Registerförfattningar mm

Socialtjänst, vård och omsorg

 Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPuL).

 Förordning (2001:637) om behandling av personuppgifter inom socialtjänsten.

 Patientdatalagen (2008:355)

 Patientdataförordning (2008:360)

Observera att dataskyddsförordningen och tillhörande författningar inte är tillämpliga på hela socialtjänstens område. Dataskyddsdirektivet och brottsdatalagen (2018:1177) är istället tillämpliga vid arbete i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.¹ Av propositionerna 2017/18 s 183-184 och 2017/18:232 s 431 framgår att dataskyddsdirektivet och brottsdatalagen gäller när statens institutionsstyrelse verkställer sluten ungdomsvård och när socialnämnder verkställer straffrättsliga påföljder samt vård enligt lag (1998:870) om vård av missbrukare i vissa fall, LVM.

Utbildning

 Skollagen (2010:800).

 Förordning (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar

Val

 Lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar samt förordning (2002:61) om behandling av personuppgifter i verksamhet med val (Länsstyrelsen registeransvarig)

Andra lagar som anpassats till dataskyddsförordningen

En rad lagar har anpassats till dataskyddsförordningen och relaterar direkt till den. Det gäller till exempel olika civilrättsliga lagar på bl.a. fastighetsrättens område har anpassats,

1Av 1 kap. 3 § SoLPuL framgår att den lagen (och GDPR, samt dataskyddslagen) inte tillämpas vid behandling av personuppgifter som avses i artikel 2.2 d GDPR, se också skäl 19, samma förordning.

Riktlinjer för tillämpning av dataskyddsförordningen, bilaga 2

Sida 2 av 2 registerförfattningar på arbetsmarknadsområdet har anpassats, lagar inom miljö- och

energidepartementets område har anpassats. Detsamma gäller lagar inom skatt, tull och exekution samt på finansmarknadsområdet. Det har också kommit en ny

kamerabevakningslag.

Riktlinjer för tillämpning av dataskyddsförordningen, bilaga 1

Sida 1 av 1

Bilaga 1 - Länder som omfattas av GDPR

Det är viktigt att komma ihåg att institutionens, organisationens eller näringslivets fysiska läge är inte lika viktigt för att fastställa behovet av att följa GDPR som den fysiska platsen där den registrerade befinner sig - den person vars uppgifter samlas in, bearbetas eller lagras.

Lagstiftningen gäller i EU medlemsstater och EES länder, men den kommer att få en global inverkan då organisationer i andra länder kommer att ha tillgång till och behandla

personuppgifter som tillhör registrerade som är medborgare i EU och EES länder.

EU, Europeiska unionens 28 medlemsländer:

Bulgarien Grekland Malta Spanien

Belgien Irland Nederländerna Storbritannien

Cypern Italien Polen Sverige

Danmark Kroatien Portugal Tjeckien

Estland Lettland Rumänien Tyskland

Finland Litauen Slovakien Ungern

Frankrike Luxemburg Slovenien Österrike

EES, Europeiska Ekonomiska Samarbetsområdets tre medlemsländer:

Island Liechtenstein Norge

TJÄNSTESKRIVELSE 1 (2)

Datum Vår beteckning

Samhällsbyggnadsförvaltningen 2019-10-16

Katrineholms kommun Besöksadress: Trädgårdsgatan 1 Org.nummer: 212000-0340

Samhällsbyggnadsförvaltningen Telefon: 0150-57700 www.katrineholm.se

641 80 Katrineholm E-post: samhallsbyggnadsforvaltningen@katrineholm.se

Vår handläggare Er beteckning

Lisa Mossberg

18. Överenskommelse om gemensamt personuppgiftsansvar för NKI-undersökningar

Förvaltningens förslag till beslut

Bygg- och miljönämnden beslutar att bygg- och miljönämnden ingår i föreslagen överenskommelse med service- och tekniknämnden och socialnämnden om hur

uppgifterna inom det gemensamma personuppgiftsansvaret för personuppgifterna som behandlas för att genomföra Nöjd-kund-index.

Sammanfattning av ärendet

GDPR¹artikel 26 ställer krav på att reglera inbördes ansvarsförhållande då det föreligger ett gemensamt personuppgiftsansvar.

Förvaltningarna har bedömt att bygg- och miljönämnden har ett gemensamt personuppgiftsansvar med service- och tekniknämnden och socialnämnden för

personuppgiftsbehandlingen som avser att genomföra NKI-undersökningar (Nöjd-kund-index). Ett gemensamt personuppgiftsansvar anses föreligga då nämnderna gemensamt fastställer ändamålen och medlen för behandlingen. I aktuellt fall anlitar man ett

gemensamt personuppgiftsbiträde.

Det delade personuppgiftsansvaret för bygg- och miljönämnden, service- och

tekniknämnden och socialnämnden gäller från när personuppgifter har skickats in till aktuellt personuppgiftsbiträde för utförande av NKI-undersökningen. Det innebär att respektive nämnd ansvarar för behandlingen var för sig innan uppgifterna skickats in till biträdet.

Eftersom Katrineholms kommuns nämnder utgör samma juridiska person kan inget avtal tecknas. Däremot föreslås att nämnderna ingår en överenskommelse/rättsakt för att formellt reglera förhållandet nämnderna emellan för behandlingen i fråga och på så sätt uppfylla GDPRs krav för de med gemensamt personuppgiftsansvar att "under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna..." i artikel 26.

I aktuell överenskommelse föreslås bygg- och miljönämnden ansvara för kontakten med personuppgiftsbiträdet samt för att teckna personuppgiftsbiträdesavtal och anmäla personuppgiftsincidenter till Datainspektionen i förekommande fall. I övrigt ska varje nämnd hålla övriga informerade om eventuella krav från de vars personuppgifiter som hanteras (registrerade) för detta ändamål. Vid ett eventuellt skadeståndsanspråk från en registrerad ska en gemensam utredning och gemensamt svar ges på det kravet.

TJÄNSTESKRIVELSE 2 (2)

Datum Vår beteckning

Samhällsbyggnadsförvaltningen 2019-10-16

Katrineholms kommun Besöksadress: Trädgårdsgatan 1 Org.nummer: 212000-0340

Samhällsbyggnadsförvaltningen Telefon: 0150-57700 www.katrineholm.se

641 80 Katrineholm E-post: samhallsbyggnadsforvaltningen@katrineholm.se

Eftersom det gemensamma ansvaret föreligger först när uppgifterna skickats in till biträdet åligger det varje nämnd för sig att fullgöra åtaganden som åligger ansvariga i ett tidigare skede såsom att informera de registrerade om behandlingen.

1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om

upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Beslutsunderlag

Överenskommelse

Beslutsmottagare

Lisa Mossberg Akten

Socialnämnden

Service- och tekniknämnden

ÖVERENSKOMMELSE 1 (3)

Datum Vår beteckning

Samhällsbyggnadsförvaltningen

Katrineholms kommun Besöksadress: Trädgårdsgatan 1 Org.nummer: 212000-0340

Samhällsbyggnadsförvaltningen Telefon: 0150-57700 www.katrineholm.se

641 80 Katrineholm E-post: samhallsbyggnadsforvaltningen@katrineholm.se

Vår handläggare Er beteckning

Denna överenskommelse fördelar det gemsamma personuppgiftsansvaret som bygg- och miljönämnden har tillsammans med service- och tekniknämnden och socialnämnden gällande behandling av personuppgifter. Om inte annat reglerats ansvarar varje nämnd på egen hand för den behandling som ligger untanför denna överenskommelse.

2. Gemensam behandling

Den gemensamma behandlingen som avses görs för att genomföra NKI-undersökningar (Nöjd-kund-index). Det delade personuppgiftsansvaret gäller från när personuppgifter har skickats in till aktuellt personuppgiftsbiträde för utförande av NKI-undersökningen. Det innebär att respektive nämnd ansvarar för behandlingen var för sig innan uppgifterna skickats in till biträdet.

3. Innebörd av det gemensamma ansvaret

Att vara gemensamt personuppgiftsansvariga innebär att den (individen) vars uppgifter vi hanterar gemensamt kan vända sig till vilken som av parterna för att begära någon av sina rättigheter enligt GDPR¹. Det innebär bland annat rätten att ändra uppgifterna, invända mot behandling eller få informationen om sig raderad. Det innebär också att om någon av parterna missbrukar uppgiftsbehandling i systemet som finns så kan individen vända sig med ett skadeståndsanspråk till vilken som av parteran. Som alltid i den offenltiga

förvaltnignen gäller de här rättigheterna med de begränsningar som framkommer av bland annat Tryckfrihetsförordningen, Offentlighet- och sekretesslagen och Arkivlagen.

4. Aktuell behandling och typ av personuppgifter

Behandlingen innebär att personuppgifter hanteras för att administrera en statistisk undersökning, så kallad NKI-indersökning, hos ett personuppgiftsbiträde. Det förekommer personuppgifter i form av brand annat namn, kontaktuppgifter och personnummer till personer som haft kontakt med nämnderna i egenskap av representanter för företag.

1Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för hur fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).