Javascript är avstängt

Javascript måste vara påslaget för att kunna spela video
Hör om hur kommunen kan ha agerat i strid med lagstiftningen när de historiskt omfattande bakgrundskontrollerna av offentliganställda började genomföras. Foto: Aida Arslanovic/SVT

Kommunen införde bakgrundskontroller – men ansvaret gavs bort: ”Extremt olämpligt”

Uppdaterad
Publicerad

Södertälje är den första kommunen som infört omfattande och återkommande bakgrundskontroller av alla anställda. SVT Nyheter kan nu avslöja att kommunen lämnade bort ansvaret för hanteringen av de tusentals personuppgifterna i strid med gällande lagstiftning. Ett centralt avtal fattades.

När Södertälje kommun började bakgrundskontrollera sina tusentals anställda var det historiskt – aldrig tidigare hade en kommun kontrollerat ett så stort antal anställda för brott. Många kommuner runtom i landet har visat intresse för bakgrundskontrollerna och följer nu utvecklingen i Södertälje.

Avtal saknades i ett år

SVT Nyheter kan nu avslöja att ett viktigt avtal mellan kommunen och det säkerhetsföretag som skulle utföra jobbet saknades när kontrollerna började genomföras den 18 maj 2022. ”Personuppgiftsbiträdesavtalet” som enligt lag måste finnas eftersom det reglerar ansvaret för personuppgifterna.

Bakgrundskontrollerna i Södertälje

Det tog nästan ett år innan avtalet var på plats.

– Den här behandlingen är extremt olämplig och olaglig skulle jag bedöma utifrån min erfarenhet, säger Monika Wendleby, ledande expert inom dataskyddslagstiftning.

Ansvaret för personuppgifter på de anställda inom kommunen och de kommunala bolagen, 8 471 stycken, överlämnades till säkerhetsbolaget på en USB-sticka. ”Vårdslöst”, menar Monika Wendleby.

Hör henne och mer om SVT:s granskning i videon ovan.

Riskabelt om databas hackas

– Om en incident inträffar, till exempel att en databas hackas eller att ett USB-minne tappas bort, är det den ansvarige som ska rapportera incidenten och hantera konsekvenserna. Om biträdesavtalet inte finns på plats finns inga tydliga krav på leverantören. Vilket kan göra att incidenter inte hanteras eller hanteras för sent, menar hon.

Kontrollerna har anmälts till JO, Justitieombudsmannen, som ska bedöma om de är lagliga eller inte.

– Vi har absolut sett att det finns proportionalitet i att införa bakgrundskontroller, vi ser att vi behöver stärka skyddet för barn, äldre och funktionsnedsatta, säger Elof Hansjons (S).

Är du kommunanställd i Södertälje och en av dem som drabbats av bakgrundskontrollerna? Hör av dig till oss på clara.fritzon@svt.se.

Javascript är avstängt

Javascript måste vara påslaget för att kunna spela video
Elof Hansjons (S), personalutskottets ordförande, om varför rätt avtal inte var på plats när bakgrundskontrollerna i Södertälje kommun inleddes den 18 maj 2022. Foto: Aida Arslanovic/SVT

Det här är ett personUPPGIFTSbiträdesavtal

Ett personuppgiftsbiträdesavtal, även känt som ett data processing agreement (DPA) på engelska, är ett juridiskt dokument som reglerar förhållandet mellan en personuppgiftsansvarig och en personuppgiftsbiträde enligt dataskyddslagar som GDPR (General Data Protection Regulation).

Avtalet ska bland annat innehålla:

Syftet med behandlingen av personuppgifter och specificering av vilken typ av data som kommer att behandlas. Det klargör också vilka tjänster eller funktioner som personuppgiftsbiträdet kommer att tillhandahålla.

Säkerhetsåtgärder som personuppgiftsbiträdet måste vidta för att skydda personuppgifterna ska innefatta åtgärder som datakryptering, säkerhetskopiering, åtkomstkontroller och övervakning.

Personuppgiftsbiträdet är skyldigt att tillåta tillsyn och revision av sina dataskyddsåtgärder och följsamhet av avtalet med den personuppgiftsansvarige.

Källa: Integritetsskyddsmyndigheten

Det här är GDPR

De viktigaste principerna i GDPR inkluderar krav på samtycke från individer för att behandla deras data, rätt till tillgång till sina egna uppgifter, rätt till rättelse och radering av data, samt krav på dataskyddsanpassade åtgärder och rapportering av dataintrång.

Dataskyddslagen är den svenska lagen som implementerar GDPR i Sverige. Den reglerar hur GDPR ska tillämpas nationellt och ger svenska myndigheter och tillsynsorgan befogenhet att övervaka och genomföra sanktioner mot överträdelser.

Brott mot GDPR kan leda till betydande böter, som kan vara upp till 4% av företagets globala årliga omsättning eller upp till 20 miljoner euro, beroende på vilket belopp som är högst. Dessutom kan företag som inte följer GDPR utsättas för skadeståndsanspråk från drabbade individer.

Källa: Integritetsskyddsmyndigheten

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.

Bakgrundskontrollerna i Södertälje

Mer i ämnet