Skärpta krav på hantering av persondata

Publicerad 2018-04-17

Tydligare, enhetligare och mer transparent. Den nya dataskyddsförordningen innebär skärpta och delvis nya krav på hanteringen av personuppgifter.
På KTH pågår nu arbetet med att anpassa och förstärka befintliga system. En webbutbildning ska också ge KTH:s personal verktyg för att hantera de nya reglerna.

 Den 25 maj börjar den nya EU-gemensamma dataskyddsförordningen att gälla. Det innebär bland annat skärpta krav för den som hanterar personuppgifter på att kunna redovisa vilka uppgifter som finns lagrade och varför.

Det gäller att vara medveten om vad man gör. Kontrollera att det finns en laglig grund för att samla in och spara uppgifterna. Inte samla på sig fler än nödvändigt och inte heller spara dem längre än nödvändigt, förklarar Robin Roy, projektledare för anpassningsarbetet. Han är idag personuppgiftsombud på KTH och blir från och med den 25 maj KTH:s dataskyddsombud.

General Data Protection Regulation (GDPR), på svenska, dataskyddsförordningen, ersätter den nuvarande personuppgiftslagen (PuL). Det övergripande syftet, att säkra individens rätt till sitt privatliv, är detsamma och mycket i förordningen liknar också de regler som finns i nuvarande lagstiftning påpekar Robin Roy.

– Vi behöver inte uppfinna hjulet på nytt. Men förordningen innehåller en del nyheter och trycker dessutom hårdare på ansvaret för den som hanterar personuppgifter att se till att reglerna följs.

Tänka efter före

Det gäller bland annat skyldigheten att informera den som registrerats om vilka uppgifter som finns i registret. Rutinerna för att hantera klagomål, begäran om registerutdrag och radering ur registret måste också uppgraderas.

Även ansvaret för datasäkerheten skärps, bland annat med krav på konsekvensbedömningar innan nya personuppgiftsbehandlingar planeras.

– Vi förväntas ha ett proaktivt dataskyddstänkande. Har vi inte tänkt till innan så har vi brutit mot förordningen, förklarar Robin Roy.

Allvarliga säkerhetsincidenter, som till exempel ett dataintrång, måste anmälas till Datainspektionen inom 72 timmar. Samtidigt utvidgas också begreppet personuppgiftsincidenter till att även innefatta sådant som inbrott där dokument försvinner.

– Och tappar du ett USB-minne med en klasslista på tunnelbanan räknas det också som en personuppgiftsincident.

En nyhet är också att Datainspektionen kan utdöma en sanktionsavgift för den som bryter mot förordningens regler.

Många system

För KTH:s del kompliceras anpassningen av att personuppgifter idag hanteras på många olika sätt och på många olika nivåer. Allt från studiedokumentationssystemet Ladok och centrala personalregister, via sidosystem till enskilda lärares Excel-listor.

Inför införandet av GDPR har därför en inventering och kartläggning av befintliga system och processer genomförts. Maria Widlund, gruppchef på personalavdelningen ingår i den grupp som tillsammans med Robin Roy granskar resultatet vad gäller de personaladministrativa systemen. Hon tycker att inventeringen var välkommen och välbehövlig av flera skäl.

– Vi behöver skapa en enhetligare hantering av personuppgifter, samarbeta mer och göra mer på samma sätt för att leva upp till förordningen. Men det är också i linje med den utvecklingsresa vi ändå ska göra mot ett mer sammanhållet KTH, det som rektor kallar ett Enat KTH.

Men vare sig Robin Roy, Maria Widlund eller förvaltningschefen Anders Lundgren tror att alla nya rutiner och anpassningar kommer att vara helt klara den 25 maj.

Flera undantag

– Nej, vi hoppas att de stora systemen är på plats då men det finns ju också mycket annat. Vi måste bli bättre på att dokumentera våra databaser och det är ett omfattande arbete som ska göras av många, konstaterar Anders Lundgren.

Hur GDPR kommer att tillämpas i Sverige är heller inte helt klart ännu. Under april och maj väntas flera regeringsbeslut om de undantag som EU-lagen tillåter länderna att göra. Bland annat kommer ett beslut som berör forskningen inte att bli klart förrän den 25 maj.

I samverkan med flera andra högskolor tar KTH fram en webbutbildning riktad till all personal om GDPR. En viktig insats för att klara av anpassningen till de nya kraven så smidigt som möjligt menar Maria Widlund.

– Vi får ju inte lamslås, vi ska bedriva en verksamhet här. Men mycket handlar det också om att använda sunt förnuft. Att reflektera lite mer över vilka uppgifter vi verkligen behöver ha istället för att bara spara för att det är ”bra att ha”. Och det är väl egentligen ganska sunt?

Text: Ursula Stigzelius

Så påverkas du som anställd av GDPR

  • General Data Protection Regulation (GDPR), på svenska dataskyddsförordningen, är en ny EU-förordning. Den träder i kraft den 25 maj i alla EU-länder som därmed får en ny och gemensam lagstiftning om hantering av personuppgifter. Tillämpningen kan ändå komma att variera något eftersom GDPR tillåter länderna att göra vissa undantag.
  • Syftet med GDPR är att förbättra integritetsskyddet för den enskilde. En enskild person har redan idag rätt att få ett registerutdrag som visar vilka uppgifter om denne som KTH har sparade och hur de används. Med GDPR stärks den rätten.
  • Som enskild person kan du också begära att få dina personuppgifter raderade. Skulle du drabbas av en skada till följd av att uppgifter på något sätt läckt ur KTH:s register kan du begära skadestånd.
  • I samband med rekrytering och anställning ska du få veta vilka uppgifter om dig som KTH avser att spara och hur uppgifterna kommer att användas. En nyhet är rätten att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst. Det kallas dataportabilitet.
  • Om du själv i din tjänst hanterar personuppgifter om andra har du motsvarande skyldigheter gentemot dem. Vilka generella skyldigheter du ska uppfylla kan du läsa om på .
  • Mer om GDPR får du veta i den webbutbildning som KTH tar fram i samverkan med Chalmers, Gymnastik- och Idrottshögskolan, Mittuniversitetet och Stockholms Konstnärliga Högskola. Webbutbildningen kommer att vara tillgänglig för KTH:s personal i maj innan GDPR träder i kraft.
Till sidans topp