Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Relevanta dokument
Plats och tid Förvaltningsbyggnaden, sessionssalen, måndagen den 28 maj 2018, kl 09.00

Information till personuppgiftsansvarig om dataskyddsombud

EU:s allmänna dataskyddsförordning:

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Handlingsplan för persondataskydd

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Ett eller flera dataskyddsombud?

Riktlinjer för dataskydd

Riktlinjer för hantering av personuppgifter

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsombud, organisation och finansiering

Riktlinjer för personuppgiftshantering

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Anvisningar för behandling av personuppgifter

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Utseende av dataskyddsombud

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Riktlinjer för hantering av personuppgifter

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen för prefekter och administrativa chefer

Policy för hantering av personuppgifter

Öfn 127 Redovisning av statistik från kansliet

Personuppgiftsbehandling Dataskydd

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Information om dataskyddsförordningen

Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Policy för behandling av personuppgifter

Dataskyddsförordningen (DSF/GDPR)

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Riktlinjer för hantering av personuppgifter

Dataskyddsombud i kommuner, landsting och regioner

Dataskyddsförordningen

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Så behandlar vi dina personuppgifter

Kanslichef - Tillsvidare

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

INFORMATIONSSÄKERHET OCH DATASKYDD

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

EU:s dataskyddsförordning

Skolan och Dataskyddsförordningen

Dataskyddsförordningen

EU:s dataskyddsförordning

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Vården och reglerna om dataskydd

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Dataskyddsförordningen (GDPR)

Information om behandling av personuppgifter

Dataskyddsförordningen

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Majvor Byström, administrativ chef Åsa Sjöberg, Handläggare Anki Andersson, Handläggare. Justeras direkt efter sammanträdet

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

GDPR- Seminarium 2017

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

GDPR POLICY Behandling av personuppgifter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

STOCKHOLMS FOTBOLLFÖRBUND

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

Delegationsordning för stadsledningskontoret, rotlar och partikanslier

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Policy för integritet vid hantering av personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

PERSONUPPGIFTSLAGEN (PUL)

GDPR och hantering av personuppgifter

Handläggning av personuppgiftsincidenter

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

GDPR. General Data Protection Regulation. dataskyddsförordningen

Välkomna till kurs i den nya dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

AVTAL. om gemensamt personuppgiftsansvar för gemensamt låntagarregister

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl

Riktlinjer för webbpublicering enligt PuL

Personuppgiftsinformation för Svedala kommun

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Granskning av landstingets hantering av personuppgifter

Sekreterare Marcus Andersson Paragraf 8-15

Reglemente för intern kontroll

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

GDPR Presentation Agenda

Terese Renbro, kommunsekreterare

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Transkript:

2017-08-28 1(6) Kommunledningsförvaltningen Kerstin Ernerskog 0476-55206 Kerstin.ernerskog@almhult.se Kommunstyrelsen Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018 Diarienummer 2017/81 007 Organisation inom Älmhults kommun för behandling av personuppgifter Bakgrund En ny dataskyddsförordning träder i kraft den 25 maj 2018 som ersätter gällande personuppgiftslag (PuL). Stora delar i den nya förordningen liknar de regler som finns i PuL, men innehåller ändå viktiga förändringar av avgörande betydelse för de personuppgiftsansvariga. De enskildas rättigheter förstärks, de personuppgiftsansvarigas ansvar och skyldigheter förtydligas. Det nya regelverket ställer därmed högre krav på hur personuppgiftsbehandlingar hanteras och dokumenteras. Dataskyddsförordningen betonar särskilt att de personuppgiftsansvariga (myndigheter med flera) som behandlar personuppgifter måste ta ett aktivt ansvar för att se till att förordningens regler följs och kunna visa det (ansvarsskyldighet). Sanktionsavgifter kan delas ut om den personuppgiftsansvarige missköter sitt ansvar och sina uppgifter. För att Älmhults kommun ska kunna uppfylla dataskyddsförordning krav på ett rättssäkert och effektivt sätt är det av avgörande betydelse med en tydlig organisationsstruktur för arbetet. Organisationen ska klargöra de olika rollerna och arbetsuppgifterna. Uppdrag och utredningsmetod På uppdrag av kommunchefen pågår en utredning kring förberedelsearbetet inför den nya dataskyddsförordningen. Uppdraget omfattar bland annat att utreda och lämna förslag till hur Älmhults kommun ska förbereda sig vad gäller organisation, ansvar och rollfördelning i syfte att hela kommunkoncernen (samtliga nämnder och kommunens helt- eller delägda bolag) är redo att tillämpa den nya lagstiftningen för behandling av personuppgifter då den träder i kraft. Förutom den nya dataskyddsförordningen utgör Datainspektionens informationsmaterial och kommunledningens utredning Dataskyddsförordningen (daterad 2016-12-20) underlag till föreliggande utredning. Därutöver inhämtas kunskaper och erfarenheter under hand från kommunens arkivarie tillika nuvarande personuppgiftsombud, kommunens ITenhet och genom deltagande i externa utbildningsinsatser. I viss omfattning tillvaratas erfarenheter och idéer från andra kommuner.

2017-08-28 2(6) Utredningsuppdraget delas upp i ett antal delar som genomförs under hösten 2017 och våren 2018. Föreliggande förslag till organisation för behandling av personuppgifter utgör den första delen, som är en förutsättning för det fortsatta arbetet. Uppdraget sker i nära samverkan med IT-chefen. Samverkan sker också med kommunens arkivarie, förvaltningar och kommunens helägda/delägda bolag. Styrgruppen för arbetet utgörs av kommunchefen och IT-chefen. Beslutsnivå Förslag till organisation inom Älmhults kommun, inklusive berörda kommunägda bolag, behandlas av kommunstyrelsen. Därefter av samtliga nämnder och berörda bolagsstyrelser i samband med att dataskyddsombud för respektive nämnd/styrelse utses. Förslag till organisation I Älmhults kommun är respektive nämnd (inklusive kommunstyrelsen) och kommunägda bolag (såväl helägda som delägda) personuppgiftsansvarig för sina verksamhetsområden. Kommunens IT-chef ansvarar för att kommunens personuppgiftsbiträdesavtal revideras och kvalitetssäkras. IT-chefens ansvar är också att IT-upphandlingar kvalitetssäkras med beaktande av kommunens upphandlingsstrategi och dataskyddsförordningen. Arbetet sker i ett nära samarbete med de personuppgiftsansvariga och dataskyddsombudet. Personuppgiftsansvarig (PuA) Nämnder och bolag Respektive nämnd (inklusive kommunstyrelsen) och de kommunägda bolagen (såväl hel- som delägda) är personuppgiftsansvarig för sina verksamhetsområden. Detta innebär att det för naärvarande finns 13 personuppgiftsansvariga inom koncernen. Nämnder: 1. Kommunstyrelsen 2. Socialnämnden 3. Utbildningsnämnden 4. Miljö- och byggnämnden 5. Kultur- och fritidsnämnden 6. Överförmyndarnämnden 7. Valnämnden 8. Gemensam nämnd för familjerätt (Älmhult, Ljungby, Markaryd) Bolag: 9. Elmen AB 10. Älmhultsbostäder AB 11. Älmhults Näringsfastigheter 12. Älmhults Terminal AB

2017-08-28 3(6) 13. ElmNet AB 14. Hvita Korset AB (vilande) Elmen AB (moderbolag till övriga hel- eller delägda bolag), Älmhult Terminal AB och Hvita Korset AB (vilande) hanterar dock ej för närvarande några personuppgifter enligt dataskyddsförordningens regelverk. Ansvar PuA kan överlåta den faktiska behandlingen av personuppgifter, men ansvaret kan aldrig överlåtas. PuA:s ansvar: Bestämma för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska utföras. Föra register över behandlingar av personuppgifter. Informera de registrerade om personuppgiftsbehandling och om de registrerades rättigheter. Se till att de anställda har tillräcklig kunskap om dataskyddsförordningen och lämna instruktioner hur behandlingar ska ske. Genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Skriva personuppgiftsavtal med personuppgiftsbiträden. Besluta om delegering av arbetsuppgifter som rör behandling av personuppgifter inom den egna verksamheten. Utse ett dataskyddsombud och anmäla detta till Dataskyddsinspektionen. Se till att behandlingen av personuppgifter i övrigt sker enligt dataskyddsförordningen. Det bör noteras att dataskyddsförordningen kräver en konsekvensbedömning av PuA innan särskilt känsliga behandlingar av personuppgifter genomförs. I detta arbete måste dataskyddsombudet rådfrågas. Handläggare för behandling av personuppgifter Respektive PuA delegerar det övergripande ansvaret för genomförandet av arbetet med behandling av personuppgifter till förvaltningschefen/vd. För kommunstyrelsens del till två förvaltningschefer. Respektive förvaltningschef/vd får vidaredelegera det operativa arbetet till minst en handläggare inom förvaltningen/bolaget. Förvaltningschefen/VD avgör lämpligheten med en eller flera handläggare beroende på förvaltningens/bolagets storlek, organisation, verksamhet och riskbedömning av sårbarhet. Handläggaren har en verkställande roll. Följaktligen ges handläggaren nödvändiga resurser för att genomföra uppdraget (det vill säga tidsutrymme och relevant kompetensutveckling etc). Uppdraget innebär att samråd ska ske med kommunens dataskyddsombud, som också bistår - i möjligaste mån och i rimlig omfattning - med sina resurser i handläggarens arbete. Handläggaren ska hjälpa dataskyddsombudet att utföra sina arbetsuppgifter.

2017-08-28 4(6) Dataskyddsombud Älmhults kommun och dess bolag utser ett gemensamt dataskyddsombud 1. Ändå måste respektive PuA ta beslut om detta och anmäla dataskyddsombudets kontaktuppgifter till Datainspektionen. Roll och ansvar Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och i övrigt ha kompetens för att fullgöra de uppgifter som anges i det följande. Det förutsätts att ombudet har en självständig roll i förhållande till PuA och förvaltningarna/bolagen, även om ombudet är anställd av den personuppgiftsansvarige. Dataskyddsombudet ska kontinuerligt rapportera direkt till respektive förvaltningsledning och inte kunna bestraffas för utövandet av sitt uppdrag. Självklart är ombudet bunden till sekretess och tystnadsplikt. Dataskyddsombudets kontaktuppgifter ska offentliggöras så att ombudet är lättillgängligt för kommunens registrerade. Dataskyddsombudet får också ha andra arbetsuppgifter, men dessa får inte leda till en intressekonflikt för ombudet. Till exempel är det inte lämpligt att ombudets roll blandas med andra uppdrag som innebär beslutsfattande eller har ledningskaraktär. Arbetsuppgifter Informera, ge råd och stöd till PuA, handläggare och övrig anställd personal, personuppgiftsbiträden. Övervaka att dataskyddsförordningen och andra dataskyddsregler efterlevs. Rapportera till respektive högsta förvaltningsnivå/vd Påpeka eventuella brister till högsta förvaltningsnivå/vd. Göra anmälan till Datainspektionen (DI) om brister inte åtgärdas. Föra en sammanställning över behandlingar av personuppgifter utifrån inlämnade register från respektive PuA. Vara tillgänglig för de registrerade, som kan kontakta ombudet för att få hjälp att kunna ta tillvara på sina rättigheter. Ansvara för kommunens nätverk (handläggare) som rör dataskyddsförordningen Samarbeta med Datainspektionen (DI) och bland annat vara kontaktpunkten mellan kommunen och DI. Utöver det ovanstående bör noteras att dataskyddsombudet övervakar att personuppgiftsansvarig genomför konsekvensbedömningar och relevanta åtgärder inför behandling av särskilt känsliga personuppgiftsbehandlingar. Placering Med hänvisning till dataskyddsombudets roll och ansvar kan detta uppdrag kombineras med andra uppdrag inom organisationen under vissa förutsättningar. Uppdragen får dock inte innebära att ombudet granskar sig själv. 1 Personuppgiftsombud enl. personuppgiftslagen byter namn till dataskyddsombud enl. dataskyddsförordningen

2017-08-28 5(6) Placeringen i organisationen måste vara anpassad till ombudets självständiga och oberoende ställning, där ombudet inte utsätts för påverkan i sitt uppdrag. Den lämpligaste placeringen i nuvarande organisation är därmed i kommunledningsförvaltningen, utan att tillhöra någon av förvaltningens enheter. Nätverk Dataskyddsombudet bildar ett nätverk kring tillämpningen av dataskyddsförordningen i Älmhults kommun. Detta sker omgående då respektive förvaltningschef anmäler vilken/vilka handläggare som har uppdraget att genomföra arbetet med behandling av personuppgifter. Anmälan sker direkt till dataskyddsombudet. Nätverket träffas regelbundet. Möten sker med täta mellanrum under 2017/2018 för att därefter ske med längre tid mellan mötena. Dataskyddsombudet är sammankallande. Utöver nätverksträffarna sker samråd och rådgivning i specifika frågor mellan handläggare och dataskyddsombud. Överväganden Kommunens nämnder (inklusive kommunstyrelsen) är var för sig en offentlig myndighet och därmed personuppgiftsansvarig (PuA) enligt dataskyddsförordningen med skyldigheten att utse dataskyddsombud. De helt eller delvis kommunägda bolagen likställs i detta avseende med nämnderna. Om PuA missköter sina uppgifter kan det orsaka negativa konsekvenser för den enskildes rätt till skydd av personuppgifter. Detta kan också leda till att PuA utdöms omfattande sanktionsavgift. Mot bakgrund av det ovanstående krävs en strukturerad och effektiv organisation med hänsyn taget till de lokala förutsättningarna. Syftet är att säkerställa att Älmhults kommunkoncern uppfyller dataskyddsförordningens regler till skydd för den enskilde. Den ovan beskrivna organisationen bedöms vara den bästa lösningen för Älmhults kommun. Ett alternativ är att respektive PuA kan utse sinsemellan olika externa eller interna dataskyddsombud. Detta medför dock betydande kostnader och ineffektivitet. Framför allt blir inte tillgängligheten till dataskyddsombudet för rådgivning, information och övrigt stöd optimalt varken för den enskilde registrerade, den personuppgiftsansvarige, handläggarna eller övrig personal. Utifrån ett långsiktigt perspektiv och för att upprätthålla en hög kvalitet i det lokala arbetet är det betydelsefullt att det finns en gemensam kompetens inom området i organisationen. Förslag till beslut Kommunstyrelsen föreslås besluta enligt följande förslag samt rekommendera övriga nämnder och berörda bolagsstyrelser besluta i enlighet med kommunstyrelsens beslut:

2017-08-28 6(6) 1. Förslag till organisation för Älmhults kommun (inklusive roller och ansvar) för arbetet med den nya dataskyddsförordningen i enlighet med Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018 godkänns. Organisationen omfattar 11 personuppgiftsansvariga (respektive nämnd, kommunstyrelsen samt berörda kommunägda bolag). 2. Organisationen för arbetet med den nya dataskyddsförordningen gäller från och med den 1 december 2017. 3. Dataskyddsombud utses från och med den 25 maj 2018. 4. Kommunstyrelsen föreslår respektive nämnd och berört kommunägt bolag besluta i enlighet med ovanstående beslut. Dataskyddsombudet utses av respektive nämnd/bolagsstyrelse. Dataskyddsombudet är gemensamt för samtliga personuppgiftsansvariga inom kommunkoncernen. 5. Under förutsättning att samtliga nämnder och berörda kommunägda bolag samtycker, ger kommunstyrelsen i uppdrag till kommunchefen att fortsättningsvis genomföra nödvändiga revideringar av organisationen i syfte att anpassa den till eventuella förändringar i dataskyddsförordningen eller i övrigt till kommunkoncernens framtida förutsättningar. Kerstin Ernerskog Utredare

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss