När Södertälje kommun började bakgrundskontrollera sina tusentals anställda var det historiskt – aldrig tidigare hade en kommun kontrollerat ett så stort antal anställda för brott. Många kommuner runtom i landet har visat intresse för bakgrundskontrollerna och följer nu utvecklingen i Södertälje.
Avtal saknades i ett år
SVT Nyheter kan nu avslöja att ett viktigt avtal mellan kommunen och det säkerhetsföretag som skulle utföra jobbet saknades när kontrollerna började genomföras den 18 maj 2022. ”Personuppgiftsbiträdesavtalet” som enligt lag måste finnas eftersom det reglerar ansvaret för personuppgifterna.
Det tog nästan ett år innan avtalet var på plats.
– Den här behandlingen är extremt olämplig och olaglig skulle jag bedöma utifrån min erfarenhet, säger Monika Wendleby, ledande expert inom dataskyddslagstiftning.
Ansvaret för personuppgifter på de anställda inom kommunen och de kommunala bolagen, 8 471 stycken, överlämnades till säkerhetsbolaget på en USB-sticka. ”Vårdslöst”, menar Monika Wendleby.
Hör henne och mer om SVT:s granskning i videon ovan.
Riskabelt om databas hackas
– Om en incident inträffar, till exempel att en databas hackas eller att ett USB-minne tappas bort, är det den ansvarige som ska rapportera incidenten och hantera konsekvenserna. Om biträdesavtalet inte finns på plats finns inga tydliga krav på leverantören. Vilket kan göra att incidenter inte hanteras eller hanteras för sent, menar hon.
Kontrollerna har anmälts till JO, Justitieombudsmannen, som ska bedöma om de är lagliga eller inte.
– Vi har absolut sett att det finns proportionalitet i att införa bakgrundskontroller, vi ser att vi behöver stärka skyddet för barn, äldre och funktionsnedsatta, säger Elof Hansjons (S).
Är du kommunanställd i Södertälje och en av dem som drabbats av bakgrundskontrollerna? Hör av dig till oss på clara.fritzon@svt.se.
Javascript är avstängt
Det här är ett personUPPGIFTSbiträdesavtal
Ett personuppgiftsbiträdesavtal, även känt som ett data processing agreement (DPA) på engelska, är ett juridiskt dokument som reglerar förhållandet mellan en personuppgiftsansvarig och en personuppgiftsbiträde enligt dataskyddslagar som GDPR (General Data Protection Regulation).
Avtalet ska bland annat innehålla:
Syftet med behandlingen av personuppgifter och specificering av vilken typ av data som kommer att behandlas. Det klargör också vilka tjänster eller funktioner som personuppgiftsbiträdet kommer att tillhandahålla.
Säkerhetsåtgärder som personuppgiftsbiträdet måste vidta för att skydda personuppgifterna ska innefatta åtgärder som datakryptering, säkerhetskopiering, åtkomstkontroller och övervakning.
Personuppgiftsbiträdet är skyldigt att tillåta tillsyn och revision av sina dataskyddsåtgärder och följsamhet av avtalet med den personuppgiftsansvarige.
Källa: Integritetsskyddsmyndigheten
Det här är GDPR
De viktigaste principerna i GDPR inkluderar krav på samtycke från individer för att behandla deras data, rätt till tillgång till sina egna uppgifter, rätt till rättelse och radering av data, samt krav på dataskyddsanpassade åtgärder och rapportering av dataintrång.
Dataskyddslagen är den svenska lagen som implementerar GDPR i Sverige. Den reglerar hur GDPR ska tillämpas nationellt och ger svenska myndigheter och tillsynsorgan befogenhet att övervaka och genomföra sanktioner mot överträdelser.
Brott mot GDPR kan leda till betydande böter, som kan vara upp till 4% av företagets globala årliga omsättning eller upp till 20 miljoner euro, beroende på vilket belopp som är högst. Dessutom kan företag som inte följer GDPR utsättas för skadeståndsanspråk från drabbade individer.
Källa: Integritetsskyddsmyndigheten