Dataskyddsombud för miljö- och hälsoskyddsnämnden

Relevanta dokument
Information till personuppgiftsansvarig om dataskyddsombud

Dataskyddsombud, organisation och finansiering

Ett eller flera dataskyddsombud?

Dataskyddsförordningen

Dataskyddsombud i kommuner, landsting och regioner

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Utseende av dataskyddsombud

EU:s allmänna dataskyddsförordning:

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

3 Tillsättning av dataskyddsombud för hälso- och sjukvårdsnämndens personuppgiftsbehandlin gar HSN

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Terese Renbro, kommunsekreterare

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

Policy för integritet vid hantering av personuppgifter

Innehåll. Protokoll av 2

GDPR. Dataskyddsförordningen 27 april Emil Lechner

EU:s dataskyddsförordning

Varberg och Falkenbergs kommuner

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen

Kulturförvaltningen Administrativa staben. Handläggare Roger Wallberg Telefon:

Handlingsplan för persondataskydd

genom Stadsarkivet behandlar personuppgifter

När en konsekvensbedömning ska genomföras

PROTOKOLL Gymnasienämnden

Information om behandling av personuppgifter

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl

Riktlinjer för dataskydd

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Förslag till ny kommungemensam intern tjänst - organisation för dataskyddsombud enligt EU:s dataskyddsförordning

Skolan och Dataskyddsförordningen

Utökad budgetram för inrättande av tjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR) KS/2017:300

Plats och tid Förvaltningsbyggnaden, sessionssalen, måndagen den 28 maj 2018, kl 09.00

WHITE PAPER. Dataskyddsförordningen

Svensk författningssamling

ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER

GDPR- Seminarium 2017

Dataskyddsförordningen

Sekreterare Marcus Andersson Paragraf 8-15

Dataskyddsförordningen

KALLELSE Plats och tid för sammanträde Kommunkontoret, Storsjörummet torsdag den 21 februari kl 08:30

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Majvor Byström, administrativ chef Åsa Sjöberg, Handläggare Anki Andersson, Handläggare. Justeras direkt efter sammanträdet

Sammanträdesdatum

Sammanträdesdatum

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Riktlinjer för personuppgiftshantering

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Handläggning av personuppgiftsincidenter

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Plats och tid Stadshus A, Sammanträdesrum A2, Varberg, kl

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Teknik- och servicenämnden. Föredragningslista 1/1. Tid: kl. 16:00. Plats: Gustav Vasa, Kommunhuset, Kommunhuset Strängnäs.

1 Justering och faställande av föredragningslista 3 2 Information från förvaltningen 4 3 Val till Europaparlamentet Beslut om vallokaler,

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

SAMMANTRÄDESPROTOKOLL. Kl. 13:00 fredagen den 4 januari 2019, Kalmarrummet, Kommunhuset, Bålsta

DATASKYDD (GDPR) Del 2: Förvaltningsledning

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Dataskyddsförordningen (GDPR)

Svensk författningssamling

ÄRENDELISTA/KALLELSE Social- och arbetsmarknadsnämnden. Tid: torsdag 24 maj :30 Plats: Södra Ågatan 4. Bernt A Runberg (S), ordförande

GDPR NYA DATASKYDDSFÖRORDNINGEN

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Granskning av landstingets hantering av personuppgifter

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Gem Servicenämnden IS/IT

INFORMATIONSSÄKERHET OCH DATASKYDD

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Dataskyddsförordningen (DSF/GDPR)

Dataskyddsförordningen

Hur står det till med den personliga integriteten? (SOU 2016:41)

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Jessica Hådell (Sekreterare) Åsa Hofsten (IT-strateg) Nesterud Thomas (IT-strateg) Jörgen Persson (S) (Bräcke kommun) Sekreterare...

Innehållsförteckning SAMMANTRÄDESPROTOKOLL. Fritids- och kulturnämnden

20 Valpropaganda 2018/ Fastställande av ordförande och vice

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

SAMMANTRÄDESPROTOKOLL. Barn- och utbildningsnämnden

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Anvisningar för behandling av personuppgifter

Policy för informationssäkerhet och dataskydd 2018

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Transkript:

Miljöförvaltningen Verksamhetsstöd Sida 1 (6) 2018-03-20 Handläggare Albin Ring Telefon: 08-508 28 928 Till Miljö- och hälsoskyddsnämnden 2018-04-10, p. 8 Dataskyddsombud för miljö- och hälsoskyddsnämnden Förvaltningens förslag till beslut 1. Miljö och hälsoskyddsnämnden bemyndigar förvaltningschefen att upphandla och utse ett dataskyddsombud för nämndens räkning 2. Beslutet att utse ett dataskyddsombud ska anmälas särskilt till nämnden Gunnar Söderholm Förvaltningschef Mikael Nyberg Avdelningschef Sammanfattning Den 25 maj 2018 börjar EU:s dataskyddsförordning 2016/279/EU (även kallad GDPR) att gälla. Förordningen innebär nya och harmoniserade bestämmelser om behandlingen av personuppgifter. Miljöförvaltningen Verksamhetsstöd 11226 Stockholm Telefon 08-508 28 928 albin.ring@stockholm.se stockholm.se Miljö- och hälsoskyddsnämnden är personuppgiftsansvarig för sin verksamhet. Enligt förordningen behöver vissa personuppgiftsansvariga, däribland nämnden, utse ett så kallat dataskyddsombud. Dataskyddsombudets funktion kan närmast beskrivas som en internrevisor, vars uppgift är att löpande granska att nämndens hantering av personuppgifter sker i enlighet med förordningens bestämmelser. Det finns särskilda krav på yrkesmässiga kvalifikationer, sakkunskap och skydd mot intressekonflikt som gäller för dataskyddsombud. Förvaltningen har bland annat mot denna bakgrund bedömt att den mest ändamålsenliga lösningen för nämndens vidkommande är att

Sida 2 (6) ett dataskyddsombud tillsätts externt genom ett upphandlat tjänsteavtal. För att säkerställa att ett dataskyddsombud utses innan förordningen börjar tillämpas föreslår förvaltningen att nämnden bemyndigar förvaltningschefen att nämndens räkning upphandla och utse ett dataskyddsombud för inom de upphandlingsramar som föreskrivs i gällande delegationsordning. Beslutet anmäls därefter till nämnden i ett särskilt ärende. Bakgrund Europeiska unionens allmänna dataskyddsförordning (679/2016/EU) ska tillämpas inom hela EU från och med den 25 maj 2018. Förordningen tillämpas på behandlingen av personuppgifter inom både det offentliga och det privata. Förordningen ersätter personuppgiftsdirektivet från 1995 (95/46/EG) och personuppgiftslagen (1998:204). Det övergripande syftet med förordningen är att säkerställa människors rätt till skydd av sina personuppgifter och därmed rätten till skydd för privatlivet. Ett annat uttryckligt syfte är att fastställa regler för det fria flödet av personuppgifter inom EU och därmed lägga grund för en ökad digitalisering inom unionen. Förordningen ger den personuppgiftsansvarige nya uppgifter och skyldigheter, däribland att i vissa fall utse ett särskilt dataskyddsombud. Även den registrerade får nya och utökade rättigheter. Generellt innebär förordningen en reglering av vad som är en laglig behandling av personuppgifter samt när, hur och av vem personuppgifter får behandlas. Varje kommunal nämnd är personuppgiftsansvarig för sina personuppgiftsbehandlingar och har en skyldighet att uppfylla de krav som framgår av förordningen. En privat aktör som bryter mot förordningen kan riskera sanktionsavgift om upp till 20 000 000 euro eller 4 procent av den totala globala årsomsättningen under föregående budgetår. För myndigheter föreslås en motsvarande sanktionsavgift om upp till 10 000 000 kronor (prop. 2017/18:105).

Sida 3 (6) Ärendet Enligt artikel 37.1 dataskyddsförordningen ska vissa personuppgiftsansvariga, däribland myndigheter, utse ett dataskyddsombud. Därigenom omfattas nämnden av denna skyldighet. Dataskyddsombudets uppgifter Dataskyddsombudets uppgift är enligt artikel 39 att informera och rådge den personuppgiftsansvarige om skyldigheterna enligt förordningen, samt att övervaka den personuppgiftsansvariges efterlevnad av förordningen. Dataskyddsombudet ska vidare delta i de konsekvensbedömningar som ska genomföras, samarbeta med tillsynsmyndigheten (Datainspektionen) och utgöra kontaktpunkt för såväl tillsynsmyndigheten som de registrerade. Dataskyddsombudets ställning Dataskyddsombudet ska enligt artikel 38 delta i alla frågor som rör skyddet av personuppgifter, rapportera direkt till den personuppgiftsansvariges högsta förvaltningsnivå och ha de resurser som krävs för att fullgöra sina uppgifter. Hen får inte ta emot några instruktioner från den personuppgiftsansvarige vad gäller hur ombudets uppgifter ska utföras och får heller inte avsättas eller utsättas för sanktioner för att ha utfört sina uppgifter. Dataskyddsombudets kompetens I artikel 37.5 föreskrivs vissa yrkesmässiga kvalifikationer som gäller för ett dataskyddsombud. Enligt den vägledning till bestämmelsen (WP 243 rev.01) som har fastställts av EU-organet Artikel 29-arbetsgruppen är åtminstone följande kvalifikationer och sakkunskap relevanta: Kunskap om dataskyddslagstiftning och praxis på nationell nivå och EU-nivå, inklusive djupgående kunskap om den allmänna dataskyddsförordningen. Förståelse av hur behandlingen av personuppgifter genomförs. Kunskap om olika typer av informationsteknik och datasäkerhet. Kunskap om affärssektorn och organisationen i fråga. Förmåga att främja en dataskyddskultur inom organisationen. Dataskyddsombudets placering Enligt artikel 37.6 får dataskyddsombudet ingå i den personuppgiftsansvariges personal eller utföra uppgifterna på grundval av ett tjänsteavtal. Det är enligt artikel 37.3 även möjligt att inom en

Sida 4 (6) kommun utse ett gemensamt dataskyddsombud för flera personuppgiftsansvariga. Dataskyddsombudets roll Ett dataskyddsombud får enligt artikel 38.6 fullgöra andra uppgifter och uppdrag än de som följer av förordningen. Dessa uppgifter får dock inte leda till en intressekonflikt. Enligt den vägledning till bestämmelsen som har fastställts av Artikel 29-arbetsgruppen (a.a. ovan) innebär detta att dataskyddsombudet inte kan inneha en sådan tjänst inom organisationen som innebär att hen fastställer ändamålen med och medlen för behandlingen av personuppgifter. Sådana motstridiga befattningar inom organisationen kan exempelvis vara befattningar i högsta ledningen (t.ex. verkställande direktör, personalchef eller IT-chef). Även andra funktioner lägre i organisationsstrukturen, om sådana befattningar eller funktioner innebär att dataskyddsombudet fastställer ändamålen med och medlen för behandlingen av personuppgifter, kan leda till intressekonflikt. En intressekonflikt kan även uppstå om ett externt dataskyddsombud till exempel ombes att företräda den personuppgiftsansvarige eller vid domstol i dataskyddsärenden. Av Sveriges kommuner och landstings (SKL) vägledning om dataskyddsombud i kommuner, landsting och regioner framgår att rollen som dataskyddsombud inte är densamma som personuppgiftsombudet i nuvarande personuppgiftslagen (1998:204). En av de största förändringarna med de nya reglerna är att ombudets kontrollerande och rådgivande funktion för organisationen renodlas. Det är därför inte lämpligt att dataskyddsombudets roll blandas med andra uppdrag som är av beslutande- eller ledningskaraktär. Rollen som ombud kan inte heller kombineras med uppgifter som rådgivare eller kontrollerande funktioner. Renodlingen av uppdraget innebär vidare enligt SKL att organisationen självständigt måste bedriva ett aktivt dataskyddsarbete som inte leds av dataskyddsombudet. Dataskyddsombudet ska alltså inte fungera som projektledare eller ha ansvaret för att ta initiativ, utan rollen liknar mer en revisor eller en controller som löpande granskar verksamheten och kommer med förslag om åtgärder samt rapporterar brister. I prop. 2017/18:105 (s. 132-133) beskrivs dataskyddsombudets ställning som på många sätt påminnande om den som en internrevisor intar när det gäller självständighet och förhållande till ledningen.

Sida 5 (6) Förvaltningens synpunkter och förslag Förvaltningen har mot bakgrund av de yrkesmässiga kvalifikationer som enligt förordningen krävs av ett dataskyddsombud bedömt att erforderlig kompetens för att tillsätta denna tjänst i dagsläget inte finns på förvaltningen. Det innebär att tjänsten måste rekryteras externt. Vidare konstaterar förvaltningen att rollen inte är möjlig att förena med ett ledningsuppdrag, varför nuvarande personuppgiftsombud (avdelningschefen på verksamhetsstöd) inte kan utses till dataskyddsombud. Förvaltningen bedömer inte heller, mot bakgrund av förbudet mot intressekonflikt, att rollen är förenlig med uppdrag som inbegriper rådgivning kring hantering av personuppgifter i enskilda fall eller förvaltning av system eller strukturer som har med personuppgiftshanteringen att göra. Det skulle i så fall nämligen riskera leda till en situation där dataskyddsombudet tvingas granska sig själv, vilket i sin tur skulle leda till en uppenbar intressekonflikt i strid med förordningen. Därmed kan rollen inte förenas med en sedvanlig tjänst inom de annars snarlika funktionerna juridik, arkiv och registratur eller IT. Mot denna bakgrund konstaterar förvaltningen att de arbetsuppgifter som tjänsten kan tänkas omfatta sålunda inte motsvarar en heltidstjänst. Förordningen medger att flera nämnder kan dela på ett dataskyddsombud. Förvaltningen bedömer att en lösning där dataskyddsombudet delas med en eller flera andra nämnder vore det mest ändamålsenliga och effektiva alternativet. Förvaltningen har emellertid, trots idoga försök, inte lyckats få till stånd en sådan lösning. Kvar är då alternativet att utse ett externt dataskyddsombud som fullgör sina uppgifter på grundval av ett tjänsteavtal, dvs. att nämnden upphandlar tjänsten externt i den omfattning som är nödvändig för att uppfylla förordningens krav. Mot bakgrund av det ovan sagda anser förvaltningen att detta alternativ i dagsläget är den enda rimliga lösningen. Förvaltningen anser dock att nämnden på sikt alltjämt bör sträva efter att få till stånd en lösning med ett permanent dataskyddsombud som delas med en eller flera andra nämnder. Enligt förordningens krav ska nämnden ha utsett ett dataskyddsombud innan den 25 maj 2018. I syfte att säkerställa att ett ombud utses inom föreskriven tid föreslår förvaltningen att nämnden ger förvaltningschefen i uppdrag att upphandla och utse ett dataskyddsombud för nämndens räkning. Upphandlingen

Sida 6 (6) genomförs inom de ramar som föreskrivs i gällande delegationsordning (miljö- och hälsoskyddsnämndens beslut den 16 maj 2017, 8; dnr. 2017-6945). Därefter anmäler förvaltningen beslutet särskilt till nämnden. S L U T