Ida Sulin: Vem får göra vad med dina uppgifter?
Dataskydd och personuppgiftsjuridik låter snårigt, och det är det också. Utmaningen ligger i att snårigheten döljer grundläggande frågor om makt och ansvar: vem bestämmer vad som får göras med uppgifter om dig och mig, och på vilka grunder?
Eftersom myndigheter, såsom lokalförvaltningen, är beroende av personuppgifter för att klara av sina åtaganden är det enormt viktigt att gränser, ansvar och konsekvenser är tydliga.
Tyvärr passar dataskyddsregler och kommunvardag rätt dåligt ihop. Dataskyddsregler finns både i nationell och EU-lagstiftning och speciellt de regler som EU tagit fram är inte anpassade för att tillämpas i lokalförvaltningens verksamhet. En kommun, som i och för sig är en enda juridisk person, kan indelas i många myndigheter som ligger lagar på lager och har delvis gemensamma och delvis separata uppgifter. Kommunens verksamhet är också bred, den innefattar såväl traditionell myndighetsverksamhet, arbetsgivarfrågor som exempelvis ordnandet av idrottstävlingar. Att foga samman denna komplexa verklighet med snåriga regler är svårt.
Dataskyddsreglering speglar ett val om hur vi vill att offentlig makt ska utövas i förhållande till enskilda.
Här kommer det projekt vi på Kommunförbundet arbetat med sedan hösten 2025 in i bilden. Vi har samlat såväl kommuner som representanter för lagstiftaren, övervakningsmyndighet och andra instanser med intresse i frågan till gemensamma arbetsgrupper för att tillsammans diskutera tre nyckelfrågor ur dataskyddsperspektiv:
- Hur identifierar man och bestämmer vem som i en kommun är dataskyddsansvarig?
- Hur tillvaratas de registrerades rättigheter på bästa sätt?
- Hur väljer aktörer inom lokalförvaltningen korrekt grund för behandlingen av personuppgifter i sin verksamhet?
Projektet strävar till att utarbeta anvisningar inom dessa helheter för kommunernas verksamhet, men på samma gång har projektarbetet i sig varit en målsättning. I och med att också representanter för lagstiftaren och övervakande myndighet ingått i diskussionerna har en målsättning varit att öka förståelsen för behovet av klar och tydlig lagstiftning för kommunerna. Om lagstiftaren redan i skedet av normgivning förstår kommunernas komplexa verksamhet kan många fallgropar undvikas.
Ett exempel på detta är när tillämpningsområdet för ny lagstiftning fastslås i en paragraf. Ibland kan det heta att normerna skall tillämpas på kommunernas lagstadgade uppgifter, eller på kommunens myndighetsuppgifter, eller kanske på de uppgifter som i lag getts åt kommunen. Eller så kanske lagstiftningen skall tillämpas på kommunens frivilliga uppgifter, eller de uppgifter som faller inom kommunens allmänna kompetens.
Det säger sig själv att den som sen skall försöka hitta rätt grund för behandlingen av personuppgifter inom dessa uppgifter har en snårskog framför sig, och att det rent dataskyddsmässigt skulle vara enklare om lagstiftaren höll sig till mer kategoriserande bestämningar.
I projektet strävar vi alltså efter såväl anvisningar som bättre förståelse under arbetets gång. Staten, tillsynsmyndigheten och kommunerna har suttit vid samma bord redan medan anvisningarna formades, inte efteråt. Det är ett arbetssätt som tar tid men som också ger förankring. Riksdagens förvaltningsutskott har i sitt betänkande 4/2026 lämnat tydligare anvisningar i frågor som berörts inom projektet, vilket tyder på att diskussionerna med justitieministeriet haft genomslag.
Dataskyddsreglering uppfattas ofta som en administrativ börda. Det är den också, delvis. Men den speglar ett val om hur vi vill att offentlig makt ska utövas i förhållande till enskilda. Att kommunerna nu får bättre verktyg för att göra det valet medvetet och konsekvent är viktigt för oss.