Sida
TJÄNSTESKRIVELSE 1 (3)
KS
2018-03-15 Kommunledningsförvaltningen
Hörby kommun 242 80 Hörby| Besöksadress: Ringsjövägen 4 | Tel: 0415-37 80 00 | Fax: 0415-134 77 kommunen@horby.se | www.horby.se
Kommunstyrelsen
Information om Dataskyddsförordningen – beslut om Dataskyddsombud
Förslag till beslut
Kommunstyrelsens arbetsutskott föreslår kommunstyrelsen besluta att:
- Utse Josefine Persson, Utredare på Kommunledningsförvaltningen, till Dataskyddsombud för Kommunstyrelsen.
-
Godkänna informationen om Dataskyddsförordningen.Ärendebeskrivning
Från och med den 25 maj 2018 träder en ny Dataskyddsförordning (GDPR) i kraft och den ersätter då den svenska personuppgiftslagen. Alla som hanterar
personuppgifter i någon form är enligt Dataskyddsförordningen skyldiga att sörja för att alla behandlingar av personuppgifter uppfyller lagens krav, praxis och god sed.
Mycket i dataskyddsförordningen liknar de regler som finns i
personuppgiftslagen. På samma sätt som idag får man behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning. De registrerade kommer även i fortsättningen att ha rätt att få information om den personuppgiftsbehandling som sker och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.
Bakgrund
Hörby kommun har tillsatt en projektgrupp där samtliga förvaltningar är representerade som arbetar med den nya Dataskyddsförordningen enligt följande:
Inventering:
Detaljerad kartläggning av alla register, system och dokument där
personuppgifter förekommer. Observera att detta gäller elektroniska såväl som fysiska handlingar och dokument.
Sida
TJÄNSTESKRIVELSE 2 (3)
Dnr
2018-03-15
Dnr KS 2014-255Kommunledningsförvaltningen
Utvärdering:
Utvärdering av inventeringen. Denna ska säkerställa om behandlingen av personuppgifterna är laglig, att de följer god sed, att gallringsrutiner finns, etc.
Åtgärdsplan:
Syftet med åtgärdsplanen är att tillse att behandlingen är tillåten enligt Dataskyddsförordningen.
Registerförteckning:
Registerförteckning, med beskrivning av syfte och innehåll för varje behandling av personuppgifter i kommunen.
Förvaltning:
För att upprätthålla en god standard av personuppgiftsbehandlingar behöver man uppdatera rutiner och underhålla register och registerförteckningar löpande. Man behöver även upprätta rutindokument kring arbetsuppgifter och ansvar gällande Dataskyddsförordningen, för att säkerställa att arbetet kan utföras även om nyckelpersoner lämnar kommunen.
Analys och förslag
Dataskyddsförordningen innehåller några viktiga nyheter:
När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter som finns om den registrerade – Register.
Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka
konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna – Konsekvensbedömning.
Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade – Dataskyddsincident.
En myndighet som behandlar personuppgifter måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor - Dataskyddsombud.
Datainspektionen kan komma att utdöma en avgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig
överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter –
Sanktionsavgift.
Sida
TJÄNSTESKRIVELSE 3 (3)
Dnr
2018-03-15
Dnr KS 2014-255Kommunledningsförvaltningen
I personuppgiftslagen finns en förenklad regel för behandling av
personuppgifter i löpande text och enkla listor. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när
dataskyddsförordningen träder ikraft - Missbruksregeln.
En myndighet bör ta fram ett särskilt dokument och så långt som möjligt bygga in integritetsvänliga lösningar i sina system – Dataskyddspolicy.
Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som
personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde – Personuppgiftsbiträdesavtal.
En övergripande tanke med de nya reglerna är att tydligare betona att den myndighet som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och kunna visa det.
Förvaltningens förslag till beslut
Kommunstyrelsens arbetsutskott föreslår kommunstyrelsen besluta att:
Utse Josefine Persson, Utredare på Kommunledningsförvaltningen, till Dataskyddsombud för Kommunstyrelsen.
Godkänna informationen om Dataskyddsförordningen.
Beslutet skickas till
Datainspektionen.Kansli- och ledningsstöd.
Josefine Persson
Josefine Persson Göran Malmström
Utredare Personalchef