Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen

Transkript

1 Kultur Tjänsteutlåtande Utfärdat Diarienummer 0441/18 Maria Bursell/Kultur/GBGStad Telefon: E-post: Stina Borrman/Kultur/GBGStad Telefon: E-post: Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen Förslag till beslut I kulturnämnden 1. Kulturnämnden antecknar tilldelning av Johan Bergström som dataskyddsombud för nämndens verksamhetsområde, samt att förvaltningen bevakar framtagande av stadengemensam rutin för dataskyddsombud. 2. Kulturnämnden antecknar information om kommungemensam intern tjänst dataskyddsombud (DSO) och tjänstebeskrivning enligt bilaga Kulturnämnden antecknar information om lokal organisation för hantering av personuppgifter i kulturförvaltningen. 4. Kulturnämnden antar förvaltningens förslag att följa upp och rapportera arbetet med dataskyddsfrågor inom ramen för ordinarie uppföljning till nämnden. 5. Kulturnämnden beslutar att, i avvaktan på att nämndens delegationsordning är uppdaterad och beslutad, delegera rätt till förvaltningsdirektören att fastställa beslut av icke-principiell karaktär som är nödvändiga enligt dataskyddsförordningen. 6. Kulturnämnden ger förvaltningen i uppdrag att föreslå ändringar med anledning av dataskyddsförordningen och arbeta in dessa i förestående översyn av kulturnämndens delegationsordning. Sammanfattning Dataskyddsförordningen (DSF) gäller som lag i alla EU:s medlemsländer från och med den 25 maj Förordningen innebär stora förändringar för de som behandlar personuppgifter och stärkta rättigheter för den enskildes personliga integritet. Förordningen blir direkt tillämplig i alla medlemsländer vilket innebär att den gäller som lag i varje medlemsstat utan särskilda implementeringsåtgärder. Detta föranleder att förändringar behöver göras innan lagen träder i kraft samtidigt som vissa frågor behöver invänta den praxis som följer implementeringen av lagen. Göteborgs Stad [Kultur], tjänsteutlåtande 1 (7)

2 Enligt DSF ska personuppgiftsansvarig, kulturnämnden, utse ett dataskyddsombud. Kommunstyrelsen har beslutat att dataskyddsombud tillhandahålls alla förvaltningar och bolag via Intraservice. Kulturförvaltningen har fått ett dataskyddsombud tilldelat enligt bilaga 1. Förvaltningsdirektören har beslutat om lokal organisation för att ta omhand de frågor som dataskyddsförordningen föranleder. Vissa ytterligare beslut kan komma att behöva tas utifrån dataskyddsförordningen som inte finns angivna i nuvarande delegationsordning. Arbetet med dataskyddsförordningen följs lämpligast upp inom ordinarie uppföljning till nämnden. Ekonomiska konsekvenser Dataskyddsombud bekostas inom ramen för ekonomimodellen för kommungemensamma tjänster. Redan nu betalar kulturförvaltningen kronor per år för kommungemensam intern tjänst dataskyddsombud (DSO). Finansieringen av kostnaderna för lokal organisation bedöms kunna ske inom tilldelade ekonomiska ramar genom användande av befintlig personal och omfördelning av arbete. Bedömningen är att det totalt rör sig om ca 2 4 årsarbetare som på olika sätt kommer att arbeta med införandet av dataskyddsförordningen. När väl arbetet är implementerat kommer färre resurser att behöva tas i anspråk. Barnperspektivet, jämställdhetsperspektivet och mångfaldsperspektivet Dataskyddsförordningen syftar till att stärka den enskildes integritet oavsett vems personuppgifter som myndigheten behandlar. Kulturförvaltningen har därför inte funnit några särskilda aspekter på frågan utifrån dessa perspektiv. Miljöperspektivet Kulturförvaltningen har inte funnit några särskilda aspekter på frågan utifrån detta perspektiv. Omvärldsperspektivet Dataskyddsförordningen är en EU-lagstiftning som blir direkt tillämplig i alla medlemsländer utan hänsyn till nationella lagstiftningar och förutsättningar. Såväl Sveriges kommuner och landsting (SKL), som Göteborgs Stad, reserverar sig för att vissa frågor kring hanteringen av personuppgifter enligt dataskyddsförordningen kommer att behöva invänta praxis innan de kan lösas. Arbetsmiljökonsekvenser De organisatoriska förändringar och nya arbetssätt som dataskyddsförordningen medför, och som hanteras inom tilldelade ekonomiska ramar, kan komma att innebära arbetsmiljökonsekvenser för kulturförvaltningens medarbetare. Genom omfördelning och prioritering av arbete ser förvaltningen att arbetet kommer att kunna hanteras inom befintliga ramar med målet att minimera negativa arbetsmiljökonsekvenser. Bilagor 1. Tilldelning av dataskyddsombud Göteborgs Stad [Kultur], tjänsteutlåtande 2 (7)

3 2. Tjänstebeskrivning dataskyddsombud Göteborgs Stad [Kultur], tjänsteutlåtande 3 (7)

4 Ärendet När dataskyddsförordningen träder i kraft den 25 maj 2018 måste vissa anpassningar till lagen ha genomförts, bland annat måste ett dataskyddsombud finnas för kulturnämndens verksamhetsområde. Kulturförvaltningen har också gjort anpassningar i organisationen för att säkerställa att frågor som rör dataskyddsförordningen tas omhand. I ärendet adresseras även frågor som rör uppföljning av dataskyddsfrågor och delegationsbeslut. Beskrivning av ärendet Dataskyddsförordningen (DSF) gäller som lag i alla EU:s medlemsländer från och med den 25 maj Förordningen innebär en hel del förändringar för de som behandlar personuppgifter (myndigheter, företag mm) och stärkta rättigheter för den enskildes personlig integritet. Förordningen blir direkt tillämplig i alla medlemsländer vilket innebär att den gäller som lag i varje medlemsstat utan särskilda implementeringsåtgärder. Det finns dock utrymme för nationell kompletterande lagstiftning och övriga hanteringsregler. För att förtydliga vissa delar av förordningen ur ett nationellt perspektiv har en proposition om ny dataskyddslag lagts fram till riksdagen som föreslås träda i kraft 25 maj Då den nya dataskyddsförordningen kommer gälla som lag i Sverige och ersätta personuppgiftslagen (härefter PuL) så pågår det redan en hel del aktiviteter på nationell nivå och kommunal nivå för att förbereda landet på den förändring detta medför. Datainspektionen är tillsynsmyndighet för myndigheters behandling av personuppgifter. Datainspektionen kommer under 2018 att byta namn till Integritetsskyddsmyndigheten. Kulturnämnden är enligt DSF personuppgiftsansvarig inom sitt verksamhetsområde vilket innebär ett ansvar att säkerställa att gällande lagstiftning efterlevs i kulturförvaltningen. Vissa beslut är nödvändiga att fastställa redan innan lagen trätt i kraft den 25 maj och detta gäller framförallt dataskyddsombud och delegationsbeslut. Kulturnämndens ansvar som personuppgiftsansvarig Varje nämnd är personuppgiftsansvarig för sitt verksamhetsområde. Ansvaret innebär skyldighet att tillse att gällande lagstiftning efterlevs genom bl. a att: inte samla in fler uppgifter än nödvändigt bara behandla personuppgifter som behövs för ändamålet med verksamheten minimera risken för att obehöriga får tillgång till personuppgifter dokumentera personuppgiftshanteringen tillse att det finns ett dataskyddsombud Kommungemensam intern tjänst dataskyddsombud (DSO) Den 23 augusti 2017 beslutade kommunstyrelsen att ge Intraservice i uppdrag att nyutveckla en kommungemensam intern tjänst som nu benämns dataskyddsombud (DSO). Dataskyddsenheten ska ombesörja att det finns dataskyddsombud utsedda att representera förvaltningar och bolag. Dataskyddsenheten förväntas vara i drift i april Som kommungemensam intern tjänst ska enhetens tjänster nyttjas av alla stadens förvaltningar och bolag när så är påkallat. 1 Regeringen - Ny dataskyddslag Göteborgs Stad [Kultur], tjänsteutlåtande 4 (7)

5 Intraservice har meddelat att det inte kommer att behöva skrivas separata avtal mellan dataskyddsenheten och förvaltningar. Dataskyddsenheten tillhandahåller en kommungemensam intern tjänst i enlighet med styrdokumentet riktlinjer för styrning av kommungemensamma interna tjänster beslutat av kommunfullmäktige. På dataskyddsenheten finns kompetenser inom juridik, IT, arkiv, ekonomi, systemvetenskap, pedagogik, offentlig förvaltning och upphandling. Utsett dataskyddsombud för kulturförvaltningen är statsvetare med inriktning på offentlig förvaltning och organisation och ledning. Samtliga dataskyddsombud kommer att arbeta tillsammans i ett team för att säkerställa att alla förvaltningar och bolag får tillgång till nödvändig kompetens. Varje myndighet ska som personuppgiftsansvarig enligt dataskyddsförordningen artikel 37 utse ett dataskyddsombud, i detta fall kulturnämnden. Dataskyddsombudet kommer att ha en liknande roll som revisorer, dvs. granskande, rådgivande och oberoende roll gentemot nämnden. Dataskyddsombudet kommer även att vara kontakt gentemot tillsynsmyndigheten. Intraservice har tilldelat kulturnämnden ett dataskyddsombud. Tilldelning av dataskyddsombud Som nämnts ovan har kommunstyrelsen beslutat om dataskyddsombud. Stadsledningskontoret har informerat kulturförvaltningen om att en stadenövergripande rutin kommer att tas fram som tydliggör att kommunfullmäktige tillhandahåller dataskyddsombud till stadens nämnder och bolag. Med anledning av ovanstående rekommenderar stadsledningskontoret att varje nämnd endast antecknar tilldelning av dataskyddsombud och inte beslutar om detsamma. Förvaltningen föreslår att kulturnämnden följer stadsledningskontorets rekommendation att endast anteckna tilldelning av dataskyddsombud. Nämnden föreslås även anteckna att förvaltningen bevakar kommunfullmäktiges beslut om ovanstående rutin för dataskyddsombud. Om en annan bedömning framöver skulle göras avseende tilldelning av dataskyddsombud utifrån dataskyddsförordningen, så kommer ett sådant ärende att lyftas till kulturnämnden. Kulturförvaltningens projekt för införandet av DSF Flera av dataskyddsförordningens begrepp och principer går att återfinna i den tidigare personuppgiftslagen (PuL). Det är dock viktigt att poängtera att DSF innehåller flera helt nya bestämmelser som kräver stora förändringar, både organisatoriskt och i förändrade arbetssätt. För att kunna anpassa förvaltningen inför den nya lagen har ett projekt inom kulturförvaltningen arbetat utifrån en handlingsplan sedan maj Projektet skuggar projektet för DSF i centralt i Göteborgs Stad och som leds via stadsledningskontoret och Intraservice. Kulturförvaltningens projekt består av en styrgrupp, två projektledare och en arbetsgrupp med representanter från varje sektor. Projektet har arbetat med: Kartläggning av förvaltningens personuppgifter med dokumentation (juni-sept) Riskanalys och åtgärdsplan (sept-oktober) Städning av personuppgifter bakåt i tiden (jan-mars) Skapa och utbilda i nya arbetssätt och rutiner (mars-maj) Överlämning i linjen (succesivt maj-september) Göteborgs Stad [Kultur], tjänsteutlåtande 5 (7)

6 Kulturförvaltningens organisation för hantering av personuppgifter Förvaltningsdirektören beslutade på förvaltningsledningens möte om lokal organisation i kulturförvaltningen för hantering av personuppgifter i enlighet med kulturnämndens delegationsordning 2. Förutom en styrgrupp och administratör/er för nytt personuppgiftsregister kommer organisationen att bestå av två dataskyddskontakter som fungerar som länk mellan dataskyddsombud på Intraservice och verksamheterna. Dessa kommer att ha goda kunskaper i dataskyddsförordningen och dataskyddslagen samt uppdaterade på praxis. Ansvaret delas mellan IT (informationssäkerhet) och Nämndservice (ärende- och dokumenthantering). Därtill ser förvaltningen att lokala kontaktpersoner kommer behövas i verksamheterna, men beslut kring detta kommer att fattas när behovet är kartlagt. Delegering av uppgifter med anledning av införandet av Dataskyddsförordningen Förvaltningsdirektören har kulturnämndens delegation att förordna personuppgiftsombud för förvaltningen. 3 Enligt dataskyddsförordningen har den personuppgiftsansvarige (kulturnämnden) skyldigheter och den enskilde har rättigheter. I nuvarande praxis finns inte klarlagt vilka beslut som personuppgiftsansvarig behöver fatta och inte heller vilka av dessa beslut som kan delegeras. I avvaktan på klargörande i frågan och tills dess att nämndens delegationsordning är uppdaterad och beslutad, föreslås att kulturnämnden ger förvaltningsdirektören i uppdrag att fastställa nödvändiga beslut som föranleds av dataskyddsförordningen och som är av icke-principiell karaktär, t ex. tecknande av personuppgiftsbiträdesavtal. Beslut av större principiell karaktär kommer att lyftas till kulturnämnden för beslut, t ex. anmälan av personuppgiftsincident till tillsynsmyndigheten. Förvaltningen har redan nämndens uppdrag att föreslå ändringar i delegationsordningen med anledning av ärendet om kulturnämndens avgifter och priser ( ). Förvaltningen kommer i ärendet även att arbeta in förslag till ändringar med anledning av införandet av dataskyddsförordningen. Ett tjänsteutlåtande med förslag till reviderad delegationsordning kommer att presenteras för kulturnämnden i slutet av Uppföljning av dataskyddsarbetet Kulturförvaltningen har för avsikt att följa upp och rapportera arbetet med dataskyddsfrågor inom ramen för ordinarie uppföljning till nämnden. Förvaltningens förslag Kulturnämnden föreslås besluta att: anteckna tilldelning av Johan Bergström som dataskyddsombud för nämndens verksamhetsområde enligt bilaga 1 samt information om DSO enligt bilaga 2. anteckna information om lokal organisation för hantering av personuppgifter i kulturförvaltningen. godkänna förvaltningens förslag att följa upp och rapportera arbetet med dataskyddsfrågor inom ramen för ordinarie uppföljning till nämnden. 2 Kulturnämndens delegationsordning: 4.1 Beslut om icke principiella förändringar i förvaltningens organisation. 3 Kulturnämndens delegationsordning: 7.1 Beslut om förordnande av personuppgiftsombud för förvaltningen. Göteborgs Stad [Kultur], tjänsteutlåtande 6 (7)

7 besluta att, i avvaktan på att nämndens delegationsordning är uppdaterad och beslutad, delegera rätt till förvaltningsdirektören att fastställa beslut av ickeprincipiell karaktär som är nödvändiga enligt dataskyddsförordningen. uppdra åt förvaltningen att föreslå ändringar med anledning av dataskyddsförordningen och arbeta in dessa i förestående översyn av kulturnämndens delegationsordning. GÖTEBORGS STADS KULTURFÖRVALTNING Anna Rosengren Förvaltningsdirektör Göteborgs Stad [Kultur], tjänsteutlåtande 7 (7)

8 Intraservice Datum Diarienummer 0220/18 Kulturförvaltningen Bilaga 1 Tilldelning av dataskyddsombud (DSO) Den 23 augusti 2017 beslutade kommunstyrelsen att ge Intraservice i uppdrag att nyutveckla en kommungemensam intern tjänst som nu benämns dataskyddsombud (DSO). Dataskyddsenheten ska ombesörja att det finns dataskyddsombud utsedda att representera förvaltningar och bolag. Dataskyddsenheten förväntas vara i drift i april Som kommungemensam intern tjänst ska enhetens tjänster nyttjas av alla stadens förvaltningar och bolag när så är påkallat. Det kommer inte att behöva skrivas separata avtal mellan dataskyddsenheten och förvaltningar/bolag. Dataskyddsenheten tillhandahåller en kommungemensam intern tjänst i enlighet med styrdokumentet riktlinjer för styrning av kommungemensamma interna tjänster beslutat av kommunfullmäktige. Dataskyddsombud (DSO) Till dataskyddsombud för Kulturförvaltningen har Johan Bergström utsetts. E-post: johan.bergstrom@intraservice.goteborg.se Tel: Mobil: Sekretess Dataskyddsombud förutsätts delta i verksamheten på så sätt som anges i 2 kap 1 OSL. Därmed omfattas dataskyddsombudet av den sekretess som verksamheten har. Tjänstebeskrivning Tjänstebeskrivning av den kommungemensamma interna tjänsten dataskyddsombud (DSO). Se bilaga 1 Intraservice 1 (2) Rosenlundsgatan 4 intraservice@intraservice.goteborg.se Göteborg (kontaktcenter)

9 Dataskyddskontakt Förvaltningar/bolag behöver utse minst en dataskyddskontakt som dataskyddsombudet har som sin huvudkontakt. En förvaltning/bolag kan ha flera dataskyddskontakter. Dataskyddskontakten skall ha goda kunskaper i dataskyddsförordningen och annan relevant lagstiftning. Dataskyddskontaktens namn och kontaktuppgifter skickas in till dataskyddsenheten dso@intraservice.goteborg.se Frågor till dataskyddsombud bör skickas skriftligen till support.intraservice@intraservice.goteborg.se och hanteras då i ärendehanteringssystemet ServiceNow. Förutom dataskyddsombudens direkttelefonnummer kan även dataskyddskontakter nå något dataskyddsombud på tel vardagar kl och Bilaga 1 Tjänstebeskrivning Dataskyddsombud (DSO) Med vänliga hälsningar Lise-Lotte Ringborg Enhetschef, dataskyddsenheten GÖTEBORGS STAD Intraservice, Ekonomi/ledning/styrning Tel: Mobil: E-post: lise-lotte.ringborg@intraservice.goteborg.se Intraservice 2 (2) Rosenlundsgatan 4 Rosenlundsgatan (kontaktcenter)

10 Bilaga 2 Tjänstebeskrivning Dataskyddsombud (DSO) Version 1.0 Datum Version Beskrivning Ändrat av Tjänst Dataskyddsombud (DSO) Lise-Lotte Ringborg

11 Göteborgs Stad Intraservice, Dataskyddsenheten Innehållsförteckning 1. Tjänst Allmän beskrivning av tjänsten Begrepp och förkortningar Beskrivning av tjänsten Dataskyddsombud Artikel 39 Dataskyddsombudets uppgifter punkt Tjänstevillkor Artikel 38 Dataskyddsombudets ställning punkterna Personuppgiftsansvarig (PuA) Dataskyddskontakt PU-register Service Level Agreement (SLA) Anmäl och informera om att ni har ett dataskyddsombud Anmäl till tillsynsmyndigheten Informera andra Tjänsteinnehåll Rådgivning och information Ärenden till DSO Service Level Agreement (SLA) Granskning Åtagande Medborgarkontakt Målgrupp Åtagande Service Level Agreement (SLA) Kontaktpunkt mot tillsynsmyndigheten Åtagande Service Level Agreement (SLA)... 9 Sida 2 (9)

12 Göteborgs Stad Intraservice, Dataskyddsenheten 1. Tjänst Dataskyddsombud (DSO) 1.1 Allmän beskrivning av tjänsten EU:s dataskyddsförordning tillämpas från den 25 maj En nyhet i och med den nya dataskyddsförordningen är kravet att varje myndighet ska ha ett dataskyddsombud. Inom Göteborgs Stad har man valt att även inkludera de kommunala bolagen. Dataskyddsombudets uppgift är att säkerställa att personuppgiftsansvariga (PuA) efterlever dataskyddsförordningen. Kommunstyrelsen har den 23 augusti 2017 beslutat att Intraservice får i uppdrag att nyutveckla en kommungemensam intern tjänst dataskyddsombud (DSO). Tjänsten tillhandahålls alla förvaltningar och bolag inom Göteborgs Stad. Tjänsteområde Ledning och styrning. Tjänstens namn Kunder Dataskyddsombud (DSO). Tjänsten vänder sig till alla Personuppgiftsansvariga (PuA) inom Göteborgs Stad. Tilldelning av Dataskyddsombud (DSO) Dataskyddsenheten på intraservice tilldelar ett dataskyddsombud till varje förvaltning och bolag. Finansiering Ekonomimodellen för kommungemensamma tjänster Begrepp och förkortningar Dataskyddsförordningen (DSF) Dataskyddsförordningen (DSF), eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj Dataskyddsombud (DSO) Dataskyddsombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser Dataskyddskontakt Är förvaltningen och bolagets kontaktperson gentemot dataskyddsombudet och dataskyddsenheten. Personuppgiftsansvarig (PuA) Personuppgiftsansvarig är den nämnd eller styrelse som bestämmer för vilka ändamål uppgifter ska behandlas och hur behandlingen ska gå till. Sida 3 (9)

13 Göteborgs Stad Intraservice, Dataskyddsenheten Personuppgiftsbiträde (PuB) Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Tillsynsmyndighet Datainspektionen är tillsynsmyndighet för förordningens efterlevnad och uppdaterar löpande information för dataskyddsombud och om dataskyddsförordningen. Datainspektionen kommer under 2018 att byta namn till Integritetsskyddsmyndigheten. 1.2 Beskrivning av tjänsten Dataskyddsombud Reglerna om dataskyddsombud finna i artiklarna i dataskyddsförordningen. Artikel 37 beskriver vilka verksamheter som ska och bör ha ett DSO. Artikel 39 redogör för dataskyddsombudets uppgifter och artikel 38 för Dataskyddsombudets ställning. För förtydligande i denna text återges kommentarer från En vägledning från SKL, Dataskyddsombud i kommuner, landsting och regioner, under varje punkt i kursivt. Hänvisningar till artiklar som inte beskrivs här hämtas med fördel från tillsynsmyndighetens hemsida, för närvarande Artikel 39 Dataskyddsombudets uppgifter punkt 1-2 Punkt 1 a-b a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser. b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning. SKL kommentar: Dataskyddsombudet ska fungera som intern rådgivare, som ger stöd för den personuppgiftsansvariga kommunen, landstinget eller regionen, så att man förstår hur regelverket ska följas. Detta kräver att ombudet har förmåga att tolka och beskriva detta för organisationens ledning och anställda. Ombudet ska även ha en övervakande roll och följa upp att regelverket följs av den personuppgiftsansvariga organisationen. Det är dock inte ombudet som ska fungera som projektledare eller som har ansvaret för att ta initiativ, utan rollen liknar mer en revisor eller en controller som löpande granskar verksamheten och kommer med förslag om åtgärder samt rapporterar brister. Punkt 1 c c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35. Sida 4 (9)

14 Göteborgs Stad Intraservice, Dataskyddsenheten SKL kommentar: Dataskyddsförordningen Artikel 35 kräver att personuppgiftsansvariga som ska genomföra särskilt känsliga behandlingar av personuppgifter först ska göra en konsekvensbedömning. I det arbetet måste dataskyddsombudet rådfrågas och denne ska även övervaka att åtgärderna genomförs. En konsekvensbedömning krävs när det gäller behandling av känsliga personuppgifter. I Artikel 35, punkt 7 beskrivs närmare hur en konsekvensbedömning ska vara utformad. I korthet är det en beskrivning av vilka personuppgifter som ska behandlas, för vilka syften, på vilket sätt, vilka risker det kan medföra och vilka åtgärder som ska vidtas för att minska riskerna. Punkt d-e d) Att samarbeta med tillsynsmyndigheten. e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor. SKL kommentar: Tillsynsmyndighet och uppdaterar löpande information för dataskyddsombud och om dataskyddsförordningen. Punkt 2 2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften. SKL kommentar: Dataskyddsombudet ska vid genomförandet av sitt uppdrag ha ett riskbaserat perspektiv och fokusera på de personuppgiftsbehandlingar som innebär en hög risk för de registrerades personliga integritet. 1.3 Tjänstevillkor I och med den nya förordningen renodlas dataskyddsombudets rådgivande och kontrollerande funktion. Det innebär att organisationen självständigt måste bedriva ett aktivt dataskyddsarbete som inte leds av dataskyddsombudet. Organisationens arbete ska följas upp av dataskyddsombudet, men det är en rekommendation att varje organisation parallellt med dataskyddsombudet även utser någon i ledningsposition som har ett övergripande ansvar för genomförandet av dataskyddsarbetet Artikel 38 Dataskyddsombudets ställning punkterna 1-5 Punkt 1 1 Ur vägledning från SKL Sida 5 (9)

15 Göteborgs Stad Intraservice, Dataskyddsenheten Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. SKL kommentar: Det är den personuppgiftsansvariga organisationens ansvar att säkerställa att ombudet involveras och rådfrågas på ett så tidigt stadium som möjligt när personuppgifter ska behandlas. Det är avgörande att ombudet involveras i tidigast möjliga skede av alla frågor där dataskydd blir aktuellt. Förutom att rådfrågas i samband med konsekvensbedömningar (se Artikel 39) ska organisationen säkerställa att dataskyddsombudet till exempel: - Regelbundet bjuds in till ledningsmöten på högsta beslutande och mellannivå, - Att ombudet närvarar vid beslut som påverkar dataskydd och att all relevant information görs tillgänglig i god tid, - Att ombudets bedömning alltid måste övervägas och om ombudets råd inte följs ska organisationen dokumentera skälen. - Att dataskyddsombudet kontaktas vid incidenter som kan medföra olovlig åtkomst av information. Det är lämpligt att uppdatera interna styrdokument om IT-processer så att det framgår när och hur dataskyddsombudet ska konsulteras. Punkt 2 Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. (Upprätthållandet av dataskyddsombudet sakkunskap ingår i tjänsten från den centrala dataskyddsenheten.) SKL kommentar: Organisationen ska från högsta beslutande nivå aktivt tydliggöra sitt stöd för dataskyddsombudet. För kommunledningsnivån bör det vara t.ex. kommundirektör med ledningsgrupp och inom nämnderna förvaltningschef med ledningsgrupp. Punkt 3 Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. SKL kommentar: Dataskyddsombudet ska ha en oberoende ställning och ska inte ta emot instruktioner eller utsättas för påtryckningar eller sanktioner som syftar till att påverka hur uppdraget genomförs. Ombudet ska rapportera direkt till organisationens högsta förvaltningsnivå, för t.ex. kommuner kommundirektör med ledningsgrupp och inom nämnderna chef för förvaltningen med ledningsgrupp. Det är lämpligt att sätta upp lagom intervall och former för rapportering, en gång om året kan vara för sällan, snarare varje kvartal eller samordnat med andra liknande rapporteringsprocesser. Punkt 4 Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning. Sida 6 (9)

16 Göteborgs Stad Intraservice, Dataskyddsenheten SKL kommentar: Arbetet som dataskyddsombud ska vara delvis utåtriktat så att registrerade individer kan komma i kontakt med ombudet och få hjälp och stöd. Punkt 5 Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt Personuppgiftsansvarig (PuA) Nämnd och styrelse är ytterst ansvarig för att dataskyddsförordningen efterlevs. Den högsta ledningen i varje förvaltning och bolag bör fastställa lämplig organisation för att säkerställa efterlevnaden av dataskyddsförordningen och annan relevant lagstiftning Dataskyddskontakt Förvaltningen/bolaget ska ha minst en utsedd dataskyddskontakt som dataskyddsombudet har som sin huvudkontakt. En förvaltning/ bolag kan ha flera dataskyddskontakter. Dataskyddskontakten ska ha goda kunskaper i dataskyddsförordningen och annan relevant lagstiftning PU-register Samtliga förvaltningar och bolag behöver registrera sina personuppgiftsbehandlingar i stadens PU-register. Nytt PU-register är under upphandling. Fram tills det nya registret är på plats kan uppgifter om personuppgiftsbehandlingar föras i Excel Service Level Agreement (SLA) Den kommungemensamma interna tjänsten dataskyddsombud (DSO) är tillgänglig under kontorstid Se under respektive tjänsteinnehåll för mer information. 1.4 Anmäl och informera om att ni har ett dataskyddsombud Anmäl till tillsynsmyndigheten Som personuppgiftsansvarig PuA är ni ansvariga att registrera ert dataskyddsombuds kontaktuppgifter hos tillsynsmyndigheten. På tillsynsmyndighetens hemsida finns uppgifter på hur man går tillväga Informera andra Informera alla som arbetar i eller för er organisation och alla som ni har registrerade personuppgifter om att ni har ett dataskyddsombud. Följande uppgifter om dataskyddsombudet ska framgå: namn kontaktuppgifter: dso@intraservice.goteborg.se (ska användas för alla dataskyddsombud) uppgifter i rollen som dataskyddsombud. Se artikel 38 punkt 4 samt artikel 39 ovan. Sida 7 (9)

17 Göteborgs Stad Intraservice, Dataskyddsenheten 2. Tjänsteinnehåll Tjänsteinnehållet är uppdelat i fyra delar, rådgivning och information, granskning, medborgarkontakt och kontaktpunkt mot tillsynsmyndigheten. 2.1 Rådgivning och information Artikel 39 punkterna 1 a och c enligt ovan. a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser. c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel Ärenden till DSO Dataskyddskontakten kan kontakta och skicka in frågor till dataskyddsombudet Frågor till dataskyddsombud bör skickas skriftligen till support.intraservice@intraservice.goteborg.se och hanteras då i ärendehanteringssystemet ServiceNow. Förutom dataskyddsombudens direkttelefonnummer kan även dataskyddskontakter nå något dataskyddsombud på tel vardagar kl och Inkomna samtal och e-post registreras som ärenden i ServiceNow. Dataskyddsombudets kontaktuppgifter skickas vid tilldelningen Service Level Agreement (SLA) Ärenden hanteras skyndsamt. 2.2 Granskning Artikel 39 punkten 1 b enligt ovan. b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning Åtagande Granska efterlevnaden av dataskyddsförordningen. Granskningen genomförs på ett strukturerat fastställt sätt. Granskningsrapport lämnas till PuA. Granskningen samordnas med övriga granskningsfunktioner inom staden. Sida 8 (9)

18 Göteborgs Stad Intraservice, Dataskyddsenheten Granskning sker även vid påtalande från tillsynsmyndigheten. Ärenden handläggs i dataskyddsenhetens ärendehanteringssystem. 2.3 Medborgarkontakt Artikel 38 punkten 4 enligt ovan. Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning Målgrupp Medborgare som har personuppgifter registrerade hos Göteborgs Stads förvaltningar och bolag Åtagande Kontaktvägen för medborgaren är genom kontaktcenter alternativt direkt till respektive förvaltning och bolag. Vid önskemål om exempelvis registerutdrag är det i första hand förvaltningen eller bolaget som bistår i det. Om problem uppstår kan kontaktcenter vidarebefordra ärendet med e-post till dataskyddsenheten och dataskyddsombudet kontaktar medborgaren. Dataskyddsombudet för dialog och stöttar medborgaren i ärenden gällande personuppgiftsbehandling. Ärenden handläggs i dataskyddsenhetens ärendehanteringssystem Service Level Agreement (SLA) Dataskyddsombudet kontaktar medborgaren så snart som möjligt. 2.4 Kontaktpunkt mot tillsynsmyndigheten Artikel 39 punkten 1 d och e enligt ovan d) Att samarbeta med tillsynsmyndigheten. e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor Åtagande Enligt Artikel 39 punkten 1 d och e. Ärenden handläggs i dataskyddsenhetens ärendehanteringssystem Service Level Agreement (SLA) Ärenden hanteras skyndsamt. Sida 9 (9)