GDPR innebär en rad förändringar för hur företag och organisationer hädanefter får behandla och lagra personuppgifter. För att lagra personuppgifter från den 25 maj måste det finnas rättslig grund och det finns sex sådana: samtycke, avtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse.
– GDPR innebär att individens äganderätt till sina personuppgifter förstärks. I grunden är det en god tanke att värna integriteten, men visst blir det merarbete för oss till en början. Det krävs ett förändrat arbets- och tankesätt och det är en puckel vi måste ta oss över. Känsliga personuppgifter får bara skickas via krypterad mejl och vi är nära en lösning, men tills vidare skickar vi med vanlig post, säger kommunens digitaliserings- och kommunikationschef Andreas Peterzén.
Den fråga som man i fortsättningen måste ställa är i vilket syfte en personuppgift hämtas in och huruvida den ska lagras.
– Vi måste ta ställning till hur länge vi behöver lagra en personuppgift och om det finns lagligt stöd. I mångt och mycket kommer vi att arbeta som förut, men vi ska minimera inhämtningen av personuppgifter, säger Andreas Peterzén.
Om någon skulle råka glömma ett utskrivet papper eller tappa ett USB-minne som innehåller personuppgifter är kommunen skyldig att anmäla det till datainspektionen inom 72 timmar.
– Men det kommer att dröja tre till fem år innan vi vet hur rättspraxisen kring GDPR kommer att se ut.
En arbetsgrupp har sedan tidigt i våras försökt hitta de förvaltningsöverskridande behoven och de nya arbetssätt som GDPR kräver och alla de personuppgifter som kommunen lagrar inventerats.
– Det är ett jättearbete. Vi är en stor organisation med 3 300 anställda och har tusentals personuppgifter fördelade på många olika ställen, konstaterar kommundirektör Sari Eriksson.
På kommunens intranät ligger en övergripande information om den nya dataskyddsförordningen och utbildningsinsatser genomförs, men det finns fortfarande många frågetecken att räta ut.
– Det finns många myter och oklarheter kring GDPR, men när allt är inkört och rutinerna sitter kommer det att spara arbetstid.
Till sin hjälp kommer kommunen att ha ett dataskyddsombud som delas med ytterligare fem kommuner som både ska granska och hjälpa kommunen med GDPR.
– Att ha ett externt ombud ökar legitimiteten och i och med att personen arbetar i flera kommuner har vi möjlighet att lära av varandra, säger Andreas Peterzén.