Kultur- och fritidsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
2(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
Kultur- och fritidsnämnden menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
Riktlinjerna anger att ”[v]arje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Kultur- och fritidsnämnden menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar
dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
3(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar
personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Kultur- och fritidsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.” Här bör i förordningen angivna undantag preciseras.
Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter.
Eftersom kultur- och fritidsnämnden bland annat beslutar om föreningsstöd är det oundvikligt att känsliga personuppgifter såsom etniskt ursprung, religiös eller filosofisk övertygelse samt sexualitet och hälsa kan komma att indikeras i registren.
På HR-området är samma sak gällande, till exempel för hanteringen av uppgifter kring fackligt medlemskap. I handlingar som uppstår utifrån medarbetarsamtal kan känsliga uppgifter också finnas. Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”[ä]ven personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
4(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar kultur- och fritidsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att kultur- och fritidsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation
Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från kultur- och fritidsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.
Beslutet skickas till:
Kommunstyrelsen
Kultur- och fritidsnämnden 2018-10-30 Kultur- och fritidsförvaltningen
Förvaltningskontoret KFN/2018:165
Per Silvervret Boberg 016-710 13 77
1 (4)
Vi gör Eskilstuna – tillsammans
Kultur- och fritidsnämnden
Yttrande över remiss - Riktlinjer för hantering av personuppgifter
Förslag till beslut
Yttrandet godkänns och översänds till kommunstyrelsen.
Ärendebeskrivning
Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter.
Kultur- och fritidsnämndens yttrande
Kultur- och fritidsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet
Eskilstuna kommun 2018-10-30 2 (4)
Vi gör Eskilstuna – tillsammans
skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Kultur- och fritidsnämnden menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
Riktlinjerna anger att ”[v]arje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Kultur- och fritidsnämnden menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar
dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
Eskilstuna kommun 2018-10-30 3 (4)
Vi gör Eskilstuna – tillsammans
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar
personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Kultur- och fritidsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.” Här bör i förordningen angivna undantag preciseras.
Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter.
Eftersom kultur- och fritidsnämnden bland annat beslutar om föreningsstöd är det oundvikligt att känsliga personuppgifter såsom etniskt ursprung, religiös eller filosofisk övertygelse samt sexualitet och hälsa kan komma att indikeras i registren.
På HR-området är samma sak gällande, till exempel för hanteringen av uppgifter kring fackligt medlemskap. I handlingar som uppstår utifrån medarbetarsamtal kan känsliga uppgifter också finnas. Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”[ä]ven personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
Eskilstuna kommun 2018-10-30 4 (4)
Vi gör Eskilstuna – tillsammans
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar kultur- och fritidsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att kultur- och fritidsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från kultur- och fritidsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.
Beslutet skickas till:
Kommunstyrelsen
KULTUR- OCH FRITIDSFÖRVALTNINGEN
Eva Königsson Per Silvervret Boberg
Förvaltningschef Nämndsekreterare