SVT Nyheter Södertälje kan nu avslöja att dataskyddsombuden, som har till uppgift att se till att rådande lagstiftning inom dataskydd och GDPR följs, inte har fått vara med och säga sitt inför införandet av bakgrundskontrollerna av anställda i kommunen.
Hör ett av dataskyddsombuden om vad han tycker om det i videon ovan.
Vår granskning visar även att kommunen inte gjorde en konsekvensbedömning innan bakgrundskontrollerna startade den 18 maj 2022, trots att både deras dataskyddsombud och andra personer med insyn i processen påpekat vid flera tillfällen att en sådan måste göras.
Konsekvensbedömning görs först våren 2023
Först under våren 2023 genomförs en konsekvensbedömning men när SVT begär ut den får vi den bara som arbetsmaterial.
– Det är bara att göra en pudel, det var en administrativ miss, det material ni fått ut är den färdiga konsekvensbedömningen, säger Johan Lefverström, HR-direktör.
Konsekvensbedömningen är daterad både den 1 mars och 23 mars 2023 men dataskyddsombuden har ännu inte fått tillgång till den.
– Den har inte vi fått, säger Marcus Broman.
Dataskyddsombuden säger också att de först i september i år fick kännedom om att bakgrundskontrollerna hade påbörjats.
– Någonstans uppenbarligen har det varit någon miss i kommunikationskedjan men det är ingenting som vi hållit dolt, säger Johan Lefverström.
Hör dataskyddsombudet Marcus Broman och HR-direktören Johan Lefverström i videon ovan.
Fakta: konsekvensbedömning
Innan en organisation påbörjar en behandling av personuppgifter, till exempel bakgrundskontroller, ska enligt lag en konsekvensbedömning genomföras för att man ska hinna upptäcka och minimera eventuella risker.
Ett dataskyddsombuds uppgift är att övervaka att organisationen följer lagen och få information om hur personuppgifter behandlas.
Dataskyddsombudet ska också alltid vara inblandat om en organisation gör, eller överväger att göra, en konsekvensbedömning för behandling av personuppgifter.
Källa: Integritetsskyddsmyndigheten