Svar på årsrapport till nämnd angående dataskydd

Förskolenämnden ^Datum Diarienummer

Barn- och utbildningsförvaltningen 2021-03-11 FSN/2021:27

Kvalitet och kommunikation Handlingsnummer

Elenor Öberg Nielsen 016-710 65 06 2021:162

1 (2)

Förskolenämnden

Svar på årsrapport till nämnd angående dataskydd

Förslag till beslut

Svar på årsrapporten godkänns och översänds till Dataskyddsombudet.

Ärendebeskrivning

Dataskyddsombudet är en roll som är obligatoriskt i kommuner och har bland annat som uppgift att ge råd och information till organisationen om deras skyldigheter samt övervaka efterlevnaden av dataskyddsförordningen. Som en del i att övervaka

efterlevnaden av dataskyddförordningen genomför därför dataskyddsombudet en kontroll av nämndens arbete med dataskyddsförordningen. Kontrollen består av fem moment och summeras i en rapport som inkom till personuppgiftsansvarig, det vill säga nämnden den 26 februari 2021.

Utförda kontroller av efterlevnad av regelverk för dataskydd



Kontrollen gällde rutiner och efterlevnad av rutiner för hantering av personuppgiftsincidenter.

Inga avvikelser finns att rapportera.

 Personuppgiftsbiträdesavtal

Kontrollen gäller huruvida aktuella personuppgiftsavtal finns med de biträden som anlitas.

Enligt uppgift finns aktuella personuppgiftsbiträdesavtal med samtliga personuppgiftsbiträden.

 Registerförteckning

Nämnden har en registerförteckning. Viss komplettering behövs.

Eskilstuna kommun 2021-03-11 2 (2)

Min rekommendation är att registerförteckningen kompletteras med de uppgifter som saknas.



Förskolenämnden har en dataskyddssamordnare och uppfyller därmed kravet.

Att arbeta med dataskyddsfrågor och upprätthålla ett tillräckligt skydd för registrerade personer samt bistå inför nya behandlingar kan vara ett tidskrävande uppdrag. Det är viktigt att dataskyddssamordnaren få avsätta tillräckligt med tid för arbetet. Att vara dataskyddssamordnare är ett stort uppdrag.

 Övriga observationer, konsekvensbedömningar

Enligt artikel 35 i dataskyddsförordningen behöver en konsekvensbedömning göras om en behandling kan leda till höga risker för de registrerade, dvs de personer vars personuppgifter behandlas. Syftet med konsekvensbedömningar är att identifiera risker och konsekvenser för personer och ta fram åtgärder för att förhindra att riskerna uppstår.

Konsekvensbedömningar av nämndens verksamhetssystem har gjorts.

Förskolenämndens svar till dataskyddsombudet

Angående registerförteckningen så har förteckningen uppdaterats efter att kontrollen genomfördes. Registerförteckningen hålls ständigt aktualiserad och uppdateras löpande bland annat vid signering av personuppgiftsbiträdestal.

I förvaltningen pågår ett gediget arbete med att kartlägga arbetet med

dataskyddsförordningen, syftet med kartläggningen är att skapa kvalitetssäkra rutiner och öka kunskapen bland medarbetarna gällande dataskydd.

_____

Beslutet skickas till:

Dataskyddsombudet

BARN- OCH UTBILDNINGSFÖRVALTNINGEN

Ingrid Sköldmo Tina Persson

Förvaltningschef Skolchef

Servicenämnden 2021-02-25 1 (5) Serviceförvaltningen

Planeringsenheten

Charlotte Nilsson, 016-710 30 79

Årsrapport 2020 avseende dataskydd hos FSN

Årsrapport avseende dataskydd hos Förskolenämnden

EU:s dataskyddsförordning (GDPR) gäller som lag i samtliga EU-länder, inklusive Sverige. Den har sina rötter i Europakonventionen om de mänskliga rättigheterna och finns till för att skydda enskildas (de registrerades) grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Syftet är att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.

Varje behandling av personuppgifter behöver uppfylla dataskyddsförordningen och dess grundläggande principer. Dessa är i korthet att personuppgiftsansvarig:

 måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter

 bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål

 inte ska behandla fler personuppgifter än vad som behövs för ändamålen

 ska se till att personuppgifterna är riktiga

 ska radera personuppgifterna när de inte längre behövs

 ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

 ska kunna visa att och hur ni lever upp till dataskyddsförordningen.

Kommunens personuppgiftsansvariga, dvs nämnderna, har ansvaret för att dataskyddsförordningen följs. Om kommunen inte följer dataskyddsförordningen finns det en risk att de registrerades personliga integritet utsätts för risker.

Dataskyddsombudet är en roll som är obligatorisk i kommuner. Rollens uppdrag är att ge råd och information till organisationen om deras skyldigheter enligt förordningen och att övervaka efterlevnaden samt att vara kontaktpunkt för

Integritetsskyddsmyndigheten, IMY (f.d. Datainspektionen). Rollen är oberoende och finns för de registrerades skull och är ett kunskapsstöd för organisationen.

Det är i egenskap av rollen som dataskyddsombud som jag har skrivit denna

årsrapport. Årsrapporten inbegriper även innehåll från delårsrapporten. Då kontroller från hela året ingår är det inte säkert att eventuella brister kvarstår.

Eskilstuna kommun 2021-02-25 2 (5)

Utförda kontroller av efterlevnad av regelverk för dataskydd

I dataskyddsombudets arbetsuppgifter ingår enligt artikel 39 att

”Att övervaka efterlevnaden av denna förordning, av andra av unionens eller

medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet

ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.”

Ett led i övervakandet är att göra kontroller.

Rutiner för personuppgiftsincidenter

Arbetet med personuppgiftsincidenter styrs av artikel 33 och 34 i

dataskyddsförordningen. Om personuppgifter inte behandlas på ett korrekt och säkert sätt utsätts registrerade personer för risker för människors friheter och rättigheter.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

 blivit förstörda

 gått förlorade på annat sätt

 kommit i orätta händer

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt utan det räknas som personuppgiftsincidenter i båda fallen.

Om det inte är osannolikt att incidenten leder till en risk för personen ska incidenten enligt artikel 33 i dataskyddsförordningen anmälas till IMY inom 72 timmar. Om incidenten innebär en hög risk för den registrerades friheter och rättigheter ska de registrerade informeras.

Eskilstuna kommun har en kommunövergripande rutin för hantering av personuppgiftsincidenter.

Kontroll

Kontrollen gällde rutiner och efterlevnad av rutiner för hantering av personuppgiftsincidenter.

Resultat

Inga avvikelser finns att rapportera.

Personuppgiftsbiträdesavtal

I vissa fall anlitar personuppgiftsansvariga personuppgiftsbiträden som behandlar personuppgifter för deras räkning. Det kan t ex gälla ett IT-system, en digital tjänst eller en konsult.

Eskilstuna kommun 2021-02-25 3 (5)

Årsrapport 2020 avseende dataskydd hos FSN

Enligt dataskyddsförordningen ”ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder”.

När uppgifter behandlas av ett personuppgiftsbiträde skrivs ett personuppgiftsbiträdesavtal där instruktioner ges för hanteringen

Biträdet får endast ”behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation,…”

Kommunen har en mall för personuppgiftsbiträdesavtal som är baserad på SKR:s mall.

Kontroll

Kontrollen gäller huruvida aktuella personuppgiftsavtal finns med de biträden som anlitas.

Resultat

Enligt uppgift finns aktuella personuppgiftsbiträdesavtal med samtliga personuppgiftsbiträden.

Registerförteckning, artikel 30-register

Enligt dataskyddsförordningen artikel 30 gäller att ”Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar.”

Syftet med kontrollen var att se om nämnden har en registerförteckning och om den är komplett och aktuell, och om kravet enligt artikel 30 därmed är uppfyllt.

Resultat

Nämnden har en registerförteckning. Viss komplettering behövs.

Rekommendation

Min rekommendation är att registerförteckningen kompletteras med de uppgifter som saknas.

Organisation för dataskydd

I kommunens Riktlinjer för behandling av personuppgifter framgår att varje nämnd ska utse en dataskyddssamordnare. Detta dokument har under året kompletterats med Anvisning för behandling av personuppgifter och i detta dokument framgår under rubriken Dataskyddssamordnare att varje ”PUA (/varje nämnd) ska utse en eller flera personer inom förvaltningen som hanterar frågorna rörande dataskyddsförordningen.”

Resultat

Nämnden har dataskyddssamordnare och uppfyller därmed kravet.

Eskilstuna kommun 2021-02-25 4 (5)

Rekommendation

Att arbeta med dataskyddsfrågor och upprätthålla ett tillräckligt skydd för registrerade personer samt bistå inför nya behandlingar kan vara ett tidskrävande uppdrag. Det är viktigt att dataskyddssamordnaren få avsätta tillräckligt med tid för arbetet.

Övriga observationer

Konsekvensbedömningar

Enligt artikel 35 i dataskyddsförordningen behöver en konsekvensbedömning göras om en behandling kan leda till höga risker för de registrerade, dvs de personer vars personuppgifter behandlas. Syftet med konsekvensbedömningar är att identifiera risker och konsekvenser för personer och ta fram åtgärder för att förhindra att riskerna uppstår.

Konsekvensbedömningar av nämndens verksamhetssystem har gjorts.

Information

Under sommaren 2020 skedde årets största händelse inom dataskyddsområdet genom en dom i EU-domstolen som ger stora konsekvenser för hela EU.

Överföring av personuppgifter till tredje land

I normalfallet är det olagligt att föra över personuppgifter till så kallat tredje land, det vill säga länder utanför EU och EES. Det krävs att det finns en grund och att vissa krav uppfylls.

Den 16 juli 2020 kom en dom från EU-domstolen som sa att Privacy Shield hade ogiltigförklarats. Privacy Shield var en överenskommelse mellan EU och USA som gjorde det lagligt att föra över personuppgifter till anslutna företag i USA. En liknande överenskommelse fanns längre tillbaka och även den blev ogiltigförklarad. Detta innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att föra över personuppgifter till mottagare i USA med Privacy Shield som grund. Anledningen är att USA:s övervakningslagar inte stämmer överens med EU:s integritetslagar. Detta gör att det i nuläget är svårt att finna ett lagligt sätt att föra över personuppgifter.

EU-domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES men att det i samband med användandet av dem i sin nuvarande form kan behövas ytterligare skyddsåtgärder. Så är fallet om mottagarlandet genom sin lagstiftning eller praxis inte kan anses ha en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU och EES. Dessa gäller inte för ett specifikt land. Det är varje

personuppgiftsansvarigs ansvar att säkerställa att det blir lagligt. Europeiska

Dataskyddsstyrelsen arbetar på att ta fram sådana skyddsåtgärder. I skrivandes stund är det dock inte klarlagt att eller hur det blir möjligt att föra över personuppgifter till USA. All överföring till tredje länder kräver att personuppgiftsansvarig gör noggranna analyser.

Exempel på vad som räknas som överföring till tredje land:

Eskilstuna kommun 2021-02-25 5 (5)

Årsrapport 2020 avseende dataskydd hos FSN

 när man använder en systemleverantör, ett personuppgiftsbiträde, som lagrar kommunens personuppgifter på servrar i ett tredje land, eller inom EU men med åtkomst från tredje land för t ex support och systemutvecklare. Det kan gälla stora verksamhetssystem så väl som olika digitala tjänster videokonferens och vanliga kontorsprogram för t ex ordbehandling.

 när man har konsulter som har underbiträden med koppling till tredje land.

 när s k cookies, analysverktyg mm på webbsidor för över personuppgifter t ex i form av IP-adresser.

 När man skickar e-post med personuppgifter till ett tredje land.

Europeiska Dataskyddsstyrelsen tar fram vägledningar som stöd till de organisationer som drabbades av domens konsekvenser. De ger dock ingen lösning utan varje personuppgiftsansvarig behöver göra sina analyser och fatta sina beslut.

Hänsyn till detta behöver tas i bl a projekt och upphandlingar då det idag är vanligt att leverantörer antingen ägs i tredje land eller har underbiträden i tredje land. Ett

ställningstagande behövs inför varje behandling eller system som kommunen införskaffar.

Personuppgiftsansvariga behöver även ha kännedom om överföring till tredje land förekommer idag och i så fall vidta lämpliga åtgärder.

Dataskyddsombudets arbete i kommunen under 2020

Under 2020 har mitt arbete bestått av följande:

 Stöd i frågor om dataskydd i korta så väl som mer tidskrävande ärenden.

 Givit råd och övervakat vid dataskyddsarbete på kommunövergripande nivå och förvaltningsnivå. T ex i upphandlingar och projekt, samt vid framtagande av styrande dokument.

 Skrivit olika informationsdokument och checklistor om behandling av personuppgifter utifrån dataskyddsförordningen.

 Tagit fram mallar.

 Skrivit nyhetsbrev med olika teman.

 Informerat om dataskydd.

 Omvärldsbevakat och hållit mig uppdaterad inom dataskyddsområdet.

 Utfört kontroller.

 Genomfört utbildningar för nyckelpersoner och vissa andra kategorier av medarbetare.

 Svarat på frågor från registrerade.

Servicenämnden 2021-02-25 1 (2) Serviceförvaltningen

Planeringsenheten

Charlotte Nilsson, 016-710 30 79

Årsrapport till nämnden angående dataskydd

EU:s dataskyddsförordning (GDPR) gäller som lag i samtliga EU-länder, inklusive Sverige. Den har sina rötter i Europakonventionen om de mänskliga rättigheterna och finns till för att skydda enskildas (de registrerades) grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Varje behandling av personuppgifter behöver uppfylla dataskyddsförordningen och dess grundläggande principer.

Det finns krav i förordningen att vissa typer av organisationer, så som kommuner måste ha ett dataskyddsombud som är en oberoende roll med uppdraget att ge råd och informera utifrån dataskyddsförordningen och övervaka att organisationen följer den.

Kommunens personuppgiftsansvariga, dvs nämnderna, har ansvaret för att dataskyddsförordningen följs.

Som dataskyddsombud rapporterar jag till samtliga 14 nämnder om dataskyddet och uppfyllandet av dataskyddsförordningen samt övriga bestämmelser som gäller skyddet av personuppgifter. Under hösten fick nämnderna en delårsrapport och detta är en helårsrapport för 2020. Innehållet är avgränsat enligt nedan och inte en fullständig rapport över allt som gjorts inom dataskydd under året.

Gången för årsrapporteringen är följande:

 I mitten av januari lämnas årsrapporten för föregående år till förvaltningschef för genomläsning.

 Under andra halvan av januari samt under februari genomförs dialog om

innehållet i rapporten mellan förvaltningschef och dataskyddsombud då innehållet diskuteras och förvaltningschef har möjlighet att lämna sina synpunkter. Vid detta tillfälle diskuteras även vad som är på gång i förvaltningen under 2021 som dataskyddsombudet behöver ha med i sin plan.

 Runt månadsskiftet februari – mars lämnas årsrapporten till nämnsekreteraren inför april månads nämndsammanträde, utifrån nämndernas tidsplan.

 Under april går rapporten upp på nämndsammanträde.

Eskilstuna kommun 2021-02-25 2 (2)

Brev Årsrapport 2020 från dataskyddsombudet

 Nämnden har möjlighet att lämna ett svar men det är inget formellt steg och är valfritt.

Denna rapport innehåller:

 Resultatet av gjorda kontroller under 2020.

 Rekommendationer utifrån gjorda kontroller.

 Information.

Med vänlig hälsning Charlotte Nilsson Dataskyddsombud