Yttrande över remiss - Riktlinjer för hantering av personuppgifter
Förslag till beslut
1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen.
2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter.
Förslag till kommunfullmäktige
Riktlinjer för hantering av personuppgifter antas.
Ärendebeskrivning
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Stadsbyggnadsnämndens yttrande
Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Eskilstuna kommun 2018-12-048 2 (4)
Vi gör Eskilstuna – tillsammans
Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen.
Riktlinjens övergripande struktur bör omformas och förtydligas, så att
ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Riktlinjerna anger att ”varje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett
diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.
Eskilstuna kommun 2018-12-048 3 (4)
Vi gör Eskilstuna – tillsammans
Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.”
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Eskilstuna kommun 2018-12-048 4 (4)
Vi gör Eskilstuna – tillsammans
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen.
STADSBYGGNADSFÖRVALTNINGEN
Marianne Hagman Pär Mårtensson
Förvaltningschef Samordnare
Beslutet skickas till:
Kommunstyrelsen Akten
Socialnämnden Protokollsutdrag
Sammanträdesdatum
2018-11-15
Sida
1(1)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
SOCN/2018:142