«

»

Maj 16 2018

Skriv ut detta Inlägg

Är din verksamhet redo?

Snart en del av lagen. GDPR, förkortat efter engelskans General Data Protection Regulation, träder i kraft den 25 maj.

GDPR och offentliga måltider

Är din
verksamhet redo?

Inom kort blir den nya, europeiska dataskyddsförordningen, GDPR, en del av svensk lag. Hot om höga sanktionsavgifter och osäkerhet kring hur formuleringar i den nya lagen ska tolkas har väckt en oro och det florerar många missförstånd. Vad innebär egentligen den nya lagen? Och hur påverkar den de offentliga måltidsverksamheterna?

GDPR, den europeiska persondataskyddsförordning som träder i kraft den 25 maj, torde knappast ha undgått någon. Förordningen blir direkt tillämplig som lag i Sverige och ersätter dataskyddsdirektivet och personuppgiftslagen.

Med den nya dataskyddsförordningen skärps kraven vid hantering av enskildas personuppgifter och regelverket påverkar inte bara privata utan även offentliga verksamheter – däribland de offentliga måltiderna. Och som bryter mot förordningen kan tvingas betala skadestånd och höga sanktionsavgifter.

Känsliga uppgifter i skolköken

GDPR:s 4
hörnstenar

  • All sparad information måste ha ett syfte
  • Syftet får inte ändras
  • Endast de som behöver informationen ska ha tillgång till den
  • Informationen måste förvaras säkert

Enligt Datainspektionen, som har huvudansvaret i frågor som rör GDPR, är det tillåtet att huvudmän för skolor och utbildningsorgan behandlar uppgifter om hälsa ”om det är nödvändigt för ändamålet”.

Skolor och skolrestauranger måste handskas med känsliga personuppgifter för att kunna hantera specialkost, både i datorer, register och på papper och etiketter i köket. Uppgifter om specialkost måste behandlas varje skoldag och bevaras under hela elevens skolgång. Dessutom behöver uppgifterna vara sökbara för att fylla sin funktion. Vid exempelvis allvarliga allergier kan snabb tillgång till barnets personnummer vara nödvändigt, liksom till vårdnadshavares telefonnummer. Läkarintyg för allergier ska däremot inte finnas i köket, det ligger på skolhälsovårdens ansvar.

Skolverket kommer, enligt handläggare vid myndigheten som medlemssidorna varit i kontakt med, att tillsammans med SKL ta fram ett stödmaterial.

”Det är hälsosamt att man nu höjer nivån och kraven på respekt kring hur känsliga uppgifter hanteras”

Manar till försiktighet

Per Svensson är IT-chef vid Kalmarsunds gymnasieförbund och den som har lett arbetet med att anpassa förbundets verksamhet och hantering av personuppgifter rörande närmare 6 000 personer – elever, vuxenstuderande och medarbetare – till de förändringar som följer av GDPR. Han menar att det är svårt att ge konkreta råd rörande den nya lagstiftningen, men manar till försiktighet.

Per Svensson.

– Det är tillåtet att behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet och inte innebär ett otillbörligt intrång i den personliga integriteten. Det gäller till exempel om en person har specialkost på grund av allergi eller av religiösa skäl. Samtidigt är det viktigt att ta hänsyn till att det handlar om känsliga personuppgifter och att dessa ska hanteras omsorgsfullt och restriktivt, och till exempel inte sparas längre än nödvändigt, säger han.

Kännbara sanktioner största skillnaden

Även om GDPR nu ersätter personuppgiftslagen (PuL) förblir grunderna i princip desamma. Per Svensson poängterar att dataskyddsdirektivet kring hantering av personuppgifter är oförändrat. Däremot har lagen förfinats och anpassats till en global digitalisering.

– Hur man hanterar och sparar personuppgifter ska vila på laglig grund. Det är hälsosamt att man nu höjer nivån och kraven på respekt kring hur känsliga uppgifter hanteras, säger Per Svensson.

Han menar att det finns många paralleller med den nervositet som rådde inför millennieskiftet. Många var ängsliga och stressade över vad som skulle hända med lagrade uppgifter, datorer med mera, och konsulter som ville sälja tjänster och utbildningar utnyttjade tillfället. Men när datumet väl hade passerats visade sig problemen bli få.

– Generellt kan man säga att det samma som gällde kring hantering av personuppgifter före den 25 maj kommer att gälla även i fortsättningen. Den stora skillnaden är att man kommer att kunna vidta åtgärder och utfärda sanktioner som blir kännbara, så att företag och organisationer får en större respekt för regelverket, och följer det, säger Per Svensson.

Reglerna kan se olika ut beroende på om man arbetar inom skola, förskola, sjukhus, eller måltidsservice inom hemtjänsten. Ansvaret för att tolka den nya lagen ligger hos IT-avdelningen eller hos organisationens jurister. Det är upp till varje enhet att se över hur man hanterar personuppgifter och att inventera vilken känslig data som finns registrerad. Man behöver också försäkra sig om att inget sparas i onödan och att det finns rutiner för att rensa bort information som inte är nödvändig att spara eller som man ombes ta bort.

Kajsa Asp Jonson

Permalänk till denna artikel: http://www.kostochnaring.se/nyhet/ar-din-verksamhet-redo