Torshälla stads nämnd Protokollsutdrag
Sammanträdesdatum
2018-12-18
Sida
1(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
§ 97
Yttrande över remiss - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen (TSN/2018:65)
Förslag till beslut
1. Yttrandet godkänns och översänds till kommunstyrelsen.
2. Kommunstyrelsen föreslås beakta Torshälla stads nämnds synpunkter.
Förslag till kommunfullmäktige
Riktlinjer för hantering av personuppgifter antas.
Ärendebeskrivning
Kultur- och fritidsförvaltning ger i skrivelse, daterad den 15 oktober 2018, förslag till beslut.
Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter.
Torshälla stads nämnds yttrande
Torshälla stads nämnd ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen
Torshälla stads nämnd Protokollsutdrag
Sammanträdesdatum
2018-12-18
Sida
2(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Torshälla stads nämnd menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
Riktlinjerna anger att ”varje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Torshälla stads nämnd menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och
Torshälla stads nämnd Protokollsutdrag
Sammanträdesdatum
2018-12-18
Sida
3(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar
dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar
personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Torshälla stads nämnd ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.” Här bör i förordningen angivna undantag preciseras.
Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter.
Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller
Torshälla stads nämnd Protokollsutdrag
Sammanträdesdatum
2018-12-18
Sida
4(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar Torshälla stads nämnd att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Torshälla stads nämnds synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation
Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från Torshälla stads nämnd har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.
____
Beslutet skickas till:
Kommunstyrelsen
Torshälla stads nämnd 2018-10-15 Kultur- och fritidsförvaltningen
Förvaltningskontoret TSN/2018:65
Per Silvervret Boberg 016-710 13 77
1 (5)
Vi gör Eskilstuna – tillsammans
Torshälla stads nämnd
Yttrande över remiss - Riktlinjer för hantering av personuppgifter
Förslag till beslut
1. Yttrandet, daterat den 15 oktober 2018, godkänns och skickas till kommunstyrelsen.
2. Kommunstyrelsen föreslås beakta Torshälla stads nämnds synpunkter.
Förslag till kommunfullmäktige
Riktlinjer för hantering av personuppgifter antas.
Ärendebeskrivning
Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter.
Torshälla stads nämnds yttrande
Torshälla stads nämnd ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör
Eskilstuna kommun 2018-10-15 2 (5)
Vi gör Eskilstuna – tillsammans
återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Torshälla stads nämnd menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
Riktlinjerna anger att ”varje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett
diariesystem. Torshälla stads nämnd menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.
Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder
Eskilstuna kommun 2018-10-15 3 (5)
Vi gör Eskilstuna – tillsammans
och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar
personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Torshälla stads nämnd ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.” Här bör i förordningen angivna undantag preciseras.
Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter.
Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Eskilstuna kommun 2018-10-15 4 (5)
Vi gör Eskilstuna – tillsammans
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar Torshälla stads nämnd att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Torshälla stads nämnds synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från Torshälla stads nämnd har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.
Beslutet skickas till:
Kommunstyrelsen
KOMMUNLEDNINGSKONTORET
Ulrika Hansson Samordningschef
KULTUR- OCH FRITIDSFÖRVALTNINGEN
Eva Königsson Förvaltningschef
Eskilstuna kommun 2018-10-15 5 (5)
Vi gör Eskilstuna – tillsammans
STADSBYGGNADSFÖRVALTNINGEN
Marianne Hagman Förvaltningschef
Barn- och utbildningsnämnden 2018-11-23 Barn- och utbildningsförvaltningen
Kvalitetsenheten BUN/2018:668
Malin Söderroos, 016-710 28 36
1 (4)
Vi gör Eskilstuna – tillsammans
Barn- och
utbildningsnämnden
Remissvar - Riktlinjer för hantering av
personuppgifter enligt dataskyddsförordningen
Förslag till beslut
Remissvaret antas.
Förslag till Kommunstyrelsen
Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen antas efter föreslagna förtydliganden och kompletteringar.
Ärendebeskrivning
Behandling av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 från den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
(GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Förslaget har remitteras till samtliga nämnder för yttrande.
Remissvar ska ha inkommit till kommunstyrelsen senast den 19 december 2018.
De föreslagna åtgärderna ska rymmas inom befintliga budgetramar.
Remissvar
Förslaget till riktlinjer för hantering av personuppgifter är i huvudsak bra men kan kompletters och förtydligas enligt nedan:
Förslag till förtydliganden
Eskilstuna kommun 2018-11-23 2 (4)
Vi gör Eskilstuna – tillsammans
Under rubriken: ”Personuppgiftsansvariga och dataskyddskoordinator”, andra stycket:
”Kontaktpersonerna ska ha ett tydligt mandat som motsvarar personuppgiftsansvaret”.
Förslag: Att förtydliga vad mandatet och ansvaret innebär i förhållande till de andra rollerna: personuppgiftsansvarig, dataskyddsombud, personuppgiftsbiträde, chefer, systemägare och systemförvaltare, dataskyddskoordinator och medarbetare.
Barn- och utbildningsnämnden har utsedda kontaktansvariga som ska ansvara för att föra registerförteckning för samtliga databehandlingar med personuppgifter utifrån dataskyddsförordningen. Det finns idag även ett nätverk för
kontaktansvariga som samordnas av en utvecklare från Konsult och uppdrag.
Om rollen kontaktansvarig ska ersättas av rollen som kontaktperson behöver detta tydliggöras.
”Konsult och uppdrag ska utse en dataskyddskoordinator med uppgift att vara samordnare för samtliga kontaktpersoner”.
Förslag: Att dataskyddskoordinators roll och ansvar tydliggörs.
Under rubriken: Medarbetare och chefer
Förslag: I riktlinjen står under Medarbetare och chefer att medarbetare framförallt behöver kunna urskilja vad som är en personuppgift. För att
personuppgiftsansvariga ska kunna fullfölja sitt uppdrag behöver medarbetares och chefers ansvar kopplat till dataskyddsförordningen kompletteras till att omfatta mer än så. Exempelvis veta hur de ska hantera personuppgifter på ett säkert sätt, vad de får och inte får göra med personuppgifter.
Om chefer har större ansvar än medarbetare så kan det behöva framgå på något sätt.
Under rubriken: Dataskyddaombud
Förslag: Texten kan kompletteras utifrån Datainspektionens information, att dataskyddsombudet ska samarbeta med datainspektionen, till exempel vid inspektioner, att dataskyddsombudet alltid ska vara inblandat om en organisation ska göra eller överväger att göra en konsekvensbedömning och att
dataskyddsombudet ska vara kontaktperson för personalen inom organisationen.
Under rubriken: Systemägare och systemförvaltares ansvar, fjärde stycket
Eskilstuna kommun 2018-11-23 3 (4)
Vi gör Eskilstuna – tillsammans
”Systemförvaltaren ska förvalta systemet och kontinuerligt informera
systemägaren om händelser och behandlingar som kan påverka den registrerades rättigheter på ett negativt sätt”
Förslag: Texten skulle kunna tydliggöra vilket ansvar systemförvaltarens har för hanteringen av personuppgifter i samband med förvalting av systemet. Texten kan även kompletteras med att även kontaktansvarig kontinuerligt ska informeras av systemförvaltaren om händelser och behandlingar som kan påverka den
registrerades rättigheter på ett negativt sätt, inte bara systemägaren.
Under rubriken: Dokumentation, gallring och arkivering
Förslag: Riktlinjen bör tydliggöra vad, kopplat till samtycken, som ska registreras.
Om förslaget avser samtyckesmallar eller undertecknade samtycken eller något annat.
Under rubriken: Information till registrerade
Förslag: Texten skulle kunna tydliggöra att det finns undantag gällande rätten att få bli bortglömd.
Förslag till kompletteringar
Förslag till ytterligare rubriker med innehåll/hänvisningar till andra beslut eller riktlinjer:
Personuppgiftshantering i sociala medier
Personuppgiftshantering på eskilstuna.se
Personuppgiftshantering på internportalen
Personuppgiftshantering i systemet för e-post/kalender/kontakter Förslag till kompletteringar till befintlig text:
Att dataskyddsombudet ska samråda med datainspektionen innan behandling får påbörjas, om man i konsekvensbedömningen kommer fram till att det finns en hög risk med personuppgiftsbehandlingen.
Information om vilken information som ska lämnas till den registrerade kan kompletteras, se artikel 13 och artikel 14 i dataskyddsförordningen. Exempelvis ska kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud finnas med i informationen.
En rekommendation är även att definitionen om personuppgiftsombud tas bort från riktlinjen då denna roll inte existerar i gällande lagstiftning.
Barn- och utbildningsnämnden föreslår att riktlinjerna antas efter förtydliganden och kompletteringar enligt ovan.
Eskilstuna kommun 2018-11-23 4 (4)
Vi gör Eskilstuna – tillsammans
_______
Beslutet skickas till: Kommunstyrelsen
BARN- OCH UTBILDNINGSFÖRVALTNINGEN
_______________________ ________________________
Ingrid Sköldmo Thomas Åkerblom
Förvaltningschef Kvalitetschef
Stadsbyggnadsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
1(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
SBN/2018:478
§ 230
Yttrande över remiss - Riktlinjer för hantering av personuppgifter
Beslut
1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen.
2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter.
Förslag till kommunfullmäktige
Riktlinjer för hantering av personuppgifter antas.
Ärendebeskrivning
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Stadsbyggnadsnämndens yttrande
Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Stadsbyggnadsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
2(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen.
Riktlinjens övergripande struktur bör omformas och förtydligas, så att
ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Riktlinjerna anger att ”varje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett
diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna
Stadsbyggnadsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
3(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.
Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.”
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett
Stadsbyggnadsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
4(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation
Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen.
---
Beslutet skickas till:
Kommunstyrelsen Akten
Stadsbyggnadsnämnden 2018-12-04 1 (4)
Stadsbyggnadsförvaltningen
HR och kommunikation SBN/2018:478
Pär Mårtensson 016-710 87 94
Vi gör Eskilstuna – tillsammans
Stadsbyggnadsnämnden
Yttrande över remiss - Riktlinjer för hantering av personuppgifter
Förslag till beslut
1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen.
2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter.
Förslag till kommunfullmäktige
Riktlinjer för hantering av personuppgifter antas.
Ärendebeskrivning
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Stadsbyggnadsnämndens yttrande
Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Eskilstuna kommun 2018-12-048 2 (4)
Vi gör Eskilstuna – tillsammans
Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen.
Riktlinjens övergripande struktur bör omformas och förtydligas, så att
ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Riktlinjerna anger att ”varje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett
diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.
Eskilstuna kommun 2018-12-048 3 (4)
Vi gör Eskilstuna – tillsammans
Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.”
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Eskilstuna kommun 2018-12-048 4 (4)
Vi gör Eskilstuna – tillsammans
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen.
STADSBYGGNADSFÖRVALTNINGEN
Marianne Hagman Pär Mårtensson
Förvaltningschef Samordnare
Beslutet skickas till:
Kommunstyrelsen Akten
Socialnämnden Protokollsutdrag
Sammanträdesdatum
2018-11-15
Sida
1(1)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
SOCN/2018:142
§ 112
Yttrande över remiss från kommunstyrelsen - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen
Beslut
Socialnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen
Ärendebeskrivning
Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.
Yttrande
Socialnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.
I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.
_______
Beslutet skickas till: Kommunstyrelsen
Socialnämnden 2018-10-25 Socialförvaltningen
Utveckling och innovation SOCN/2018:142 Kjell Monéus
1 (1)
Vi gör Eskilstuna – tillsammans
Socialnämnden
Yttrande angående förslag till riktlinjer för hantering av personuppgifter
Förslag till beslut
Socialnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen
Ärendebeskrivning
Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.
Yttrande
Socialnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.
I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.
_______
Beslutet skickas till: Kommunstyrelsen SOCIALFÖRVALTNINGEN
Mehmed Hasanbegovic Förvaltningschef
Överförmyndarnämnden Eskilstuna Strängnäs
Protokollsutdrag
Sammanträdesdatum
2018-11-13
Sida
1(1)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
§ 182
Remiss från kommunstyrelsen - Riktlinjer för hantering av personuppgifter enligt
dataskyddsförordningen (KSKF/2018:47) (ÖFNES/2018:126)
Beslut
Överförmyndarnämnden Eskilstuna Strängnäs antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen
Ärendebeskrivning
Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.
Yttrande
Överförmyndarnämnden Eskilstuna Strängnäs anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.
I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.
_______
Beslutet skickas till: Kommunstyrelsen
Socialnämnden 2018-10-25 Socialförvaltningen
Utveckling och innovation ÖFNES/2018:126 Kjell Monéus
1 (1)
Vi gör Eskilstuna – tillsammans
Socialnämnden
Yttrande angående förslag till riktlinjer för hantering av personuppgifter
Förslag till beslut
Överförmyndarnämnden Eskilstuna Strängnäs antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen
Ärendebeskrivning
Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.
Yttrande
Överförmyndarnämnden Eskilstuna Strängnäs anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.
I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.
_______
Beslutet skickas till: Kommunstyrelsen
SOCIALFÖRVALTNINGEN
Mehmed Hasanbegovic Förvaltningschef
Arbetsmarknads- och vuxenutbildningsnämnden
Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
1(1)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
AVN/2018:67
§ 95
Remiss till förslag - Riktlinjer för hantering av personuppgifter (KSKF/2018:47)
(AVN/2018:67) Beslut
Arbetsmarknad- och vuxenutbildningsnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen.
Ärendet
Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.
Yttrande
Arbetsmarknad- och vuxenutbildningsnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.
I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.
Förvaltningen har berett ärendet på arbetsutskottet den 28 november 2018.
Förvaltningen har upprättat en tjänsteskrivelse daterad den 19 november 2018.
Muntlig föredragning av Thure Morin, förvaltningschef _____
Beslutet skickas till: kommunstyrelsen
Arbetsmarknads- och
vuxenutbildningsförvaltningen
Datum Diarienummer
Ledningskansli 2018-11-19
Thure Morin 073-9506078
1 (1)
Postadress Besöksadress
Telefon, växel Fax Mobiltelefon
Alva Myrdals gata 5 016-710 10 00
E-post Webbplats
631 86 Eskilstuna
eskilstuna.se
Eskilstuna – den stolta Fristaden
Yttrande angående förslag till riktlinjer för hantering av personuppgifter
Förslag till beslut
Arbetsmarknad- och vuxenutbildningsnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen
Ärendet
Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.
Yttrande
Arbetsmarknad- och vuxenutbildningsnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.
I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.
Arbetsmarknad- och vuxenutbildningsförvaltningen
Thure Morin Förvaltningschef
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
1(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
§ 89
Remiss - Riktlinjer för hantering av personuppgifter (KFN/2018:165)
Beslut
Yttrandet godkänns och översänds till kommunstyrelsen.
Ärendebeskrivning
Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter.
Kultur- och fritidsnämndens yttrande
Kultur- och fritidsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
2(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
Kultur- och fritidsnämnden menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.
Nämnden anser att kommunstyrelsens övergripande arbete med
informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.
Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring
ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska
förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.
Nämnden menar att det finns frågeställningar att undersöka kring
kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan
överenskommelse eller annat beslut.
Riktlinjerna anger att ”[v]arje nämnd ansvarar för de straff- och
skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.
I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Kultur- och fritidsnämnden menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar
dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.
Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
3(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar
personuppgiftsansvaret” avser. Det är även motiverat att överväga om
kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet
personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.
Kultur- och fritidsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom
konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.” Här bör i förordningen angivna undantag preciseras.
Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter.
Eftersom kultur- och fritidsnämnden bland annat beslutar om föreningsstöd är det oundvikligt att känsliga personuppgifter såsom etniskt ursprung, religiös eller filosofisk övertygelse samt sexualitet och hälsa kan komma att indikeras i registren.
På HR-området är samma sak gällande, till exempel för hanteringen av uppgifter kring fackligt medlemskap. I handlingar som uppstår utifrån medarbetarsamtal kan känsliga uppgifter också finnas. Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.
Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till
diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.
Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.
Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att
”[ä]ven personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.
Kultur- och fritidsnämnden Protokollsutdrag
Sammanträdesdatum
2018-12-12
Sida
4(4)
Vi gör Eskilstuna – tillsammans
Justerandes sign Utdragsbestyrkande
Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på
lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av
personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.
Slutligen menar kultur- och fritidsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.
Finansiering
Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att kultur- och fritidsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.
Konsekvenser för hållbar utveckling och en effektiv organisation
Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.
Samråd kring remissvar
Förslaget till svar från kultur- och fritidsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.
Beslutet skickas till:
Kommunstyrelsen
Kultur- och fritidsnämnden 2018-10-30 Kultur- och fritidsförvaltningen
Förvaltningskontoret KFN/2018:165
Per Silvervret Boberg 016-710 13 77
1 (4)
Vi gör Eskilstuna – tillsammans
Kultur- och fritidsnämnden
Yttrande över remiss - Riktlinjer för hantering av personuppgifter
Förslag till beslut
Yttrandet godkänns och översänds till kommunstyrelsen.
Ärendebeskrivning
Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december 2018.
Behandlingar av personuppgifter regleras i Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter (GDPR).
Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.
Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter.
Kultur- och fritidsnämndens yttrande
Kultur- och fritidsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.
Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet