91 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Transkript

1 Kommunstyrelsen Protokollsutdrag Sammanträdesdatum Sida 1(1) 91 Riktlinjer för behandling av personuppgifter (KSKF/2018:47) Beslut Förslag till kommunfullmäktige Riktlinje för behandling av personuppgifter antas. Ärendebeskrivning Kommunledningskontoret har inkommit med en skrivelse i ärendet daterad den 2 april Av skrivelsen framgår bland annat att behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsförordningen). Syftet med dataskyddsförordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Kommunledningskontoret har tagit fram ett förslag till riktlinjer för behandling av personuppgifter. Förslaget har remitterats till samtliga nämnder för yttrande. Remissinstansernas yttranden har beaktats i en ny reviderad riktlinje. Dataskyddsombuden har löpande under framtagandet av riktlinjen lämnat synpunkter vilka har beaktats. I riktlinjen tydliggörs nämndernas ansvar att ta fram egna handlingsplaner. Yrkande Jimmy Jansson (S) yrkar bifall till kommunledningskontorets förslag. Justerandes sign Utdragsbestyrkande

2 Kommunstyrelsen Kommunledningskontoret Ledningsstab KSKF/2018:47 Moon Carlbring (3) Kommunstyrelsen Riktlinje för behandling av personuppgifter Förslag till beslut Förslag till kommunfullmäktige Riktlinje för behandling av personuppgifter antas. Ärendebeskrivning Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Dataskyddsförordningen). Syftet med dataskyddsförordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter och dels att anpassa regelverket till den tekniska utvecklingen, med internet, sökmotorer, sociala medier med mera. Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier. Kommunledningskontoret har tagit fram ett förslag till riktlinjer. Förslaget har remitterats till samtliga nämnder för yttrande. Remissvaren med förslag och yttrande har beaktats i en ny reviderad riktlinje. Dataskyddsombuden har löpande under framtagandet av riktlinjer lämnat synpunkter vilka har beaktats. Miljö- och räddningstjänstnämnden och valnämnden har inte lämnat några yttranden.

3 Eskilstuna kommun (3) Arbetsmarknads- och vuxenutbildningsnämnden samt socialnämnden och överförmyndarnämnden har i sina yttranden önskat bättre implementeringsstöd. Det stödet kommer fortsättningsvis att ges av serviceförvaltningens utsedda dataskyddskoordinator. Arbetsmarknad- och vuxenutbildningsnämnden har även i sitt yttrande lyft behovet av uppföljning och revidering. Enligt förslaget till riktlinjer ska dataskyddsombudet och dataskyddskoordinatorn årligen informera kommunstyrelsen om hur arbetet fortlöper. Riktlinjerna kommer att revideras vid behov. Förskolenämnden, grundskolenämnden och gymnasienämnden har avgivit ett gemensamt yttrande. Nämnderna har sitt gemensamma yttrande önskat förtydligande av roller och begrepp. Samtliga önskemål har beaktats. Begreppet personuppgiftsombud har också tagits bort. Förtydligande om systemägare och systemförvaltares roll har skrivits in i riktlinjen. Förtydligande om samtycken, information till registrerade, rätten att bli bortglömd och kompletteringar om sociala medier och webbsidor har förtydligats i riktlinjen. Förtydligande om dataskyddsombudets roll vid konsekvensbedömning och samråd med Datainspektionen skrivs inte in i riktlinjen då dataskyddsombuden får en mer begränsad roll i det som framgår i riktlinjen. Kultur- och fritidsnämnden, stadsbyggnadsnämnden och Torshälla stads nämnd har avgivit ett gemensamt yttrande. Ansvarsfördelning och roller har förtydligats ytterligare i riktlinjen. Vad gäller nämndöverskridande personuppgiftsbehandlingar har förtydligande gjorts, dock inte i detaljnivå då varje enskild behandling måste bedömas och ansvar fördelas därefter. Kommunstyrelsen och Servicenämnden kommer fortsättningsvis att ansvara för kommungemensamma system, vilket framgår i riktlinjen. En tydligare koppling mellan informationssäkerhetsarbetet och skydd av personuppgifter har förtydligats i riktlinjen. Förtydligande om samtycken har skrivits i riktlinjen. Kommunstyrelsen beaktar yttranden om hanteringen av bilder och audiovisuella medier, kommunstyrelsen håller med om att särskild analys och handlingsplan behöver göras och det bör lyftas i dataskyddssamordnargruppen som senare kommer resultera i en rutin.

4 Eskilstuna kommun (3) Relationen mellan dataskyddsförordning och arkivlagen samt nämndernas egna dokumenthanteringsplan har förtydligats i riktlinjen. Begreppet etnicitet ersätter ras som dock fortfarande används av Datainspektionen och Sveriges Kommuner och Landsting. Registerförteckning har skrivits in i riktlinjen med förtydligande. Det som angavs otydligt i form av kartläggning av personuppgifter har tagits bort och förtydligats i riktlinjen. Kommunstyrelsen beaktar yttrandet om hanteringen av ostrukturerade personuppgifter i e-post och hemkataloger. Kommunstyrelsen anser att särskild analys och handlingsplan behöver göras och det bör lyftas i dataskyddssamordnargruppen som senare kommer resultera i en rutin. Kommunstyrelsen beaktar yttrandet om att det saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation. Om särskild analys behöver göras ska detta göras inom dataskyddssamordnargruppen. I riktlinjen tydliggörs ansvaret att ta fram egna handlingsplaner. Vård- och omsorgsnämnden yttrande om att skapa gemensamma arbetssätt inom kommunen har beaktats och lyfts in riktlinjens organisationsbeskrivning. Förtydligande om kontaktperson har förtydligats i riktlinjen. KOMMUNLEDNINGSKONTORET Tommy Malm Kommundirektör Lena Lundberg Administrativ direktör Beslutet skickas till: Samtliga nämnder Kommunstyrelsen, kommunledningskontoret, ledningsstaben

5 Kommunstyrelsen 1 (11) STYRDOKUMENT Riktlinjer för behandling av personuppgifter Beslutad när Beslutad av Diarienummer Ersätter Gäller för Kommunfullmäktige KSKF/2018:47 Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern Antagen av kommunfullmäktige den 23 september 2010, 193 Samtliga nämnder Gäller fr o m Gäller t o m Dokumentansvarig Uppföljning Tillsvidare Administrativa direktören Lena Lundberg Löpande Program Ett program är ett styrande dokument som ska visa en färdriktning genom att innehålla vad som ska uppnås inom ett visst område. Det tar inte ställning till utförande, prioriteringar och metoder. Program ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige. Plan En plan är ett styrande dokument som ska visa en färdriktning genom att innehålla konkreta mål och riktlinjer. Den ska vara tidsbegränsad och beslutas av kommunfullmäktige. Policy En policy är ett styrande dokument som ska visa ett övergripande förhållningssätt och som ska tjäna som vägledning inom ett område, med angivande av övergripande mål och värden som ska eftersträvas. Policys ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige. Riktlinje En riktlinje är ett styrande dokument som ska säkerställa ett korrekt agerande och god kvalitet i handläggning och utförande. Riktlinjer ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.

6 Eskilstuna kommun 2 (11)

7 Eskilstuna kommun 3 (11) Ämnesområde och bakgrund Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Dataskyddsförordningen). Syftet med dataskyddsförordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter och dels att anpassa regelverket till den tekniska utvecklingen, med internet, sökmotorer, sociala medier mm. Inledning Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier. Personuppgifter är alla uppgifter som direkt eller indirekt kan knytas till en fysisk person. De vanligaste typerna av personuppgifter som förekommer i en kommuns olika system är antingen direkta personuppgifter eller indirekta personuppgifter. Exempel på direkta personuppgifter är namn, foto, födelsedatum, personnummer och på indirekta personuppgifter är fastighetsbeteckning, adress, IP-nummer, ärendenummer och användar-id. Med begreppet behandling av personuppgifter avses alla former av åtgärder, till exempel insamling, registrering, användning och lagring. Dataskyddsförordningen gäller oavsett på vilket sätt uppgifterna lagras. Det kan t.ex. vara i en dator, på sociala medier, i e-postlådor eller på webbsidor. Personuppgifter ska så långt det är möjligt lagras i behörighetsstyrda system. I en kommun är varje nämnd en myndighet och personuppgiftsansvarig för att all behandling av personuppgifter inom nämndens verksamhetsområde. För att överhuvudtaget få behandla personuppgifter krävs att den personuppgiftsansvarige kan åberopa en rättslig grund (se vidare nedan). Den personuppgiftsansvarige ska tydligt beskriva varför personuppgifterna samlas in genom att ange ändamålet för behandlingen. Det innebär att ändamålet ska vara väl beskrivet, tydligt avgränsat, dokumenterat och kommunicerat. Personuppgifterna får därefter inte användas för ett annat ändamål.

8 Eskilstuna kommun 4 (11) Den personuppgiftsansvarige ska sträva efter att minimera antalet personuppgifter som behandlas och lagras. Inaktuella personuppgifter ska raderas och gallras permanent från alla lagringsutrymmen, i enlighet med varje nämnds dokumenthanteringsplan. Dataskyddsförordningen hindrar inte att personuppgifter bevaras för arkivändamål, även om de ursprungligen samlades in för ett annat ändamål. Behandling av personuppgifter ska det göras på ett korrekt och öppet sätt i förhållande till den registrerade. Förordningen innebär i huvudsak att Eskilstuna kommun ska Fördela ansvaret mellan kommunstyrelsen och nämnderna. Kartlägga vilka personuppgifter vi behandlar och varför. Analysera riskerna för att en persons integritet, rättighet och frihet kränks samt bedöma vilken skada som kan uppstå. Bygga in ett standardiserat dataskydd i system och processer. Dokumentera behandlingen så att vi kan bevisa att vi uppfyller kraven. Kunna informera de registrerade, allmänheten och medarbetare om hur personuppgifter behandlas och om vem som har ansvaret. Skapa rutiner för samtycken. Skapa rutiner för hur vi ska hantera incidenter, problem och klagomål. Ansvarsfördelning För att leva upp till dataskyddsförordningens krav, är det viktigt att alla förtroendevalda, chefer och medarbetare behandlar personuppgifter i enlighet med dataskyddsförordningens krav. Kommunstyrelsen och Servicenämnden Kommunstyrelsen är ansvarig för framtagande och uppföljning av kommunövergripande styrdokument. Kommunledningskontoret ska leda arbetet med framtagandet av ett inbyggt dataskydd för personuppgifter som en del av informationssäkerhetsarbetet. Servicenämnden ska erbjuda tjänsten som dataskyddsombud. Serviceförvaltningen ska även erbjuda tjänsten som dataskyddskoordinator med uppgift att stödja och utveckla verksamheten utifrån de personuppgiftsansvarigas behov (se vidare nedan). Dataskyddsombuden och dataskyddskoordinatorn ska årligen informera kommunstyrelsen om hur arbetet fortlöper och hur förordningen efterlevs.

9 Eskilstuna kommun 5 (11) Personuppgiftsansvarig nämnd Varje nämnd är en myndighet och ansvarig för att all behandling av personuppgifter inom nämndens verksamhetsområde behandlas i enlighet dataskyddsförordningens föreskrifter, oavsett arbetsplats, verktyg och arbetstid. Varje nämnd ska utse ett dataskyddsombud och en dataskyddssamordnare. Varje nämnd ska ta fram en handlingsplan för hur de ska arbeta med personuppgifter inom sin nämnd. Dataskyddssamordnarna ska i huvudsak ha följande ansvar. Stödja nämnden i implementeringen av förordningen. Föreslå förvaltningsspecifika rutiner. Upprätta och vårda nämndens registerförteckning. Följa upp nämndens handlingsplan. Följa upp beslutade åtgärdsplaner. Samordna nämndens information vid begäran om utlämnande av registerutdrag. Varje nämnd är ansvarig för att samtliga chefer och medarbetare får information om och tillägnar sig de kunskaper som krävs samt får det stöd de behöver för att leva upp till dataskyddsförordningens regelverk. Enligt dataskyddsförordningen finns det sanktioner vid felbehandling av personuppgifter. Varje nämnd ansvarar för de straff- och skadeståndsanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter. Vid nämndövergripande personuppgiftsbehandlingar ska de nämnder som behandlar personuppgifterna gemensamt komma överens om hur ansvaret och eventuella sanktionsavgifter ska fördelas. En sådan överenskommelse ska diarieföras. Systemägare och systemförvaltare Alla system som behandlar personuppgifter ska ha en systemägare och minst en systemförvaltare. Vilka de är ska framgå av nedan angivna registerförteckning. Kommunstyrelsen eller servicenämnden ska vara systemägare för kommunövergripande system. Systemägaren ska tillsammans med systemförvaltaren skriva en systemförvaltningsplan, där de utifrån det beskrivna ändamålet ska precisera hur de ska uppnå en uppgiftsminimering och

10 Eskilstuna kommun 6 (11) lagringsminimering, samt i de fall det görs en konsekvensbedömning (se nedan), vilket dataskydd som krävs. Systemförvaltaren ska förvalta systemet och kontinuerligt informera systemägaren om händelser och behandlingar som kan påverka den registrerades rättigheter på ett negativt sätt. Personuppgiftsbiträde Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för en personuppgiftsansvarigs räkning. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställa att den registrerades rättigheter skyddas. De personuppgiftsansvariga ska teckna ett skriftligt personuppgiftsbiträdesavtal med personuppgiftsbiträdet. Av avtalet ska framgå hur personuppgiftsbiträdet ska hantera eventuella personuppgifter. Chefer och medarbetare Alla chefer och medarbetare är skyldiga att tillägna sig de kunskaper som krävs för att kunna sköta sina arbetsuppgifter. Detta innebär framförallt att alla medarbetare och chefer ska kunna urskilja vad som är en personuppgift och säkerställa att uppgifterna behandlas enligt dataskyddsförordningen. Dataskyddsombud Ett dataskyddsombud är en tvingande funktion som ska Kontrollera att nämnderna följer dataskyddsförordningen och beslutade styrdokument. Samla in information om hur den personuppgiftsansvarige behandlar personuppgifter, sammanställa informationen och informera om det finns behandlingar som behöver åtgärdas. Informera och ge råd till chefer och medarbetare inom organisationen, så att de kan göra rätt vid behandling av personuppgifter. På begäran från en nämnd ge råd och bistå vid konsekvensbedömningar. Vara kontaktperson och samarbeta med Datainspektionen. Vara kontaktperson för de registrerade. Dataskyddskoordinator Serviceförvaltningen ska erbjuda tjänsten som dataskyddskoordinator för att kunna göra följande.

11 Eskilstuna kommun 7 (11) Ge råd och stöd i personuppgiftsfrågor. Ansvara för framtagande av rutiner. Utbilda medarbetare. Göra sekretessbedömningar vid utlämnande av registerutdrag. Ge råd och stöd vid tecknandet av personuppgiftsbiträdesavtal. Dataskyddskoordinatorn ska även tillsammans med dataskyddsamordnarna ta fram förslag på kommungemensamma åtgärder för att bl a Underlätta upptäckten av personuppgiftsincidenter. Kunna hantera en faktisk personuppgiftsincident. Kunna dokumentera alla personuppgiftsincidenter, även de som inte måste anmälas till Datainspektionen. Rättslig grund för behandlingen För att få behandla personuppgifter krävs att kommunen kan hänvisa till en rättslig grund. Dessa är följande. Samtycke från den registrerade. För att fullgöra ett avtal. För att fullgöra en rättslig förpliktelse. För att skydda registrerades intresse. För att fullgöra ett allmänt intresse. Alla personuppgiftsbehandlingar som utförs omfattas av dataskyddsförordningen. För de fall en personuppgiftsbehandling även berör andra lagar och förordningar måste en bedömning om vilka regler som har företräde göras i varje enskilt fall. Registerförteckning Enligt dataskyddsförordningen ska den som är personuppgiftsansvarig upprätta en registerförteckning som visar vilka personuppgiftsbehandlingar som hanteras. Även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Varje nämnd ska ha en samlad registerförteckning över sina behandlingar. Förteckningen ska innehålla i huvudsak följande uppgifter. Namn och kontaktuppgifter för den personuppgiftsansvarige. Utsett dataskyddsombud. Rättslig grund för behandlingen.

12 Eskilstuna kommun 8 (11) Ändamålet med behandlingen. Tekniska och organisatoriska säkerhetsåtgärder. Kategorier av registrerade personer. Typer av personuppgifter. Tidsfrister för radering. Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i dataskyddsförordningen angivna undantagen. Känsliga personuppgifter är följande. Etniskt ursprung Politisk uppfattning Religiös eller filosofisk övertygelse Fackligt medlemskap Sexualitet och hälsa Skyddad identitet ska betraktas som en känslig personuppgift och uppgifterna ska ha extra skyddsåtgärder. Vissa skyddsåtgärder är dessutom extra skyddsvärda. Extra skyddsvärda personuppgifter är Personuppgifter som tillhör barn under 16 år De fyra sista siffrorna i personnumret Viss ekonomisk information Uppgifter som innehåller sekretess Extra skyddsvärda uppgifter som kommuniceras via öppna nätverk ska minst vara skyddad genom stark autentisering, enligt rådande godkänd standard. Personuppgifter som kräver extra skyddsåtgärder och ska överlämnas till annan via internpost ska levereras i ett säkerhetskuvert. Registerförteckningen ska uppdateras löpande och diarieföras i kommunens dokument- och ärendehanteringssystem. Personuppgifter som är gemensamma för två eller fler nämnder ska förtecknas i varje enskild nämnds registerförteckning och diarieföras för varje enskild nämnd. Av registerförteckning ska det framgå att behandlingen avser flera personuppgiftsansvariga. Konsekvensbedömning Enligt dataskyddsförordningen ska den personuppgiftsansvarige inför behandlingar som kan utgöra en särskild stor risk, göra en konsekvensbedömning för att kunna avgöra om behandlingen är

13 Eskilstuna kommun 9 (11) proportionell i förhållande till de risker som den kan medföra för den registrerade och vilken eventuell skada de kan orsaka. Konsekvensbedömningar ska exempelvis göras vid Upphandling och inköp av system, program, tjänster och/applikationer. Användning av ny teknik. Många användare kan komma åt personuppgifterna. Behandlingen avser många personer. Behandlingen avser en stor mängd personuppgifter. Personuppgifter hanteras, kommuniceras och/eller lagras via öppna nätverk som internet. Personuppgifterna hanteras/lagras av en extern leverantör. Finner den personuppgiftsansvarige att personuppgifter behöver skyddas ska lämpliga tekniska och organisatoriska åtgärder tas fram som beskriver den säkerhetsnivå som är lämplig i förhållande till tillgänglig teknik och kostnaden för åtgärderna. Till tekniska åtgärder räknas till exempel brandväggar, krypteringsfunktioner och anti-virus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation, rutiner och instruktioner. Åtgärderna ska föras in i registerförteckningen. Konsekvensbedömningen ska diarieföras tillsammans med registerförteckningen. Inbyggt dataskydd och dataskydd som standard Det är den personuppgiftsansvarige som utifrån den ovan nämnda konsekvensbedömningen har ansvaret för att bestämma vilket dataskydd som krävs. Kommunen ska sträva efter att skapa ett inbyggt dataskydd i alla system och ha dataskydd som standard, så att systemen, tjänsterna och rutinerna kan uppfylla de personuppgiftsansvarigas säkerhetskrav. Detta kan uppnås genom i huvudsak följande åtgärder. Minimera mängden personuppgifter i systemen. Begränsa åtkomsten till uppgifterna genom behörighetsstyrning. Säkra autentiseringar genom flerfaktorsinloggningar. Skapa krypteringsfunktioner. Skapa säkrare fysiska enheter (t.ex. telefoner, datorer, servrar). Genomföra utbildningar. Skapa pseudonymisering.

14 Eskilstuna kommun 10 (11) Dokumentation, gallring och arkivering De personuppgiftsansvariga ska registrera följande dokument i kommunens dokument- och ärendehanteringsystem. Registerförteckning över personuppgiftsbehandlingar Eventuella handlingsplaner Eventuella åtgärdsplaner Utsedda dataskyddsombud Förteckning över personuppgiftsbiträdesavtal Förteckning över inhämtade samtycken Genomförda konsekvensbedömningar Begäran om utlämnande av registerutdrag jämte svaret till frågeställaren Incidentrapporteringar Nämndernas dokumenthanteringsplaner ska reglera vad som gäller för gallring och arkivering. Information till den registrerade De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige, både när uppgifterna samlas in och när den registrerade annars begär det. Vid personuppgiftsinhämtning ska följande information framgå. Rättslig grund Syftet med personuppgiftsinsamlingen Hur det kommer att behandlas och lagras Den registrerades rättigheter Information om samtycke och återkallning av detsamma Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar en personuppgiftsincident i vilken personuppgifter har raderats eller manipulerats. För att en medborgare ska kunna begära ut personuppgifter som lagrats om denne måste denne legitimera sig. Vederbörande har bara rätt att begära ut uppgifter på sig själv.

15 Eskilstuna kommun 11 (11) Personuppgiftsincidenter En personuppgiftsincident är en säkerhetsincident som kan innebära risker för fysiska personers rättigheter och friheter, såsom exempelvis brott mot sekretess eller tystnadsplikt, finansiell förlust, diskriminering, identitetsstöld, bedrägeri eller skadlig ryktesspridning En personuppgiftsincident har exempelvis inträffat om uppgifter som avser en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer, oavsett om det skett oavsiktligt eller med avsikt. Den personuppgiftsanvarige ska utan dröjsmål anmäla incidenten till dataskyddsombudet. Dataskyddsombuden ska delta i hela processen för att hantera och anmäla en incident. Dataskyddsombudet ska därefter inom 72 timmar från att incidenten upptäckts anmäla incidenten till Datainspektionen. Behandlas personuppgifter av ett personuppgiftsbiträde ska de omedelbart rapportera incidenten till den personuppgiftsansvarige, som ytterst har det juridiska ansvaret. Gällande lagstiftning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Förhållande till andra styrdokument Informationssäkerhetsplan för Eskilstuna kommun; KSKF/2014:112

16 Kommunstyrelsen Protokollsutdrag Sammanträdesdatum Sida 1(1) 179 Remiss av förslag - Riktlinjer för hantering av personuppgifter (KSKF/2018:47) Beslut 1. Förslag till riktlinjer för hantering av personuppgifter skickas på remiss till samtliga nämnder. 2. Remissvar ska vara kommunstyrelsen tillhanda senast den 19 december Ärendebeskrivning Kommunledningskontoret har inkommit med en skrivelse i ärendet daterad den 14 augusti Av skrivelsen framgår bland annat att behandling av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 från den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Kommunledningskontoret föreslår att förslaget remitteras till samtliga nämnder för yttrande. Remissvar ska vara kommunstyrelsen tillhanda senast den 19 december De föreslagna åtgärderna ska rymmas inom befintliga budgetramar. Yrkande Jimmy Jansson (S) yrkar bifall till kommunledningskontorets förslag. Beslutet skickas till: Samtliga nämnder Kommunstyrelsen, kommunledningskontoret, ledningsstaben Justerandes sign Utdragsbestyrkande

17 Kommunstyrelsen Kommunledningskontoret Ledningsstaben KSKF/2018:47 Birgitta Berg (2) Kommunstyrelsen Remiss av förslag till Riktlinjer för hantering av personuppgifter Förslag till beslut 1. Förslag till Riktlinjer för hantering av personuppgifter antas för remittering till samtliga nämnder. 2. Remissvar ska vara kommunstyrelsen tillhanda senast den 19 december Ärendebeskrivning Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Kommunledningskontoret föreslår att förslaget remitteras till samtliga nämnder för yttrande. Finansiering De föreslagna åtgärderna ska rymmas inom befintliga ramar. KOMMUNLEDNINGSKONTORET Pär Eriksson Kommundirektör Lena Lundberg Administrativ direktör Beslutet skickas till:

18 Eskilstuna kommun (2) Samtliga nämnder Kommunstyrelsen, kommunledningskontoret, ledningsstaben Eskilstuna den stolta Fristaden

19 Kommunstyrelsen 1 (10) STYRDOKUMENT Riktlinjer för hantering av personuppgifter Beslutad när Beslutad av Diarienummer Ersätter Gäller för Kommunfullmäktige KSKF/2018:47 Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern Antagen av kommunfullmäktige den 23 september 2010, 193 Samtliga nämnder Gäller fr o m Gäller t o m Dokumentansvarig Uppföljning Tillsvidare Administrativa direktören Lena Lundberg Löpande Program Ett program är ett styrande dokument som ska visa en färdriktning genom att innehålla vad som ska uppnås inom ett visst område. Det tar inte ställning till utförande, prioriteringar och metoder. Program ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige. Plan En plan är ett styrande dokument som ska visa en färdriktning genom att innehålla konkreta mål och riktlinjer. Den ska vara tidsbegränsad och beslutas av kommunfullmäktige. Policy En policy är ett styrande dokument som ska visa ett övergripande förhållningssätt och som ska tjäna som vägledning inom ett område, med angivande av övergripande mål och värden som ska eftersträvas. Policys ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige. Riktlinje En riktlinje är ett styrande dokument som ska säkerställa ett korrekt agerande och god kvalitet i handläggning och utförande. Riktlinjer ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.

20 Eskilstuna kommun 2 (10) Ämnesområde och bakgrund Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter och dels att anpassa reglerverket till den tekniska utvecklingen, med internet, sökmotorer, sociala medier mm. Inledning Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier. Personuppgifter är alla uppgifter som direkt eller indirekt kan knytas till en fysisk person. De vanligaste typerna av personuppgifter som förekommer i en kommuns olika system är direkta personuppgifter, såsom namn, foto, födelsedatum, personnummer eller indirekta personuppgifter, såsom fastighetsbeteckningar, adresser, IP-nummer, ärendenummer och användar-id. Med begreppet behandling av personuppgifter avses alla former av åtgärder, till exempel insamling, registrering, användning och lagring. För att överhuvudtaget få behandla personuppgifter krävs att den personuppgiftsansvarige kan åberopa en laglig grund (se vidare nedan). Den personuppgiftsansvarige ska tydligt beskriva varför personuppgifterna samlas in genom att ange ändamålet för behandlingen. Detta innebär att ändamålet ska vara väl beskrivet, tydligt avgränsat, dokumenterat och kommunicerat. Detta innebär att uppgifterna inte får användas för ett annat ändamål. Den personuppgiftsansvarige ska sträva efter att minimera antalet personuppgifter som hanteras och lagras. Inaktuella personuppgifter ska raderas och gallras permanent från alla lagringsutrymmen. I de fall man ska behandla personuppgifter ska det göras på ett korrekt och öppet sätt i förhållande till den registrerade. Förordningen innebär att Eskilstuna kommun ska Fördela ansvaret mellan kommunstyrelsen och nämnderna Kartlägga vilka personuppgifter vi hanterar och varför

21 Eskilstuna kommun 3 (10) Analysera vilka riskerna är för att kränka en persons integritet och bedöma vilken skada de kan orsaka Bygga in ett standardiserat dataskydd i system och processer Dokumentera hanteringen så att vi kan bevisa att vi uppfyller kraven Informera registrerade, allmänheten och medarbetare Skapa rutiner för samtycken Skapa rutiner för hur vi ska hantera incidenter, problem och klagomål Ansvarsfördelning För att leva upp till dataskyddsförordningens krav, är det viktigt att alla förtroendevalda och medarbetare hanterar personuppgifter i enlighet med förordningens krav. Kommunstyrelsen Kommunstyrelsen är ansvarig för framtagande och uppföljning av kommunövergripande styrdokument. Arbetet ska följas upp genom att Dataskyddsombuden med viss regelbundenhet informerar kommunstyrelsen utifrån kommunstyrelsens uppsiktsplikt om hur arbetet fortlöper. Personuppgiftsansvariga och dataskyddskoordinator Varje nämnd är en myndighet och ansvarig för att all behandling av att personuppgifter inom nämndens verksamhetsområde hanteras i enlighet dataskyddsförordningens föreskrifter, oavsett arbetsplats, verktyg och arbetstid. Varje nämnd ska utse ett dataskyddsombud (se vidare nedan) och en kontaktperson för frågorna. Kontaktpersonerna ska ha ett tydligt mandat som motsvarar personuppgiftsansvaret. Konsult och uppdrag ska utse en dataskyddskoordinator med uppgift att vara samordnande för samtliga kontaktpersoner. Varje nämnd är ansvarig för att samtliga chefer och medarbetare får information om och tillägnar sig de kunskaper som krävs och får det stöd de behöver för att leva upp till dataskyddsförordningens regelverk. Enligt förordningen finns det sanktioner vid felbehandling av personuppgifter. Varje nämnd ansvarar för de straff- och

22 Eskilstuna kommun 4 (10) skadeståndsanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter. Medarbetare och chefer Alla medarbetare är skyldiga att tillägna sig de kunskaper som krävs för att kunna sköta sina arbetsuppgifter. Detta innebär framförallt att alla medarbetare ska kunna urskilja vad som är en personuppgift. Personuppgiftsbiträde Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för en personuppgiftsansvarigs räkning. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställa att den registrerades rättigheter skyddas. De personuppgiftsansvariga ska teckna ett skriftligt personuppgiftsbiträdesavtal med personuppgiftsbiträdet. Av avtalet ska framgå hur personuppgiftsbiträdet ska hantera eventuella personuppgifter. Dataskyddsombud Ett dataskyddsombud är en tvingande funktion som ska samla in information om hur organisationen behandlar personuppgifter kontrollera att organisationen följer bestämmelser och interna styrdokument informera och ge råd inom organisationen ge råd i samband med konsekvensbedömningar vara kontaktperson för Datainspektionen vara kontaktperson för de registrerade Konsult och uppdrag ska tillhandahålla tjänsten som dataskyddsombud. Systemägare och systemförvaltare Alla system som behandlar personuppgifter ska ha en systemägare och minst en systemförvaltare. Vilka de är ska framgå av nedan angivna registerförteckning. Kommunstyrelsen eller konsult och uppdrag ska vara systemägare för kommunövergripande system.

23 Eskilstuna kommun 5 (10) Systemägaren ska tillsammans med systemförvaltaren skriva en plan för systemförvaltningen, där de utifrån det beskrivna ändamålet ska precisera hur de ska uppnå en uppgiftsminimering och lagringsminimering, samt i de fall det görs en konsekvensbedömning (se nedan), vilket dataskydd som krävs. Systemförvaltaren ska förvalta systemet och kontinuerligt informera systemägaren om händelser och behandlingar som kan påverka den registrerades rättigheter på ett negativt sätt. Laglig grund för behandlingen För att få hantera personuppgifter krävs att kommunen kan hänvisa till en laglig grund. Dessa är följande a. Samtycke från den registrerade b. För att fullgöra ett avtal c. För att fullgöra en rättslig förpliktelse d. För att skydda registrerads intresse e. För att fullgöra ett allmänt intresse Kartläggning av personuppgifter i en registerförteckning Enligt dataskyddsförordningen ska den som är personuppgiftsansvarig upprätta en registerförteckning som visar vilka personuppgiftsbehandlingar som hanteras. Även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Varje nämnd ska ha en samlad registerförteckning över sina behandlingar. Förteckningen ska innehålla i huvudsak följande uppgifter. Namn och kontaktuppgifter för den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet Laglig grund för behandlingen Ändamålet med behandlingen Tekniska och organisatoriska säkerhetsåtgärder Kategorier av registrerade personer Typer av personuppgifter Tidsfrister för radering Av registerförteckningen ska även framgå om behandlingen avser känsliga, integritetskränkande eller extra skyddsvärda personuppgifter.

24 Eskilstuna kommun 6 (10) Registerförteckningen ska uppdateras löpande och diarieföras i kommunens dokument- och ärendehanteringssystem. Personuppgifter som är gemensamma för två eller fler nämnder ska förtecknas i varje enskild nämnds registerförteckning och diarieföras för varje enskild nämnd. Av registerförteckning ska det framgå att behandlingen avser flera personuppgiftsansvariga. Analys av riskerna genom konsekvensbedömning Enligt förordningen ska den personuppgiftsansvarige inför behandlingar som kan utgöra en särskild stor risk, göra en konsekvensbedömning för att kunna avgöra om behandlingen är för fysiska personers integritet proportionell i förhållande till de risker som den kan medföra för den registrerades rättigheter och vilken eventuell skada de kan orsaka. Konsekvensbedömningar ska exempelvis göras vid Upphandling och inköp av system, program, tjänster och/applikationer Användning av ny teknik Många användare kan komma åt personuppgifterna Behandlingen avser många personer Behandlingen avser en stor mängd personuppgifter Personuppgifter hanteras, kommuniceras och/eller lagras via öppna nätverk som internet Personuppgifterna hanteras/lagras av en extern leverantör När det gäller hur pass känsliga uppgifterna är delar förordningen in personuppgifter i fyra olika skyddsnivåer. Direkta- och indirekta personuppgifter Direkta- och indirekta känsliga personuppgifter Direkta- och indirekta integritetskänsliga personuppgifter samt Direkta- och indirekta extra skyddsvärda personuppgifter. Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen. Skyddad identitet ska betraktas som en känslig personuppgift och uppgifterna ska ha extra skyddsåtgärder. Extra skyddsvärda uppgifter som kommuniceras via öppna nätverk ska minst vara skyddad genom stark autentisering, enligt rådande godkänd standard. Personuppgifter som kräver extra skyddsåtgärder och behöver överlämnas till annan via internpost ska levereras i ett säkerhetskuvert.

25 Eskilstuna kommun 7 (10) Finner den personuppgiftsansvarige att personuppgifter behöver skyddas ska lämpliga tekniska och organisatoriska åtgärder tas fram som beskriver den säkerhetsnivå som är lämplig i förhållande till tillgänglig teknik och kostnaden för åtgärderna. Till tekniska åtgärder räknas till exempel brandväggar, krypteringsfunktioner och anti-virus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation, rutiner och instruktioner. Åtgärderna ska föras in i registerförteckningen. Konsekvensbedömningen ska diarieföras tillsammans med registerförteckningen. Inbyggt dataskydd och dataskydd som standard Det är den personuppgiftsansvarige som utifrån den ovan nämnda konsekvensbedömningen har ansvaret för att bestämma vilket dataskydd som krävs. Kommunen ska sträva efter att skapa ett inbyggt dataskydd i alla system och ha dataskydd som standard, så att systemen, tjänsterna och rutinerna kan uppfylla de personuppgiftsansvarigas säkerhetskrav. Detta kan uppnås genom i huvudsak följande åtgärder. Minimera mängden personuppgifter i systemen Begränsa åtkomsten till uppgifterna genom behörighetsstyrning Säkra autentiseringar genom flerfaktorsinloggningar Skapa krypteringsfunktioner Skapa säkrare fysiska enheter (t.ex. telefoner, datorer, servrar) Genomföra utbildningar Pseudonymisering Dokumentation, gallring och arkivering Följande dokument ska registreras i kommunens dokument- och ärendehanteringsystem. Registerförteckning över personuppgiftsbehandlingar Styrande och stödjande dokument Personuppgiftsbiträdesavtal Samtycken Genomförda konsekvensbedömningar Antagna handlingsplaner för det fortsatta arbetet Nämndernas dokumenthanteringsplaner ska reglera vad som gäller för gallring och arkivering.

26 Eskilstuna kommun 8 (10) Information till den registrerade Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Enligt förordningen har den registrerade individen följande rättigheter vad gäller sina personuppgifter Att få granska Att få korrigera och komplettera Att få flytta uppgifter till en annan myndighet, om det föreligger rättslig grund för förflyttningen Att få bli bortglömd Att få motsäga sig viss behandling av personuppgifter Att inte behandlas i automatiserat beslutsfattande Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige, både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar en personuppgiftsincident i vilken personuppgifter har raderats eller manipulerats. Vid personuppgiftsinhämtning ska följande information framgå. Rättslig grund Syftet med personuppgiftsinsamlingen Hur det kommer att behandlas och lagras Den registrerades rättigheter Information om samtycke och återkallning av det För att en medborgare ska kunna begära ut personuppgifter som lagrats om denne måste denne legitimera sig. Vederbörande har bara rätt att begära ut uppgifter på sig själv. Dataskyddsombuden ska ansvara för framtagande av lämpliga rutiner. Personuppgiftsincidenter En personuppgiftsincident är en säkerhetsincident som kan innebära risker för fysiska personers rättigheter och friheter, såsom exempelvis brott mot sekretess eller tystnadsplikt, finansiell förlust, diskriminering, identitetsstöld, bedrägeri eller skadlig ryktesspridning En personuppgiftsincident har exempelvis inträffat om uppgifter som avser en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer, oavsett om det skett oavsiktligt eller med avsikt.

27 Eskilstuna kommun 9 (10) Den personuppgiftsanvarige ska utan dröjsmål anmäla incidenten till dataskyddsombudet. Dataskyddsombudet ska därefter inom 72 timmar från att incidenten upptäckts anmäla incidenten till Datainspektionen om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Dataskyddsombuden ska skapa rutiner för hanteringen för att. Underlätta upptäckten av personuppgiftsincidenter Kunna hantera en faktisk personuppgiftsincident. Kunna dokumentera alla personuppgiftsincidenter, även de som inte måste anmälas till Datainspektionen Behandlas personuppgifter av ett personuppgiftsbiträde ska de omedelbart rapportera incidenten till den personuppgiftsansvarige, som ytterst har det juridiska ansvaret. Gällande lagstiftning och annan rättslig reglering Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Förhållande till andra styrdokument Informationssäkerhetsplan för Eskilstuna kommun; KSKF/2014:112 Definitioner Behandling omfattar varje åtgärd som vidtas i fråga om personuppgifter. Begreppet är teknikneutralt vilket innebär att det kan handla om manuell eller automatiserad/datoriserad behandling. Det kan enligt lagen vara fråga om insamling, registrering, läsning, organisering, lagring, bearbetning eller ändring, utlämnande, utplåning eller förstöring, sammanställning eller samkörning. Dataskyddsombud ska informera, ge råd och övervaka efterlevnaden av förordningen samt samarbeta med tillsynsmyndigheten. Personuppgift är all slags information som direkt eller indirekt kan hänföras till fysisk person såsom Namn Personnummer Foto (om individen kan identifieras) Videoupptagning Ljudupptagning Telefonnummer och IP-adresser

28 Eskilstuna kommun 10 (10) Kontonummer Kreditkortsnummer Känsliga personuppgifter Ras/Etniskt ursprung Politisk uppfattning Religiös eller filosofisk övertygelse Fackligt medlemskap Sexualitet och hälsa Extra skyddsvärda personuppgifter Personuppgifter som tillhör barn under 16 år De fyra sista siffrorna i personnumret Viss ekonomisk information Uppgifter som innehåller sekretess Personuppgiftsansvarig är den som ensam eller tillsammans med annan bestämmer ändamålen med för behandling avpersonuppgifter, dvs. kommunstyrelsen och ansvariga nämnder i egenskap av självständiga förvaltningsmyndigheter. Personuppgiftsombud avser en fysisk person som, efter förordnandeav den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Rollen finns kvar till och med 24 maj Personuppgiftsbiträde avses såväl en fysisk som juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Endast personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Personuppgiftsbiträdesavtal När personuppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal. Den registrerade är den person som en personuppgift avser. Samtycke måste vara en fråga om frivillig, specifik och otvetydig viljeyttring genom den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör vederbörande.

29 Torshälla stads nämnd Protokollsutdrag Sammanträdesdatum Sida 1(4) 97 Yttrande över remiss - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen (TSN/2018:65) Förslag till beslut 1. Yttrandet godkänns och översänds till kommunstyrelsen. 2. Kommunstyrelsen föreslås beakta Torshälla stads nämnds synpunkter. Förslag till kommunfullmäktige Riktlinjer för hantering av personuppgifter antas. Ärendebeskrivning Kultur- och fritidsförvaltning ger i skrivelse, daterad den 15 oktober 2018, förslag till beslut. Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Torshälla stads nämnds yttrande Torshälla stads nämnd ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen Justerandes sign Utdragsbestyrkande

30 Torshälla stads nämnd Protokollsutdrag Sammanträdesdatum Sida 2(4) och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter. Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs. Torshälla stads nämnd menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till. Nämnden anser att kommunstyrelsens övergripande arbete med informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna. Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar. Nämnden menar att det finns frågeställningar att undersöka kring kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för kommunövergripande system, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan överenskommelse eller annat beslut. Riktlinjerna anger att varje nämnd ansvarar för de straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs. I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Torshälla stads nämnd menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och Justerandes sign Utdragsbestyrkande

31 Torshälla stads nämnd Protokollsutdrag Sammanträdesdatum Sida 3(4) digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt. Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna. I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ett tydligt mandat som motsvarar personuppgiftsansvaret avser. Det är även motiverat att överväga om kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet personuppgiftsansvariges företrädare. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden. Torshälla stads nämnd ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom konsekvensbedömning framgår att Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen. Här bör i förordningen angivna undantag preciseras. Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter. Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren. Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument. Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan. Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller Justerandes sign Utdragsbestyrkande

32 Torshälla stads nämnd Protokollsutdrag Sammanträdesdatum Sida 4(4) lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier. Relationen mellan dessa beskrivningar behöver klargöras. Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande. Slutligen menar Torshälla stads nämnd att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas. Finansiering Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Torshälla stads nämnds synpunkt kring skrivningar om hantering av samtycken beaktas. Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation. Samråd kring remissvar Förslaget till svar från Torshälla stads nämnd har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd. Beslutet skickas till: Kommunstyrelsen Justerandes sign Utdragsbestyrkande

33 Torshälla stads nämnd Kultur- och fritidsförvaltningen Förvaltningskontoret TSN/2018:65 Per Silvervret Boberg (5) Torshälla stads nämnd Yttrande över remiss - Riktlinjer för hantering av personuppgifter Förslag till beslut 1. Yttrandet, daterat den 15 oktober 2018, godkänns och skickas till kommunstyrelsen. 2. Kommunstyrelsen föreslås beakta Torshälla stads nämnds synpunkter. Förslag till kommunfullmäktige Riktlinjer för hantering av personuppgifter antas. Ärendebeskrivning Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Torshälla stads nämnds yttrande Torshälla stads nämnd ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter. Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör

34 Eskilstuna kommun (5) återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs. Torshälla stads nämnd menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till. Nämnden anser att kommunstyrelsens övergripande arbete med informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna. Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar. Nämnden menar att det finns frågeställningar att undersöka kring kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för kommunövergripande system, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan överenskommelse eller annat beslut. Riktlinjerna anger att varje nämnd ansvarar för de straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs. I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett diariesystem. Torshälla stads nämnd menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning. Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder

35 Eskilstuna kommun (5) och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt. Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna. I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ett tydligt mandat som motsvarar personuppgiftsansvaret avser. Det är även motiverat att överväga om kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet personuppgiftsansvariges företrädare. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden. Torshälla stads nämnd ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom konsekvensbedömning framgår att Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen. Här bör i förordningen angivna undantag preciseras. Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter. Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren. Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument. Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan. Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier. Relationen mellan dessa beskrivningar behöver klargöras.

36 Eskilstuna kommun (5) Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande. Slutligen menar Torshälla stads nämnd att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas. Finansiering Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Torshälla stads nämnds synpunkt kring skrivningar om hantering av samtycken beaktas. Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation. Samråd kring remissvar Förslaget till svar från Torshälla stads nämnd har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd. Beslutet skickas till: Kommunstyrelsen KOMMUNLEDNINGSKONTORET Ulrika Hansson Samordningschef KULTUR- OCH FRITIDSFÖRVALTNINGEN Eva Königsson Förvaltningschef

37 Eskilstuna kommun (5) STADSBYGGNADSFÖRVALTNINGEN Marianne Hagman Förvaltningschef

38

39

40

41

42 Barn- och utbildningsnämnden Barn- och utbildningsförvaltningen Kvalitetsenheten BUN/2018:668 Malin Söderroos, (4) Barn- och utbildningsnämnden Remissvar - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen Förslag till beslut Remissvaret antas. Förslag till Kommunstyrelsen Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen antas efter föreslagna förtydliganden och kompletteringar. Ärendebeskrivning Behandling av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 från den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Förslaget har remitteras till samtliga nämnder för yttrande. Remissvar ska ha inkommit till kommunstyrelsen senast den 19 december De föreslagna åtgärderna ska rymmas inom befintliga budgetramar. Remissvar Förslaget till riktlinjer för hantering av personuppgifter är i huvudsak bra men kan kompletters och förtydligas enligt nedan: Förslag till förtydliganden

43 Eskilstuna kommun (4) Under rubriken: Personuppgiftsansvariga och dataskyddskoordinator, andra stycket: Kontaktpersonerna ska ha ett tydligt mandat som motsvarar personuppgiftsansvaret. Förslag: Att förtydliga vad mandatet och ansvaret innebär i förhållande till de andra rollerna: personuppgiftsansvarig, dataskyddsombud, personuppgiftsbiträde, chefer, systemägare och systemförvaltare, dataskyddskoordinator och medarbetare. Barn- och utbildningsnämnden har utsedda kontaktansvariga som ska ansvara för att föra registerförteckning för samtliga databehandlingar med personuppgifter utifrån dataskyddsförordningen. Det finns idag även ett nätverk för kontaktansvariga som samordnas av en utvecklare från Konsult och uppdrag. Om rollen kontaktansvarig ska ersättas av rollen som kontaktperson behöver detta tydliggöras. Konsult och uppdrag ska utse en dataskyddskoordinator med uppgift att vara samordnare för samtliga kontaktpersoner. Förslag: Att dataskyddskoordinators roll och ansvar tydliggörs. Under rubriken: Medarbetare och chefer Förslag: I riktlinjen står under Medarbetare och chefer att medarbetare framförallt behöver kunna urskilja vad som är en personuppgift. För att personuppgiftsansvariga ska kunna fullfölja sitt uppdrag behöver medarbetares och chefers ansvar kopplat till dataskyddsförordningen kompletteras till att omfatta mer än så. Exempelvis veta hur de ska hantera personuppgifter på ett säkert sätt, vad de får och inte får göra med personuppgifter. Om chefer har större ansvar än medarbetare så kan det behöva framgå på något sätt. Under rubriken: Dataskyddaombud Förslag: Texten kan kompletteras utifrån Datainspektionens information, att dataskyddsombudet ska samarbeta med datainspektionen, till exempel vid inspektioner, att dataskyddsombudet alltid ska vara inblandat om en organisation ska göra eller överväger att göra en konsekvensbedömning och att dataskyddsombudet ska vara kontaktperson för personalen inom organisationen. Under rubriken: Systemägare och systemförvaltares ansvar, fjärde stycket

44 Eskilstuna kommun (4) Systemförvaltaren ska förvalta systemet och kontinuerligt informera systemägaren om händelser och behandlingar som kan påverka den registrerades rättigheter på ett negativt sätt Förslag: Texten skulle kunna tydliggöra vilket ansvar systemförvaltarens har för hanteringen av personuppgifter i samband med förvalting av systemet. Texten kan även kompletteras med att även kontaktansvarig kontinuerligt ska informeras av systemförvaltaren om händelser och behandlingar som kan påverka den registrerades rättigheter på ett negativt sätt, inte bara systemägaren. Under rubriken: Dokumentation, gallring och arkivering Förslag: Riktlinjen bör tydliggöra vad, kopplat till samtycken, som ska registreras. Om förslaget avser samtyckesmallar eller undertecknade samtycken eller något annat. Under rubriken: Information till registrerade Förslag: Texten skulle kunna tydliggöra att det finns undantag gällande rätten att få bli bortglömd. Förslag till kompletteringar Förslag till ytterligare rubriker med innehåll/hänvisningar till andra beslut eller riktlinjer: Personuppgiftshantering i sociala medier Personuppgiftshantering på eskilstuna.se Personuppgiftshantering på internportalen Personuppgiftshantering i systemet för e-post/kalender/kontakter Förslag till kompletteringar till befintlig text: Att dataskyddsombudet ska samråda med datainspektionen innan behandling får påbörjas, om man i konsekvensbedömningen kommer fram till att det finns en hög risk med personuppgiftsbehandlingen. Information om vilken information som ska lämnas till den registrerade kan kompletteras, se artikel 13 och artikel 14 i dataskyddsförordningen. Exempelvis ska kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud finnas med i informationen. En rekommendation är även att definitionen om personuppgiftsombud tas bort från riktlinjen då denna roll inte existerar i gällande lagstiftning. Barn- och utbildningsnämnden föreslår att riktlinjerna antas efter förtydliganden och kompletteringar enligt ovan.

45 Eskilstuna kommun (4) Beslutet skickas till: Kommunstyrelsen BARN- OCH UTBILDNINGSFÖRVALTNINGEN Ingrid Sköldmo Förvaltningschef Thomas Åkerblom Kvalitetschef

46 Stadsbyggnadsnämnden Protokollsutdrag Sammanträdesdatum Sida 1(4) 230 SBN/2018:478 Yttrande över remiss - Riktlinjer för hantering av personuppgifter Beslut 1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen. 2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter. Förslag till kommunfullmäktige Riktlinjer för hantering av personuppgifter antas. Ärendebeskrivning Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Stadsbyggnadsnämndens yttrande Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter. Justerandes sign Utdragsbestyrkande

47 Stadsbyggnadsnämnden Protokollsutdrag Sammanträdesdatum Sida 2(4) Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen. Riktlinjens övergripande struktur bör omformas och förtydligas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs. Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar. Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till. Nämnden anser att kommunstyrelsens övergripande arbete med informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna. Riktlinjerna anger att varje nämnd ansvarar för de straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs. Nämnden menar att det finns frågeställningar att undersöka kring kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för kommunövergripande system, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan överenskommelse eller annat beslut. I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna Justerandes sign Utdragsbestyrkande

48 Stadsbyggnadsnämnden Protokollsutdrag Sammanträdesdatum Sida 3(4) hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning. Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt. Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna. I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ett tydligt mandat som motsvarar personuppgiftsansvaret avser. Det är även motiverat att överväga om kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet personuppgiftsansvariges företrädare. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden. Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom konsekvensbedömning framgår att Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen. Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument. Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan. Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett Justerandes sign Utdragsbestyrkande

49 Stadsbyggnadsnämnden Protokollsutdrag Sammanträdesdatum Sida 4(4) manuellt register som är sökbart enligt särskilda kriterier. Relationen mellan dessa beskrivningar behöver klargöras. Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande. Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas. Finansiering Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas. Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation. Samråd kring remissvar Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen Beslutet skickas till: Kommunstyrelsen Akten Justerandes sign Utdragsbestyrkande

50 Stadsbyggnadsnämnden (4) Stadsbyggnadsförvaltningen HR och kommunikation Pär Mårtensson SBN/2018:478 Stadsbyggnadsnämnden Yttrande över remiss - Riktlinjer för hantering av personuppgifter Förslag till beslut 1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen. 2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter. Förslag till kommunfullmäktige Riktlinjer för hantering av personuppgifter antas. Ärendebeskrivning Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR). Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen. Stadsbyggnadsnämndens yttrande Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

51 Eskilstuna kommun (4) Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen. Riktlinjens övergripande struktur bör omformas och förtydligas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs. Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar. Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till. Nämnden anser att kommunstyrelsens övergripande arbete med informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna. Riktlinjerna anger att varje nämnd ansvarar för de straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs. Nämnden menar att det finns frågeställningar att undersöka kring kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för kommunövergripande system, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan överenskommelse eller annat beslut. I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.

52 Eskilstuna kommun (4) Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt. Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna. I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ett tydligt mandat som motsvarar personuppgiftsansvaret avser. Det är även motiverat att överväga om kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet personuppgiftsansvariges företrädare. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden. Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom konsekvensbedömning framgår att Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen. Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument. Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan. Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier. Relationen mellan dessa beskrivningar behöver klargöras.

53 Eskilstuna kommun (4) Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande. Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas. Finansiering Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas. Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation. Samråd kring remissvar Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen. STADSBYGGNADSFÖRVALTNINGEN Marianne Hagman Förvaltningschef Pär Mårtensson Samordnare Beslutet skickas till: Kommunstyrelsen Akten

54 Socialnämnden Protokollsutdrag Sammanträdesdatum Sida 1(1) SOCN/2018: Yttrande över remiss från kommunstyrelsen - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen Beslut Socialnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen Ärendebeskrivning Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder. Yttrande Socialnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs. I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen. Beslutet skickas till: Kommunstyrelsen Justerandes sign Utdragsbestyrkande

55 Socialnämnden Socialförvaltningen Utveckling och innovation SOCN/2018:142 Kjell Monéus 1 (1) Socialnämnden Yttrande angående förslag till riktlinjer för hantering av personuppgifter Förslag till beslut Socialnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen Ärendebeskrivning Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder. Yttrande Socialnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs. I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen. Beslutet skickas till: Kommunstyrelsen SOCIALFÖRVALTNINGEN Mehmed Hasanbegovic Förvaltningschef

56 Överförmyndarnämnden Eskilstuna Strängnäs Protokollsutdrag Sammanträdesdatum Sida 1(1) 182 Remiss från kommunstyrelsen - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen (KSKF/2018:47) (ÖFNES/2018:126) Beslut Överförmyndarnämnden Eskilstuna Strängnäs antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen Ärendebeskrivning Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder. Yttrande Överförmyndarnämnden Eskilstuna Strängnäs anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs. I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen. Beslutet skickas till: Kommunstyrelsen Justerandes sign Utdragsbestyrkande

57 Socialnämnden Socialförvaltningen Utveckling och innovation ÖFNES/2018:126 Kjell Monéus 1 (1) Socialnämnden Yttrande angående förslag till riktlinjer för hantering av personuppgifter Förslag till beslut Överförmyndarnämnden Eskilstuna Strängnäs antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen Ärendebeskrivning Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder. Yttrande Överförmyndarnämnden Eskilstuna Strängnäs anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs. I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen. Beslutet skickas till: Kommunstyrelsen SOCIALFÖRVALTNINGEN Mehmed Hasanbegovic Förvaltningschef

58 Arbetsmarknads- och vuxenutbildningsnämnden Protokollsutdrag Sammanträdesdatum Sida 1(1) AVN/2018:67 95 Remiss till förslag - Riktlinjer för hantering av personuppgifter (KSKF/2018:47) (AVN/2018:67) Beslut Arbetsmarknad- och vuxenutbildningsnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen. Ärendet Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder. Yttrande Arbetsmarknad- och vuxenutbildningsnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs. I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen. Förvaltningen har berett ärendet på arbetsutskottet den 28 november Förvaltningen har upprättat en tjänsteskrivelse daterad den 19 november Muntlig föredragning av Thure Morin, förvaltningschef Beslutet skickas till: kommunstyrelsen Justerandes sign Utdragsbestyrkande

59 Arbetsmarknads- och Datum vuxenutbildningsförvaltningen Ledningskansli Thure Morin Diarienummer 1 (1) Yttrande angående förslag till riktlinjer för hantering av personuppgifter Förslag till beslut Arbetsmarknad- och vuxenutbildningsnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen Ärendet Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder. Yttrande Arbetsmarknad- och vuxenutbildningsnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs. I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen. Arbetsmarknad- och vuxenutbildningsförvaltningen Thure Morin Förvaltningschef Postadress Besöksadress Telefon, växel Fax Mobiltelefon Alva Myrdals gata Eskilstuna E-post Webbplats eskilstuna.se Eskilstuna den stolta Fristaden