Dataskyddsförordningen Fokus på kommunal verksamhet. Staffan Wikell, förbundsjurist SKL Lotta Kavtaradze, dataskyddskonsult LegalWorks januari 2018

Transkript

1 Dataskyddsförordningen Fokus på kommunal verksamhet Staffan Wikell, förbundsjurist SKL Lotta Kavtaradze, dataskyddskonsult LegalWorks januari 2018

2 Dagens agenda Grundläggande begrepp Grundläggande dataskyddsprinciper En ny dataskyddslagstiftning 2018 Vad behöver ni förbereda? Dataskyddsombudets arbetsuppgifter och organisation Dataskyddsjuridiken ur ett kommunalt perspektiv Offentlighetsprincipen kontra dataskydd

3 När är dataskyddslagstiftningen tillämplig? Lagstiftningen omfattar inte bara stora IT-system utan även information i word/excel som ligger på en anställds egen hårddisk eller serverutrymme. Det finns ingen privat behandling inom ramen för myndighetens verksamhet. Nämnden/bolaget har ansvar för vad alla anställda hittar på, vad alla leverantörer gör och många inlägg som kommer in från andra i t.ex. sociala medier. Definitionen av personuppgift är väldigt vid.

4 Undantag Bland annat: uteslutande för privata ändamål grundlagsskydd (TF, YGL) journalistiska ändamål helt manuell behandling som inte ingår i ett register OBS! Ostrukturerat material - missbruksregeln försvinner med GDPR

5 Personuppgiftsansvar Gentemot de registrerade personerna, Datainspektionen osv. har nämnden/styrelsen ansvar för att lagstiftningen följs, samt den juridiska personer när det gäller bolag. Inte förvaltningschefen, rektor, VD, IT-chefen, dataskyddsombudet, någon handläggare eller liknande. Delegation är inte möjlig. Vad har DU för ansvar?

6 Vem/vad ansvarar man för? Vad alla anställda hittar på Hur alla personuppgiftsbiträden och underbiträden hanterar era personuppgifter Vad andra skriver, i exempelvis sociala media Det kan ibland krävas en redigering vid handläggning av inkomna klagomål eller i sociala media

7 Vad är en personuppgift? All information som på något sätt kan kopplas till en identifierbar fysisk person som är i livet. Obs! En person kan identifieras på många andra sätt en genom namn eller personnummer! Det gäller även om kopplingsnyckeln inte finns hos den personuppgiftsansvarige! Pseudonymisering och kryptering kontra avidentifiering.

8 Personuppgift exempel även INDIREKTA uppgifter omdömen och värderingar bild- och ljudupptagningar (digitalt) genetisk och biometrisk information Exempel: namn, personnummer, kombinationer av t.ex. födelsedatum och klass eller adress, IPadress, GPS-slingor, mobilnummer, e-postadress, kundnummer, anställningsnummer, fastighetsbeteckning ibland, användarid, patientid, ärendenummer, diarienummer, löpnummer ibland, lägenhetsnummer, initialer.

9 Känslig information Förbjudet att registrera men det finns många undantag ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv, sexuell läggning genetisk och biometrisk information (GDPR)

10 Känslig information exempel undantag uttryckligt samtycke arbetsrätten (även kollektivavtal i GDPR) socialtjänst/socialförsäkring skydda vitala intressen ideella organisationer eget offentliggörande viktigt allmänt intresse (nytt) hälso- och sjukvård allmänt intresse på folkhälsoområdet (nytt) arkivering (nytt), forskning och statistik rättsliga anspråk sektorsspecifika lagstiftningar

11 Känslig information fler undantag DSL 3 kap. 2 (förslag, lagrådsremiss) Tillåtet för myndigheter att behandla känsliga personuppgifter om: Uppgifterna lämnats till myndigheten och behandling krävs enligt lag (nytt) Om behandlingen är nödvändig för handläggning av ett ärende (samma som i PuF, dock inget krav på att det ska vara i löpande text) eller i enstaka fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (nytt)

12 Fler grundläggande begrepp Extra skyddsvärda personuppgifter: värderingar, omdömen, personnummer, viss ekonomisk information, annan information som ligger nära privatlivet Personuppgiftsbiträde: inte bara lagring utan även åtkomst för t.ex. service, support, underhåll, utveckling, drift Tredjeland: utanför EU/EES

13 Grundläggande dataskyddsprinciper Proportionalitet Ansvarsskyldighet (accountability) Ändamålsbegränsning Uppgiftsminimering/relevans Lagringsminimering Behörigheter Öppenhet Säkerhet Inbyggt dataskydd och dataskydd som standard Laglighet, korrekthet

14 Grunder för laglig behandling, artikel 6 Grund för behandling av personuppgifter, någon av de grunder som räknas upp I artikel 6, 1. a-f måste kunna åberopas. I stort sett samma grunder som i 10 PuL. a, den registrerades samtycke b, behandlingen är nödvändig för fullgörande av avtal mellan den registrerade och den personuppgiftsansvarige, c,.. nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, d, nödvändig för att skydda intressen av grundläggande betydelse för den registrerade eller annan e, nödvändig för att utföra en uppgift av allmänt intresse eller som led I den personuppgiftsansvariges myndighetsutövning f, eller nödvändig för berättigade intressen hos den personuppgiftsansvarige eller hos tredje part efter en intresseavvägning mot den registrerades intresse att inte vara registrerad.

15 Grunder för laglig behandling, artikel 6 Varje PuA måste före 25/ inventera vilka grunder I art 6 som kan åberopas för de olika behandlingsändamål som finns i verksamheten. Fler grunder kan finnas för ett och samma behandlingsändamål. Myndigheter kan inte åberopa grunden nödvändig behandling efter en intresseavvägning. Utrymmet för myndigheter att använda sig av grunden samtycke minskar något, skäl 43. Missbruksregeln i PuL upphör, alltså det svenska undantaget för ostrukturerad behandling. Även ostrukturerad behandling i verksamheten måste inordnas under en laglig grund.

16 Grunder för laglig behandling artikel 6 Samtycke a), avtal b), rättslig förpliktelse c), vitala intressen d), myndighetsutövning e), uppgift av allmänt intresse e), berättigat intresse med intresseavvägning f) För kommuner och landsting är de viktigaste grunderna art. 6, punkt 1. c och e. Behandlingen är nödvändig för fullgörande av en rättslig skyldighet som åvilar den PuA utförande av en uppgift av allmänt intresse eller som led i den PuA:s myndighetsutövning.

17 Grunder för laglig behandling, kompletterande nationell lag Grunden för behandling enligt art 6 punkt 1. c och e ska fastställas i enlighet med unionsrätten eller nationell rätt som den PuA omfattas av. Medlemsstaterna får då behålla eller införa bestämmelser som komplettering till art 6 punkt 1 c och e genom att fastställa specifika krav för behandlingen (art 6 p 2 och 3). I förslaget till dataskyddslag (DSL) (lagrådsremiss 21/ och SOU 2017:39) finns sådana kompletterande bestämmelser om laglig grund enligt p. 1 c och e.

18 Grunder för laglig behandling Artikel årsgräns gäller för samtycke vid erbjudande av informationssamhällets tjänster direkt till ett barn. Medlemsländerna får sänka åldern till lägst 13 år. I 2 kap 2 DSL föreslås 13-årsgräns

19 Dataskyddsförordningen. Känsliga personuppgifter, artikel 9 Grundläggande förbud mot behandling av känsliga personuppgifter, som idag. Obs, genetiska och biometriska uppgifter räknas som känsliga uppgifter. Undantag från förbudet ungefär som idag. Bemyndiganden ges för medlemsländerna att i lag eller kollektivavtal ytterligare bestämma gränserna. Art 9 2. b, g, h,i och j.

20 Känsliga personuppgifter, arkiv m.m. Värt att notera att förordningen ställer särskilda villkor på nationell lagstiftning som gäller behandling av känsliga personuppgifter för ändamålet, arkiv av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistik. Art 9 2 j och art kap 6, DSL, bestämmelse om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse.

21 Personuppgifter om fällande domar i brottmål samt överträdelser Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser och därmed sammanhängande säkerhetsåtgärder får endas utföras av en myndighet, eller om behandlingen är tillåten enligt medlemsstatens nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter fastställs. Artikel 10. Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv, 3 kap 8 DSL. Regeringen eller den myndighet som regeringen bestämmer får dels meddela föreskrifter om i vilka fall andra än myndigheter får behandla dessa slag av personuppgifter, dels besluta i enskilda fall om att andra än myndigheter får behandla denna typ av uppgifter, 3 kap 9 DSL.

22 Rättsliga grunder - Myndighetsutövning - Allmänt intresse: skolan, kreditupplysningar, arkivering, forskning, statistik, befolkningsregistret, kanske också radonmätning, tillsynsärenden, kameror m.m. - Rättslig förpliktelse: arkivlagen, bokföring, utförda betyg, föra journaler, rapportera till SKV. - Berättigat intresse OKLART för myndigheter: HR? Hemsidan? - Berättigat intresse för bolag: störningsärenden, kameraövervakning, elektroniska nycklar.

23 Rättsliga grunder (forts.) - Avtalsförhållande: grundinformation om hyresgäster, administration som fakturering t.ex., HR - Samtycke: känsliga personuppgifter i vissa fall (inte om det föreligger rättsliga anspråk eller ett viktigt allmänt intresse), foton på hemsidan. - Sektorsspecifika lagstiftningar (SolPuL, PDL, kommer det en skoldatalag eller en myndighetsdatalag?) - Det kommer att komma uppförandekoder och certifieringar

24 Övergripande legala förändringar Alla medlemsstater får samma lagtext. Öppet för många tolkningar! Flexibilitet på myndighetsområdet, HR, arkiv m.fl. - vad ska gälla i Sverige? Stora bötesbelopp (DSL förslag om myndigheter) Ansvarsskyldighet/accountability: krav på analyser, rutiner och dokumentation Inbyggt dataskydd/privacy by design Dataskyddsombud (i vart fall för myndigheter) Incidentrapportering och annan incidenthantering Personuppgiftsbiträdet blir tillsynsobjekt Större krav på biträdesavtalet Den registrerades rättigheter

25 Förändringar för myndigheter Myndigheter kommer inte att kunna använda intresseavvägningen (berättigat intresse) i personuppgiftsbehandlingar när de fullgör sina uppgifter. Vad kommer det att innebära i praktiken? Kommer det en myndighetsdatalag? Skoldatalag? Vilka problem kan de i sådana fall lösa? Särskild hänsyn till uppgifter om barn Kommer DIs praxis om i undantag för många känsliga behandlingar att överleva rättsliga anspråk? - Utredningar om kränkande behandling, orosanmälningar, hjälpmedel, försäkringsärenden, immigranter, modersmål, dispens i förskoleverksamhet m.m. Offentlighetsprincipen är fortfarande överordnad Vissa beslut av myndigheter kan överklagas till domstol (gällande den registrerades rättigheter) Sanktionsavgifterna mäts i SEK för myndigheter och euro för bolag (förslag)

26 Vad kan hända? Beslut om att registret inte får föras Varning, reprimand, förelägganden Skadestånd till de registrerade (grupptalan) Höga administrativa sanktioner/ böter (GDPR) Dagsböter/fängelse? Inget förslag på straffbestämmelser i Sverige (DSL) Skada på varumärket

27 Den registrerades rättigheter vad är nytt? Samtycket ska vara tydligare och krävs oftare (?) Informationskravet blir ännu mer omfattande Registerutdrag ska kunna lämnas elektroniskt Vissa nya förutsättningar inom marknadsföringen (profilering/selektering) Rätten att bli glömd, återkalla samtycke, rättelse, registerutdrag m.m. Dataportabilitet Särskild hänsyn till uppgifter om barn

28 Hierarkin mellan författningarna Svensk grundlag EUs dataskyddsförordning Svensk dataskyddslag Svensk särlagstiftning Svensk dataskyddsförordning Förordning till svensk särlagstiftning Datainspektionens författningssamling och enskilda beslut

29 Ny dataskyddslag kompletterande svenska bestämmelser Lagrådsremiss 21/ , betänkande SOU 2017:39. Proposition mars 2018? En övergripande lag om dataskydd som kompletterar EU:s dataskyddsförordning i vissa delar. Bestämmelser av generell karaktär. Obs, ej heltäckande! Sektorsspecifika nationella lagar/förordningar om dataskydd ska ha företräde framför dataskyddslagen. Förhållandet till våra grundlagarna ändras inte. Undantag görs för tryck-och yttrandefriheten Lagen preciserar rättsliga grunder för behandling när det gäller rättslig förpliktelse, uppgift av allmänt intresse och som ett led i myndighetsutövning, artikel 6 1. c) och e). Ska träda ikraft 25/

30 Ny dataskyddslag kompletterande svenska bestämmelser 2 kap 3 DSL. Personuppgifter får behandlas med stöd av art 6.1 e dataskyddsförordningen om behandlingen är nödvändig 1.) för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller 2.) som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. 2 kap 2 DSL. Personuppgifter får behandlas med stöd av art 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som 1. gäller enligt lag, annan författning 2 följer av kollektivavtal eller 3. följer av beslut som meddelats med stöd av lag.

31 Ny dataskyddslag kompletterande svenska bestämmelser Undantag från förbudet mot behandling av känsliga personuppgifter görs inom hälso- och sjukvård och socialtjänst (3:5), inom arbetsrätten (3:1), för arkivändamål av allmänt intresse (3:6). Gäller för myndigheter och kommunala företag och andra. Undantag i myndigheters verksamheter generellt, dels nödvändig behandling vid ärendehandläggning, dels om uppgiften har lämnats till myndigheten och behandling krävs enligt lag och dels i enstaka fall om behandlingen är nödvändig m hänsyn till viktigt allmänt intresse och inte innebär otillbörligt intrång i den registrerades integritet. (3:2). Kommunala företag som omfattas av offentlighetsprincipen, får behandla känsliga personuppgifter om uppgiften lämnats till myndigheten och behandling krävs enligt lag (3:2 tredje st). Vid behandling som sker enbart med stöd av 2 är det förbjudet att utföra sökningar i syfte att få fram urval av personer grundat på känsliga uppgifter (3:3)

32 Ny dataskyddslag kompletterande svenska bestämmelser 13 årsgräns för samtycke till behandling av personuppgifter vid erbjudandet av informationssamhällets tjänster Behandling av personnummer, samma restriktioner som idag. Uppgifter om fällande domar i brottmål, lagöverträdelser får behandlas dels av myndigheter och dels i övrigt om det är nödvändigt för att den p-uppgiftsansvarige ska kunna följa föreskrifter om arkiv (arkivlagen). Vissa beslut av en PuA som är en myndighet kan överklagas till domstol, t ex avslag på begäran om registerutdrag, eller radering. Datainspektionen ska utöva tillsyn. Särskild tystnadsplikt för dataskyddsombud i privat verksamhet

33 Ny dataskyddslag kompletterande svenska bestämmelser Begränsningar av vissa rättigheter och skyldigheter. Den registrerades rätt till tillgång till personuppgifter i art 15 i förordningen gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning. Undantaget gäller dock inte om 1) personuppgifterna har lämnats ut till tredje part, eller 2) om de behandlas endast för arkivändamål av allmänt intresse, statistikändamål eller 3) har behandlats längre tid än ett år i löpande text som inte fått sin slutliga utformning. 5 kap 2 DSL Sanktionsavgifter ska kunna drabba även myndigheter. Lägre max belopp än för privat sektor

34 Ny dataskyddslag kompletterande svenska bestämmelser OSL 21 kap 7 - Sekretess för personuppgifter. Föreslås i princip samma sekretess som idag. OSL 40 kap 5 Sekretess i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden. - Sekretessens föremål, vilka uppgifter som skyddas, har förtydligats uppgift om enskilds personliga eller ekonomiska förhållanden. (Har trätt ikraft )

35 Frågor som inte hanteras i lagstiftningsärendet Sekretess-konfidentialitet för personuppgiftsbiträden. Artikel 28 Avtalet mellan PuA och biträdet ska bl a säkerställa att personer med behörighet att behandla personuppgifterna åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt Hur relaterar artikel 28 till OSL? Se även JO Beslutet i s k Conscriptor fallet. Enligt JO var det grundläggande bristen att läkarsekreterarna i i bemanningsföretaget inte var underkastade en lagstadgad straffsanktionerad tystnadsplikt.

36 Svenska utredningar som berör dataskyddsförordningen Dataskyddsutredningen, SOU 2017:39, Ny dataskyddslag kompletterande bestämmelser på generell nivå som behövs för att anpassa svensk lag till förordningen. EU:s dataskyddsförordning och utbildningsområdet SOU 2017:49. Ändringar i skollagen m.fl. författningar. En ny kamerabevakningslag. SOU 2017:55. Kompletterar dataskyddsförordningen och brottsdatalagen. Brottsbekämpande syfte och vissa andra syften. Begränsat tillståndskrav, dock tilllståndskrav för alla myndigheter, även kommunala. Personuppgiftsbehandling för forskningsändamål. SOU 2017:50

37 Svenska utredningar som berör dataskyddsförordningen Socialdataskyddsutredningen (Sören Öman) Betänkande 31/ S 2016:05. Omfattar översyn av all sektorslagstiftning om persondataskydd inom socialdepartementets område.

38 Diarier Skilj på olika typer av diarium! offentligt diarium: ändamålet, ärendemeningarna, behörighetstilldelningen, sökbegrepp internt diarium: arbetsredskap, fler uppgifter och sökbegrepp blir tillåtna publicerat diarium: 12 PuF

39 Ärendehantering känsliga personuppgifter (DSL) behörighetstilldelningen relevant information sökningar och sammanställningar uppgifter om lagöverträdelser t.ex. varningar skannade dokument sortera och avskilja för arkivering (gallring) dela med andra förvaltningar

40 Samarbete över nämnd/kommungränser hur integrerat är samarbetet? vad är relevant att dela? vilka sök- och sammanställningsmöjligheter är relevanta? vad säger sekretesslagstiftningen och ev. registerlagar? behörighetstilldelningen hur skyddar man informationen vid överföringen?

41 Sociala medier personuppgiftsansvar - Datainspektionen gör skillnad på Facebook, bloggar och Twitter t.ex. inte publicera kränkande personuppgifter hålla uppsikt över andras inlägg ta bort kränkande personuppgifter skadeståndsansvar informera om syftet och vad som är acceptabelt abuse-funktion interna instruktioner gallring Får vem som helst öppna t.ex. en Facebook-sida inom ramen för sin tjänsteutövning?

42 Hemsidan blanda inte ihop publiceringar på hemsidan med offentlighetsprincipen! arbetsplatsrelaterade uppgifter hemadresser föreningar och företag chatt/blogg scheman och klasslistor e-tjänster frivilligt utgivningsbevis protokoll, diarier m.m. foton/filmer samtycke?

43 Fritextfält omdömen och värderande information upplevs ofta som mycket känslig fakta är OK, men ur en objektiv synvinkel. Försök att undvika personliga reflexioner! skriv ner riktlinjer för handläggare, lärare, m.fl. kritik från DI är relativt vanligt kommunicera och förklara varför registerutdrag/offentlighetsprincipen! vad hade du själv ansett vara kränkande? barn har lika stor rätt till en personlig sfär som vuxna

44 Arkiv GDPR Särlagstiftning är möjlig m.m. (artikel 89) Undantag för reglerna om: - ändamålsbegränsning (artikel 5.1 b) - lagringsminimering (artikel 5.1 e) - känsliga personuppgifter (artikel 9.2 j) - rätten att bli glömd (artikel 17.3 d) DSL (fortfarande bara ett förslag) - regler om enskilda arkiv (2 kap. 4 ) - känsliga uppgifter för arkivändamål av allmänt intresse (3 kap. 6 ) - uppgifter om lagöverträdelser (3 kap. 8 ) - användningsbegränsning (4 kap. 1 ) - rätten till registerutdrag när informationen är arkiverad (5 kap. 2 p.2) - begränsning i rätten till rättelse, invändningar m.m. i vissa fall (arkivförordningen)

45 Skolans utmaningar mobila enheter och annan hantering och lagring av information e-post/sms känsliga personuppgifter kommunikation över öppna nät (t.ex. lärplattformar) avtalen med IT-leverantörerna (molntjänster) skriftliga omdömen kameraövervakning informationsinsatser skolhälsovården

46 Skolans utmaningar behörigheter bevarande/gallring fritext skyddade personuppgifter och annan adresshantering begäran enligt offentlighetsprincipen sociala medier hemsidan/foton/filmer (scheman/diarier/protokoll m.m.) personnummer (på klasslistor bl.a.) SOU 2017:49

47 Övrigt att tänka på! Bibliotek Boendefrågor Befolkningsregistret Biträdesavtal Tillsynsverksamheten Socialtjänst Äldrevård/journalföring Skyddade personuppgifter Registerutdrag Personnummer

48 Dataskyddsombudet Bestämmelser om dataskyddsombud finns i artiklarna i förordningen. Dataskyddsombud påminner i stora drag om dagens personuppgiftsombud. Vägledning om tolkning av reglerna om dataskyddsombud finns i Artikel 29-gruppens Guidelines on Data Protection Officers, och sammanfattning i en bilaga Annex- FAQ

49 Utse dataskyddsombud En personuppgiftsansvarig och ett personuppgiftsbiträde ska utnämna ett dataskyddsombud Om behandlingen utförs av en myndighet eller ett offentligt organ (artikel 37, p. 1 a) Om kärnverksamheten består av behandling av personuppgifter som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning (artikel 37, p. 1 b). Om kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter eller som rör fällande domar i brottmål och överträdelser enligt art 10 (artikel 37, p. 1 c) m.m. För övriga personuppgiftsansvariga och personuppgiftsbiträden är det frivilligt att ha ett dataskyddsombud (artikel 37, p. 4)

50 Vem kan vara dataskyddsombud Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och i synnerhet sakkunskap om lagstiftning och praxis avseende dataskydd och förmågan att fullgöra de uppgifter som ombudet ska utföra enligt förordningen (artikel 37,p 5). Dataskyddsombudet kan vara en anställd i den egna verksamheten eller utföra uppgiften på grund av ett tjänsteavtal (artikel 37, p 6). Intressekollisioner måste undvikas vid utseendet av ombudet och under uppdragstiden (artikel 38 p 6).

51 Vem ska utse dataskyddsombudet I kommuner och landsting är det nämnden = myndigheten som är personuppgiftsansvarig,som ska utse dataskyddsombudet. Enligt förordningen får flera myndigheter utse ett gemensamt dataskyddsombud, om det är lämpligt med hänsyn till organisationsstruktur och storlek hos myndigheterna (artikel 37, p 3) Den personuppgiftsansvarige ska offentliggöra dataskyddsombudets kontaktuppgifter (artikel 37, p 7).

52 Dataskyddsombudets ställning Den personuppgiftsansvarige ska säkerställa att ombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör persondataskydd i verksamheten (artikel 38, p. 1) Den personuppgiftsansvarige ska stödja ombudet genom att tillhandahålla tillräckliga resurser för utförandet av uppgifterna. Bekosta fortbildning. Ge tillgång till personuppgifter och behandlingsförfaranden (artikel 38, p. 2). Den personuppgiftsansvarige ska säkerställa att ombudet inte tar emot instruktioner för utförandet av dennes uppgifter. Ombudet får inte avsättas eller ges sanktioner för det sätt som hen utfört sitt uppdrag på (artikel 38, p. 3). Ombudet ska rapportera direkt till den högsta förvaltningsnivån hos uppdragsgivaren (artikel 38, p. 3). Dataskyddsombudet ska omfattas av sekretess/konfidentialitet, i enlighet med svensk nationell rätt (artikel 38, p. 5)

53 Dataskyddsombudets uppgifter Att informera och ge råd till den personuppgiftsansvarige och till de anställda som hanterar personuppgifter om deras skyldigheter enligt förordningen och andra dataskyddsbestämmelser (artikel 39, p. 1 a). Att övervaka efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning, samt interna riktlinjer och policydokument (artikel 39 p. 1. b). Att samarbeta med tillsynsmyndigheten och att vara en kontaktpunkt för tillsynsmyndigheten (artikel 39, p 1 d-e). Den registrerade får kontakta ombudet i frågor som gäller behandlingen av dennes uppgifter och utövandet av dennes rättigheter gentemot den personuppgiftsansvarige (artikel 38, p 4)

54 Dataskyddsombudets uppgifter m.m. Att på begäran ge råd vad gäller konsekvensbedömningar avseende dataskydd. (artikel 39, p. 1 c) Registerföringsskyldigheten i PuL går över från ombudet till den personuppgiftsansvarige (artikel 30).

55 Krav på ordning och reda Ansvarsskyldighet/accountability - utökade krav på kartläggning och dokumentation Ledning/styrning och strategier Organisationsstruktur Analyser (PIA) Policies/guidelines Medvetenhet/utbildning Öppenhet/transparens Rutiner för förändringsarbete

56 Vad behöver ni förbereda? - organisation och budget - nulägesanalys (inventering och juridisk utvärdering) - GAP-analys och åtgärdsplaner - utbilda personal (och beslutsfattare) - ta fram riktlinjer och rutiner för bl.a. dokumentation, gallring, fritext, behörigheter, utvecklingsprojekt, informationsåtgärder, e-tjänster - gör konsekvensanalyser (behov/risk/sårbarhet) - se över biträdesavtalen (t.ex. störningsjourer, fastighetssystem) - utse ett dataskyddsombud (?) Var beredda att visa omvärlden vad ni har gjort och hur ni har tänkt.

57 Dataskyddsprojektet förslag Styrelseinformation/beslut Information till berörda delar av organisationen (ex. IT, HR, kundsupport, kommunikationsavdelningen) att förändringar är på gång Basutbildning till alla anställda Kartläggning/mappning GAP-analys Åtgärdsplaner Djupare utbildning, anpassad till arbetsuppgift Biträdesavtalen ses över Uppdatera och kommunicera styrande dokument och andra guidelines (behörighetstilldelning, gallring, fritext m.m.) Ta fram rutiner för incidenthantering, analyser, de registrerades rättigheter m.m. Utveckla rutiner för hur ni ska jobba tillsammans - change management

58 Offentlighet och sekretess kontra dataskydd Allmänt: tänk efter vad offentlighetsprincipen är till för! allt som är offentligt är inte tillåtet att publicera specialregler om diarier och protokoll i 12 PuF behörighetstilldelningen ska inte utgå från offentlighetsprincipen regeln om registerutdrag gäller all information oavsett om handlingen är allmän/offentlig DI menar att frivilliga utgivningsbevis inte gäller kommuner JO om IT-leverantörer (avgjort i sept 2014) Transportstyrelsen

59 Begäran om att få ut en allmän handling Är det en allmän handling? Pröva först verksamhetssekretessen, t.ex. OSL 23 kap (utbildning), 39 kap (personal) m.m. Pröva sedan OSL 21 kap. 7 (s.k. PuL-sekretessen) Det är tillåtet att fråga! Annars går det inte att göra sekretessbedömningen. Praxis: det kommersiella syftet väger tungt Journalister/privat bruk regleras inte av PUL/GDPR Vem/vilka i er kommun ska göra dessa överväganden?

60 Praktiska tips! Förankring i ledningen/nämnden NULÄGESANALYS! God offentlighetsstruktur Utbildning för alla anställda som berörs Dataskyddsombudet får inte bli en målvaktsroll

61 SKL-Information om dataskyddsförordningen på skl.se Vad innebär dataskyddsförordningen? webbinar och PP-bilder. 18 maj Dataskyddsförordningen och dataskyddsombud. Webb-sändning och PM i PDF-format. 27 april Dataskyddsförordningen för beslutsfattare m fl. Vad måste göras före ?. Webbsändning, november Skolan och dataskyddsförordningen, webbinar, 21 februari Vägledning, reglerna om dataskyddsombud i dataskyddsförordningen. PM, Checklista, annons, rekrytering av dataskyddsombud Mall och PM om registerförteckning. Mall för avtal med personuppgiftsbiträden (på gång)