kraven på dataskydd beaktas som ett utgångsantagande i alla organisations- och systemlösningar.

 

Den registeransvarige ska också underlätta de registrerades möjligheter att ta kontakt med den registeransvarige och att utnyttja de rättigheter förordningen ger dem. Den registeransvarige ska ge omfattande uppgifter till de registrerade både om registrens innehåll och om sin verksamhet och sitt handlande.

 

Förordningen innehåller bestämmelser om ansvarsfördelningen mellan den registeransvarige och den som behandlar personuppgifterna och om ansvarsfördelningens mekanismer, samt separat också bestämmelser om självständigt ansvarstagande av den som behandlar personuppgifter.

 

Enligt förordningen åläggs myndigheterna att utse en dataskyddsansvarig. Varje myndighet ska i framtiden ha en utsedd dataskyddsansvarig som kan vara en anställd hos myndigheten eller en person som utses gemensamt av flera myndigheter. Myndigheten kan också köpa uppdraget.

 

I förordningen ingår skyldigheter för den registeransvarige att utan dröjsmål underrätta både de registrerade och myndigheterna om problemsituationer. För de registeransvariga föreskrivs i vissa situationer skyldighet att dokumentera åtgärder som gäller behandlingen av personuppgifter, att bedöma dataskyddets effekter eller begära förhandstillstånd för behandling av personuppgifter.

 

I förordningen har tagits in bestämmelser om betydande administrativa sanktioner, om kraven i förordningen inte iakttas. 

 

Nya rättigheter för medborgarna

 

Dataskyddsförordningen innehåller bland annat följande nya rättigheter för individen att kon-trollera sina personuppgifter:

 

  • tillgången till de egna uppgifterna underlättas: vi får mer information om hur våra uppgifter behandlas, och den informationen ska ges på ett klart och begripligt sätt;
  • rätten att överföra uppgifter från ett system till ett annat: det blir lättare att överföra uppgifter från en servicegivare till en annan;
  • klarare "rätt att bli bortglömd": när användaren inte längre vill att hans eller hennes uppgifter behandlas raderas uppgifterna, utom då det finns någon laglig grund för att spara dem;
  • rätten att bli informerad om intrång i personuppgifterna: den nationella datasek-retessmyndigheten ska meddelas om allvarliga databrott så fort som möjligt så att an-vändarna kan vidta de åtgärder som behövs.
  • rätten att kräva att behandlingen av personuppgifter begränsas: vid menings-skiljaktigheter har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas temporärt.

 

Dessutom innehåller förordningen rättigheter som är bekanta från Finlands personuppgiftslag, såsom registrerades rätt till insyn och rättelse. I förordningen har också införts en bestämmelse om den registrerades rätt att motsätta sig behandling av uppgifter i vissa situationer och då ska den registeransvarige separat bedöma om behandlingen ska fortsätta.

 

Sammantaget förutsätter förordningen att nivån på dataskyddet höjs och att dataskyddet beaktas mer inom ledningen och resurseringen och inom lösningarna på organisationsnivå.

 

Kommunförbundet är huvudsakligen tillfreds med EU:s beredning

 

Kommunförbundet har följt beredningen av dataskyddsförordningen sedan kommissionens förslag offentliggjordes i januari 2012. Kommissionens ursprungliga förslag beaktade knappast alls den offentliga sektorns särdrag, utan kommunerna och den övriga myndighetsverksamheten jämställdes med de kommersiella aktörerna.

 

Den offentliga sektorn skulle ha blivit tvungen att agera på samma villkor som Facebook och Google, vilket hade inneburit betydande administrativa kostnader.

 

Kommunförbundet och kommunförbundens europeiska paraplyorganisation CEMR (Council of European Municipalities and Regions) bidrog aktivt till Europaparlamentets och rådets fortsatta beredning. Målet har varit att man ska kunna garantera högklassig offentlig service och ett gott dataskydd för medborgarna utan ett tungrott administrativt maskineri.  

 

Under rådets och parlamentets beredning utvecklades förordningsförslaget på ett positivt sätt. Den slutliga förordningstexten innehåller mer flexibilitet och vissa undantag som gäller aktörer i den offentliga sektorn, och den tillåter nationellt spelrum i någon mån. Dessutom är den slutliga texten på flera ställen klarare än kommissionens förslag. 

 

Slutresultatet kan anses tillfredsställande, även om förordningen kräver en ny sorts förfarande av kommunerna. 

 

Det nationella spelrummet ska utnyttjas effektivt

 

Dataskyddsförordningen är till sin form direkt tillämplig EU-lagstiftning och kräver ingen särskild implementering nationellt. Förordningen innehåller ändå, särskilt i fråga om den offentliga sektorn, ett stort nationellt spelrum, vilket gör det möjligt för Finland att till vissa delar hitta nationella lösningar i stället för att tillämpa förordningen.

 

Förordningstexten omfattar en allmän fullmakt att nationellt noggrannare fastslå hur tillämpliga kraven i förordningen är när personuppgifter behandlas i syfte att uppfylla en lagstadgad förpliktelse, med stöd av allmänt intresse eller för utövande av offentlig makt. När det gäller kommunsektorn klarnar sålunda de slutliga effekterna först i samband med det nationella verkställandet.

 

I den nationella beredningen är det nu viktigt att identifiera de begränsningar och möjligheter som förordningen tillåter. Det nationella spelrummet bör utnyttjas fullt ut så att förordningen inte ger upphov till en betungande administration eller onödiga kostnader för kommunerna.

 

Förordningens innehåll och begrepp är fortfarande oklara och mångtydiga på flera punkter, så den slutliga texten kräver ytterligare förtydligande. Förordningen bör inte övertolkas nationellt och inte heller ska man själv skapa nya förpliktelser för kommunerna.   

 

Nationellt verkställande och en noggrannare definition av kraven för den offentliga sektorn hör till Justitieministeriets område.

 

Förordningen träder i kraft i början av 2018

 

På EU-nivå måste rådet och parlamentet ännu officiellt godkänna den slutliga förordningstexten, varefter man efter en två års övergångsperiod börjar tillämpa förordningens nya regler. Förordningen börjar således sannolikt tillämpas från ingången av år 2018, men redan innan dess finns det ett behov av att ändra den nationella lagstiftningen.

 

Det innebär att man i Finland om två år på behandlingen av personuppgifter tillämpar förordningstexten, en reviderad form av personuppgiftslagen och offentlighetslagen (Lag om offentlighet i myndigheternas verksamhet). Dessutom måste ändringar i stor omfattning införas i paragraferna om dataskydd som ingår i speciallagstiftningen.

 

Mer på webben

Läs mer om dessa teman

Ett nätverk för dig som jobbar med språk och översättning i kommunsektorn

Kommunförbundet samordnar ett nätverk för översättare i kommunsektorn. Nätverket har också ett diskussions- och mötesforum på Teams.

Kaffe med Uffe

En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.  
Läs mera: Kaffe med Uffe

Digifika - nätverk för digitalisering

Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.

Mer info om nätverket för digifika.