Följ dataskyddsförordningen vid innovation och digitalisering

Sverige är mitt i en digital transformation som berör alla samhällssektorer och hela samhället. Digitaliseringen innebär att allt fler personuppgifter samlas in, används och återanvänds. Behandling av personuppgifter bidrar till bra och effektiva tjänster för medborgarna, men medför också stora utmaningar kopplat till den personliga integriteten.

Frågan om personlig integritet handlar i grunden om vilken typ av samhälle vi vill leva i, idag och i framtiden. Det är inte ett smalt expert- eller nischområde. Det är nödvändigt att integritet förstås som ett värde som bidrar till att värna och bygga förtroende i samhället, inte som en broms eller ett nödvändigt ont för att undvika sanktioner.

När offentliga aktörer innoverar och med hjälp av teknik tar fram nya processer, tjänster och produkter är det viktigt att säkerställa att insamling och användning av personuppgifter sker på ett etiskt, lagligt och långsiktigt hållbart sätt. Som offentlig aktör bör du sträva efter att vara en förebild för en hållbar digitalisering och bygga in dataskydd från början.
Dataskyddsförordningen beskrivs ofta som ett komplicerat regelverk som hindrar eller hämmar utveckling av ny teknik och digitalisering, men den är till för att skydda grundläggande rättigheter och friheter, särskilt rätten till personlig integritet. Dataskyddsförordningen ska trygga att vår personliga integritet inte kränks, genom att våra personuppgifter exempelvis sprids och används för andra syften än vad som var tänkt från början.

Dataskyddsförordningen har syftet att säkerställa ett fritt flöde av personuppgifter inom EU och EES. Den ska dessutom hindra integritetshotande teknik som utför överdriven eller obefogad behandling av personuppgifter.

Reglerna i förordningen gäller i hela EU. Förordningen innehåller bland annat skyldigheter för verksamheter som behandlar personuppgifter. Det är Integritetsskyddsmyndigheten (IMY), Sveriges nationella tillsynsmyndighet för behandling av personuppgifter, som granskar att reglerna på dataskyddsområdet följs, till exempel genom att utöva tillsyn och ge vägledning. Verksamheter som bryter mot reglerna riskerar exempelvis sanktionsavgifter eller förelägganden om att rätta till brister som upptäckts vid tillsyn.

Om metodstödet

Metodstödet är framtaget av Digg och IMY i samverkan. Det ska vara ett stöd om dataskyddsfrågor för offentliga aktörer att använda vid innovation, digitalisering och digital verksamhetsutveckling. Metodstödet kan användas både om du och din organisation ska påbörja en ny person-uppgiftsbehandling eller digitalisera en pågående behandling. Syftet är att vägleda dig att utforma en personuppgiftsbehandling som följer dataskyddsförordningen.

Metodstödet utgår från två övergripande förutsättningar:

1. En organisation som ska innovera måste beakta dataskyddsförordningen löpande under innovationsarbetets gång.
   
2. Det krävs kontinuerligt och strukturerat tvärfunktionellt samarbete mellan de funktioner – jurister, tekniker och chefer – som deltar i innovationsarbetet.

I metodstödet föreslås en modell för hur det tvärfunktionella samarbetet kan se ut. Att använda metodstödet skapar inga garantier för att personuppgiftsbehandlingen kommer följa dataskyddsförordningen. Metodstödet bidrar dock till att skapa en grundlig dokumentation om personuppgiftsbehandlingen. Underlaget är en viktig beståndsdel i att uppfylla dataskyddsförordningens princip om ansvarsskyldighet, som innebär att den personuppgiftsansvariga ansvarar för att behandlingen följer förordningen. Underlaget kan också ligga till grund för en konsekvensbedömning om dataskydd.

Innovation i offentlig förvaltning kan ske med olika syften och i olika former, det kan till exempel handla om att utföra befintliga uppgifter på nya sätt, eller att införa nya delar till verksamheter. Metodstödet tar i huvudsak sikte på när innovation innebär att en teknisk tjänst eller produkt ska utvecklas eller köpas för att användas i offentliga aktörers verksamhet.

Metodstödet riktar sig till offentlig förvaltning

Metodstödet riktar sig till verksamheter i offentlig förvaltning. Inom dessa verksamheter är tanken att jurister, utvecklare, it-arkitekter, beslutsfattare och projektledare med flera, som är inblandade i ett innovationsprojekt, ska hitta stöd i samarbetet med andra kompetenser än den egna. Även om avsnittet Rättslig bedömning av personuppgiftsbehandlingen utgår från regelverket i dataskyddsregleringarna är det vår förhoppning att metodstödet ska vara ett verktyg för att tillämpa den juridiska metoden tillsammans med utvecklingsmetodik.

Metodstödet innehåller 3 delar som du som offentlig aktör bör ha i åtanke när du arbetar med innovation, digitalisering och digital verksamhetsutveckling.

Dataskydd och innovation

Vid innovationsarbete är det viktigt att du som offentlig aktör tidigt skapar dig en överblick över de legala aspekterna du behöver förhålla dig till. Ett samarbete mellan olika professioner och att bygga in dataskydd från början är nödvändigt för att underlätta innovationsarbetet.

Dataskydd och innovation

Rättslig bedömning av personuppgiftsbehandlingen

I avsnittet ges stöd för att göra bedömningar om din organisations personuppgiftsbehandling är förenlig med de krav som ställs i dataskyddsförordningen. Stödet utgår ifrån dispositionen i dataskyddsförordningen och innehåller åtta delar.

1. Bedömning av personuppgiftsansvar
2. Grundläggande principer för behandling av personuppgifter
   
3. Rättslig grund för behandlingen
   
4. Känsliga och extra skyddsvärda personuppgifter
   
5. Säkerhet
6. Konsekvensbedömning om dataskydd
7. Registrerades rättigheter
8. Tredjelandsöverföring

Rättslig bedömning av personuppgiftsbehandlingen

Checklista

Förslag på frågor att besvara för att skapa en bild av vilken personuppgiftsbehandling som är aktuell i er innovation.

Checklista

Film om metodstödet

I filmen berättar vi om innehållet i metodstödet och hur det är uppbyggt.