Om en vecka, den 25 maj, träder den nya dataskyddsförordning GDPR i kraft. Den ger ett förstärkt skydd till alla EU-medborgare, i synnerhet barn, i samband med digital hantering av personuppgifter. Du som jobbar inom kommun eller landsting berörs i stor utsträckning av den nya lagen, därför är det viktigt att ha koll och bra rutiner.

Hur ska jag hantera uppgifter om ett barns specialkost på grund av allergi eller religion?
Vad gör jag med det gamla ”blöjbytarregistret” på förskolan?
Får jag sätta upp ett foto av barnet i kapprummet?
Hur mycket kostar det om jag gör fel?

Frågorna hopar sig inför den nya dataskyddsförordningen, som ersätter den gamla, svenska personuppgiftslagen. Den nya lagen är starkare än den gamla. Grundprinciperna är att sparad information måste ha ett syfte, att syftet inte får ändras, att endast de som behöver informationen ska ha tillgång till den samt att informationen måste förvaras på ett säkert sätt.

Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. ”Känsliga personuppgifter” kan gälla etniskt ursprung, politisk åskådning, religiös eller filosofisk övertygelse, medlemskap i fackliga organisationer, information om hälsa eller sexuell läggning, genetiska data och så vidare.

Lagen innebär också många förändringar, inte minst för den som jobbar inom en kommun eller ett landsting, där man ju hanterar stora mängder personuppgifter som kanske rör barn och är av privat karaktär. GDPR ställer bland annat högre krav på rapportering och dokumentation än den gamla Personuppgiftslagen. Det kan exempel påverka hur man sparar och hanterar den vanliga ”blöjbytarlistan” i Exceldokumentet på förskolan. Enligt den nya lagen kan det krävas en förstärkt säkerhet kring lagring och hantering av den typen av uppgifter.

För barn generellt blir skyddet starkare och vårdnadshavarens tillstånd kommer oftare att krävas. Precis som tidigare krävs samtycke om bilder av barnen läggs upp på Facebook eller en hemsida. Lappar om specialkost och allergier får heller inte sättas upp på väggen, hur som helst.

Enligt den nya lagen måste alla personuppgiftsincidenter anmälas till Datainspektionen inom 72 timmar.  Om ett företag eller en myndighet brister i sin behandling av personuppgifter kan man tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller – för företag – fyra procent av deras globala omsättning. Bedömningen görs i Sverige av Dataskyddsinspektionen.

Hur gör man då med uppgifter om till exempel specialkost på grund av allergi eller religion? Att en elev är sjuk? Eller när känslig information plötsligt dyker upp i fritextfältet som en förälder fyllt i? Sådana uppgifter får hanteras och lagras om det är helt nödvändigt för ändamålet och inte innebär att man gör ett onödigt intrång i integriteten. Men – de måste hanteras särskilt försiktigt och inte sparas längre än nödvändigt.

I varje sammanhang gäller det att i en central registerförteckning beskriva vilka personupp­gifter man hanterar, var man gör det och varför. Samtidigt gör man en bedömning kring hur känsliga uppgifterna är och vilka risker som kan uppkomma om de används på fel sätt. Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för varje uppgift. Pseudonymisering och kryptering av personuppgifter är exempel på åtgärder som minskar risken för att känsliga uppgifter används på fel sätt, av fel person.

Personuppgiftsansvarig är den organisation, till exempel en myndighet eller ett företag, som bestämmer varför uppgifterna ska användas och hur det ska gå till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.

Här är Sveriges Kommuners och Landstings checklista som de rekommenderar att alla kommuner, landsting och regioner går igenom inför den 25 maj:

1. Förbered verksamheten
2. Organisera GDPR-arbetet – se till att det finns en organisation på plats som kan arbeta med dataskydd.
3. Kartlägg: Ta reda på vilka personuppgiftsbehandlingar som finns i verksamheten och upprätta en registerförteckning.
4. Analysera: Ta reda på vilka rättsliga grunder ni har för att behandla personuppgifterna i organisationen. Vilka skyddsåtgärder behövs och vilka risker som kan finnas.
5. Dokumentera – samla systematiskt och fortlöpande dokumentation som visar hur ni följer dataskyddsförordningen, utöver registerförteckningen.
6. Inför nya rutiner: Se till att förberedelsearbetet tar sikte på att arbetet med dataskydd ska fungera kontinuerligt i organisationen.
7. Leverantörer och avtal: Se till att avtal med leverantörer och pågående upphandlingar har tillräckliga krav på åtgärder för dataskydd.
8. Säkerställ individens rättigheter: Se till att det arbete med dataskydd som genomförs i organisationen genomsyras av att de registrerade individernas rättigheter är i fokus.

De viktigaste rättigheterna för de registrerade är att:

• Vid begäran få tillgång till sina personuppgifter.
• Få felaktiga personuppgifter rättade.
• Kunna få sina personuppgifter raderade (här finns omfattande undantag för myndigheter).
• Ha möjlighet att invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering.