97 Yttrande över remiss - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen (TSN/2018:65)

(1)

Torshälla stads nämnd Protokollsutdrag

Sammanträdesdatum

2018-12-18

Sida

1(4)

Vi gör Eskilstuna – tillsammans

Justerandes sign Utdragsbestyrkande

§ 97 Yttrande över remiss - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen (TSN/2018:65)

Förslag till beslut

1. Yttrandet godkänns och översänds till kommunstyrelsen.

2. Kommunstyrelsen föreslås beakta Torshälla stads nämnds synpunkter.

Förslag till kommunfullmäktige

Riktlinjer för hantering av personuppgifter antas.

Ärendebeskrivning

Kultur- och fritidsförvaltning ger i skrivelse, daterad den 15 oktober 2018, förslag till beslut.

Kommunstyrelsen har remitterat Riktlinjer för hantering av personuppgifter till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda 19 december 2018.

Behandlingar av personuppgifter regleras i Europaparlamentets och rådets

förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana

uppgifter (GDPR).

Syftet med förordningen är dels att man vill stärka privatpersoners rättigheter genom att förenkla och ge dem bättre kontroll över sina personuppgifter, dels att anpassa regelverket till den tekniska utvecklingen.

Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter.

Torshälla stads nämnds yttrande

Torshälla stads nämnd ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen

(2)

Sammanträdesdatum

2018-12-18

Sida

2(4)

och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.

Torshälla stads nämnd menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.

Nämnden anser att kommunstyrelsens övergripande arbete med

informationssäkerhet och de funktioner som är kopplade till det arbetet bör länkas till arbetet med personuppgifter i de föreslagna riktlinjerna.

Eftersom varje nämnd utgör en egen myndighet uppstår flera frågor kring

ansvarsfördelningar och mandat. Det är positivt att riktlinjerna beskriver tydligt hur hanteringen av personuppgifter som är gemensamma för flera nämnder ska

förtecknas och diarieföras. I de fall då en förvaltning arbetar på uppdrag av flera nämnder behöver dock riktlinjen kunna tillämpas med tydligt urskiljande av respektive nämnds ansvar.

Nämnden menar att det finns frågeställningar att undersöka kring

kommunövergripande it-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan

överenskommelse eller annat beslut.

Riktlinjerna anger att ”varje nämnd ansvarar för de straff- och

skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter”. Detta blir inte möjligt att tillämpa om inte ansvarsfördelningen (för nämnder och system) tydliggörs.

I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Torshälla stads nämnd menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och

(3)

Sammanträdesdatum

2018-12-18

Sida

3(4)

digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar

dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.

Relationen mellan Dataskyddsförordningens krav på lagringsminimering och myndigheters arkivering av handlingar för bevaring för eftervärlden behöver också preciseras i riktlinjerna.

I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktperson som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar

personuppgiftsansvaret” avser. Det är även motiverat att överväga om

kontaktperson ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet

personuppgiftsansvariges ”företrädare”. Det behöver förtydligas om detta är kontaktansvarig eller folkvald person i nämnden.

Torshälla stads nämnd ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom

konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.” Här bör i förordningen angivna undantag preciseras.

Under avsnittet Definitioner anges kategorierna för känsliga personuppgifter.

Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.

Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att exakt matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till

diskrimineringsgrunderna endast använda begreppet etnicitet i sina styrdokument.

Nämnden menar även att begrepp såsom registerförteckning bör beskrivas i definitionslistan.

Under avsnittet Kartläggning av personuppgifter i en registerförteckning anges att

”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller

(4)

Sammanträdesdatum

2018-12-18

Sida

4(4)

lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.

Nämnden observerar att det behövs rutiner på varje förvaltning för hanteringen av e-post och hemkataloger, för att Dataskyddsförordningens krav på

lagringsminimering ska kunna efterlevas. Likaså bör det framgå av riktlinjerna att nämndernas delegationsordningar ska uppdateras med hanteringen av

personuppgiftsbiträdesavtal och beslut kring nya typer av behandlingar av personuppgifter. Förvaltningarna bör även i riktlinjerna ges ansvaret att se över nämndernas dokumenthanteringsplaner med hanteringen av personuppgifter i särskilt beaktande.

Slutligen menar Torshälla stads nämnd att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.

Finansiering

Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Torshälla stads nämnds synpunkt kring skrivningar om hantering av samtycken beaktas.

Konsekvenser för hållbar utveckling och en effektiv organisation

Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.

Samråd kring remissvar

Förslaget till svar från Torshälla stads nämnd har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.

____

Beslutet skickas till:

Kommunstyrelsen

(5)

Torshälla stads nämnd 2018-10-15 Kultur- och fritidsförvaltningen

Förvaltningskontoret TSN/2018:65

Per Silvervret Boberg 016-710 13 77

1 (5)

Torshälla stads nämnd

Yttrande över remiss - Riktlinjer för hantering av personuppgifter

Förslag till beslut

1. Yttrandet, daterat den 15 oktober 2018, godkänns och skickas till kommunstyrelsen.

2. Kommunstyrelsen föreslås beakta Torshälla stads nämnds synpunkter.

Förslag till kommunfullmäktige

Ärendebeskrivning

uppgifter (GDPR).

Torshälla stads nämnds yttrande

Torshälla stads nämnd ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör

(6)

Eskilstuna kommun 2018-10-15 2 (5)

återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.

Torshälla stads nämnd menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.

I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem. Samtycken måste vara enkla att hantera oavsett

diariesystem. Torshälla stads nämnd menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.

Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder

(7)

och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.

Torshälla stads nämnd ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom

Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.

”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.

(8)

Slutligen menar Torshälla stads nämnd att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.

Finansiering

Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Torshälla stads nämnds synpunkt kring skrivningar om hantering av samtycken beaktas.

Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.

Samråd kring remissvar

Förslaget till svar från Torshälla stads nämnd har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.

Kommunstyrelsen

KOMMUNLEDNINGSKONTORET

Ulrika Hansson Samordningschef

KULTUR- OCH FRITIDSFÖRVALTNINGEN

Eva Königsson Förvaltningschef

(9)

STADSBYGGNADSFÖRVALTNINGEN

Marianne Hagman Förvaltningschef

(10)

(11)

(12)

(13)

(14)

Barn- och utbildningsnämnden 2018-11-23 Barn- och utbildningsförvaltningen

Kvalitetsenheten BUN/2018:668

Malin Söderroos, 016-710 28 36

1 (4)

Barn- och

utbildningsnämnden

Remissvar - Riktlinjer för hantering av

personuppgifter enligt dataskyddsförordningen

Förslag till beslut

Remissvaret antas.

Förslag till Kommunstyrelsen

Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen antas efter föreslagna förtydliganden och kompletteringar.

Ärendebeskrivning

Behandling av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 från den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

(GDPR).

Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter. Förslaget har remitteras till samtliga nämnder för yttrande.

Remissvar ska ha inkommit till kommunstyrelsen senast den 19 december 2018.

De föreslagna åtgärderna ska rymmas inom befintliga budgetramar.

Remissvar

Förslaget till riktlinjer för hantering av personuppgifter är i huvudsak bra men kan kompletters och förtydligas enligt nedan:

Förslag till förtydliganden

(15)

Under rubriken: ”Personuppgiftsansvariga och dataskyddskoordinator”, andra stycket:

”Kontaktpersonerna ska ha ett tydligt mandat som motsvarar personuppgiftsansvaret”.

Förslag: Att förtydliga vad mandatet och ansvaret innebär i förhållande till de andra rollerna: personuppgiftsansvarig, dataskyddsombud, personuppgiftsbiträde, chefer, systemägare och systemförvaltare, dataskyddskoordinator och medarbetare.

Barn- och utbildningsnämnden har utsedda kontaktansvariga som ska ansvara för att föra registerförteckning för samtliga databehandlingar med personuppgifter utifrån dataskyddsförordningen. Det finns idag även ett nätverk för

kontaktansvariga som samordnas av en utvecklare från Konsult och uppdrag.

Om rollen kontaktansvarig ska ersättas av rollen som kontaktperson behöver detta tydliggöras.

”Konsult och uppdrag ska utse en dataskyddskoordinator med uppgift att vara samordnare för samtliga kontaktpersoner”.

Förslag: Att dataskyddskoordinators roll och ansvar tydliggörs.

Under rubriken: Medarbetare och chefer

Förslag: I riktlinjen står under Medarbetare och chefer att medarbetare framförallt behöver kunna urskilja vad som är en personuppgift. För att

personuppgiftsansvariga ska kunna fullfölja sitt uppdrag behöver medarbetares och chefers ansvar kopplat till dataskyddsförordningen kompletteras till att omfatta mer än så. Exempelvis veta hur de ska hantera personuppgifter på ett säkert sätt, vad de får och inte får göra med personuppgifter.

Om chefer har större ansvar än medarbetare så kan det behöva framgå på något sätt.

Under rubriken: Dataskyddaombud

Förslag: Texten kan kompletteras utifrån Datainspektionens information, att dataskyddsombudet ska samarbeta med datainspektionen, till exempel vid inspektioner, att dataskyddsombudet alltid ska vara inblandat om en organisation ska göra eller överväger att göra en konsekvensbedömning och att

dataskyddsombudet ska vara kontaktperson för personalen inom organisationen.

Under rubriken: Systemägare och systemförvaltares ansvar, fjärde stycket

(16)

”Systemförvaltaren ska förvalta systemet och kontinuerligt informera

systemägaren om händelser och behandlingar som kan påverka den registrerades rättigheter på ett negativt sätt”

Förslag: Texten skulle kunna tydliggöra vilket ansvar systemförvaltarens har för hanteringen av personuppgifter i samband med förvalting av systemet. Texten kan även kompletteras med att även kontaktansvarig kontinuerligt ska informeras av systemförvaltaren om händelser och behandlingar som kan påverka den

registrerades rättigheter på ett negativt sätt, inte bara systemägaren.

Under rubriken: Dokumentation, gallring och arkivering

Förslag: Riktlinjen bör tydliggöra vad, kopplat till samtycken, som ska registreras.

Om förslaget avser samtyckesmallar eller undertecknade samtycken eller något annat.

Under rubriken: Information till registrerade

Förslag: Texten skulle kunna tydliggöra att det finns undantag gällande rätten att få bli bortglömd.

Förslag till kompletteringar

Förslag till ytterligare rubriker med innehåll/hänvisningar till andra beslut eller riktlinjer:

 Personuppgiftshantering i sociala medier

 Personuppgiftshantering på eskilstuna.se

 Personuppgiftshantering på internportalen

 Personuppgiftshantering i systemet för e-post/kalender/kontakter Förslag till kompletteringar till befintlig text:

Att dataskyddsombudet ska samråda med datainspektionen innan behandling får påbörjas, om man i konsekvensbedömningen kommer fram till att det finns en hög risk med personuppgiftsbehandlingen.

Information om vilken information som ska lämnas till den registrerade kan kompletteras, se artikel 13 och artikel 14 i dataskyddsförordningen. Exempelvis ska kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud finnas med i informationen.

En rekommendation är även att definitionen om personuppgiftsombud tas bort från riktlinjen då denna roll inte existerar i gällande lagstiftning.

Barn- och utbildningsnämnden föreslår att riktlinjerna antas efter förtydliganden och kompletteringar enligt ovan.

(17)

_______

Beslutet skickas till: Kommunstyrelsen

BARN- OCH UTBILDNINGSFÖRVALTNINGEN

_______________________ ________________________

Ingrid Sköldmo Thomas Åkerblom

Förvaltningschef Kvalitetschef

(18)

Stadsbyggnadsnämnden Protokollsutdrag

Sammanträdesdatum

2018-12-12

Sida

1(4)

SBN/2018:478

§ 230 Yttrande över remiss - Riktlinjer för hantering av personuppgifter

Beslut

1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen.

2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter.

Förslag till kommunfullmäktige

Ärendebeskrivning

Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december 2018.

Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR).

Stadsbyggnadsnämndens yttrande

Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

(19)

Sammanträdesdatum

2018-12-12

Sida

2(4)

Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen.

Riktlinjens övergripande struktur bör omformas och förtydligas, så att

ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.

Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.

kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan

diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna

(20)

Sammanträdesdatum

2018-12-12

Sida

3(4)

hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.

Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.

I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar personuppgiftsansvaret” avser. Det är även motiverat att överväga om

kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet

Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom

konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.”

Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till

”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett

(21)

Sammanträdesdatum

2018-12-12

Sida

4(4)

manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.

Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.

Finansiering

Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.

Konsekvenser för hållbar utveckling och en effektiv organisation

Samråd kring remissvar

Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen.

---

Kommunstyrelsen Akten

(22)

Stadsbyggnadsnämnden 2018-12-04 1 (4)

Stadsbyggnadsförvaltningen

HR och kommunikation SBN/2018:478

Pär Mårtensson 016-710 87 94

Stadsbyggnadsnämnden

Yttrande över remiss - Riktlinjer för hantering av personuppgifter

Förslag till beslut

1. Yttrandet, daterat den 4 december 2018, godkänns och skickas till kommunstyrelsen.

2. Kommunstyrelsen föreslås beakta Stadsbyggnadsnämndens synpunkter.

Förslag till kommunfullmäktige

Ärendebeskrivning

Kommunledningskontoret har arbetat fram ett förslag till riktlinjer för hantering av personuppgifter och remitterat det till nämnden för yttrande. Yttrandet ska vara Kommunstyrelsen tillhanda den 19 december 2018.

Behandlingar av personuppgifter regleras i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR).

Stadsbyggnadsnämndens yttrande

Stadsbyggnadsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

(23)

Nämnden har dock några synpunkter på förslaget. I riktlinjen bör kontaktperson ersättas med kontaktansvarig då det är den benämning som bestämts inom kommunen för rollen.

Riktlinjens övergripande struktur bör omformas och förtydligas, så att

ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter tydligt framgår. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktansvariges ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.

Stadsbyggnadsnämnden menar att riktlinjen ska ge varje förvaltning styrning för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.

kommunövergripande IT-system. Om varje nämnd ansvarar för straff- och skadeståndssanktioner som kan uppkomma på grund av felaktig behandling av personuppgifter, och kommunstyrelsen eller den kommande servicenämnden ska vara systemägare för ”kommunövergripande system”, bär då kommunstyrelsen eller servicenämnden också personuppgiftsansvaret? Om dessa myndigheter inte bär personuppgiftsansvaret behöver det undersökas om ansvarsrelationerna mellan myndigheterna behöver regleras genom personuppgiftsbiträdesavtal, annan

diariesystem. Stadsbyggnadsnämnden menar att uppgiften enkelt måste kunna hanteras digitalt, utifrån en kommungemensam rutin, vid respektive förvaltning.

(24)

Den kommungemensamma rutinen behöver vara enkel att följa vid registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i kommunens nuvarande ärendehanteringssystem skulle öka registratorernas arbetsbelastning på ett markant sätt. Ärendehanteringssystemet saknar dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.

I avsnittet Personuppgiftsansvariga och dataskyddskoordinator beskrivs rollen för den kontaktansvarig som nämnden har utsett för dataskyddsfrågorna. Denna behöver dock förtydligas så att det framgår vad ”ett tydligt mandat som motsvarar personuppgiftsansvaret” avser. Det är även motiverat att överväga om

kontaktansvarig ska utses i varje förvaltning i stället för av varje nämnd, eftersom vissa förvaltningar arbetar eller kommer att arbeta på uppdrag av två eller flera nämnder. Det är viktigt att man genomgående i dokumentet tydliggör vilken funktion som avses. Exempelvis används i ett stycke begreppet

Stadsbyggnadsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom

konsekvensbedömning framgår att ”Behandling av känsliga personuppgifter är förbjuden, om det inte går att åberopa något av de i förordningen angivna undantagen.”

Definitionslistan i slutet av riktlinjerna behöver generellt ses över för att matcha den ansvarsfördelning som beskrivs i den löpande texten. Den behöver även uppdateras med hänsyn till att uppdraget personuppgiftsombud inte längre existerar. En annan synpunkt som nämnden sänder med är att kommunen i riktlinjer bör undvika begreppet ras och i stället med hänvisning till

”även personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen”. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.

(25)

Slutligen menar Stadsbyggnadsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.

Finansiering

Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att Stadsbyggnadsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.

Konsekvenser för hållbar utveckling och en effektiv organisation Riktlinjerna saknar analys utifrån konsekvenser för hållbar utveckling och effektiv organisation.

Samråd kring remissvar

Förslaget till svar från Stadsbyggnadsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen.

STADSBYGGNADSFÖRVALTNINGEN

Marianne Hagman Pär Mårtensson

Förvaltningschef Samordnare

Kommunstyrelsen Akten

(26)

Socialnämnden Protokollsutdrag

Sammanträdesdatum

2018-11-15

Sida

1(1)

SOCN/2018:142

§ 112 Yttrande över remiss från kommunstyrelsen - Riktlinjer för hantering av personuppgifter enligt dataskyddsförordningen

Beslut

Socialnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen

Ärendebeskrivning

Kommunledningskontoret har upprättat en skrivelse med förslag till riktlinjer för hantering av personuppgifter. Kommunstyrelsen har remitterat förslaget till samtliga nämnder.

Yttrande

Socialnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.

I arbetet med att implementera riktlinjerna bedöms att nämnderna behöver stöd, förslagsvis av Konsult och uppdrag. Det bör också fastställas att riktlinjerna bör följas upp och vid behov revideras inom ett år. Detta både för att hålla arbetet med nya dataskyddsförordningen aktuellt och att anpassa reglerna till erfarenheter från den nya lagstiftningen.

_______

Beslutet skickas till: Kommunstyrelsen

(27)

Socialnämnden 2018-10-25 Socialförvaltningen

Utveckling och innovation SOCN/2018:142 Kjell Monéus

1 (1)

Socialnämnden

Yttrande angående förslag till riktlinjer för hantering av personuppgifter

Förslag till beslut

Socialnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen

Ärendebeskrivning

Yttrande

Socialnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.

_______

Beslutet skickas till: Kommunstyrelsen SOCIALFÖRVALTNINGEN

Mehmed Hasanbegovic Förvaltningschef

(28)

Överförmyndarnämnden Eskilstuna Strängnäs

Protokollsutdrag

Sammanträdesdatum

2018-11-13

Sida

1(1)

§ 182 Remiss från kommunstyrelsen - Riktlinjer för hantering av personuppgifter enligt

dataskyddsförordningen (KSKF/2018:47) (ÖFNES/2018:126)

Beslut

Överförmyndarnämnden Eskilstuna Strängnäs antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen

Yttrande

Överförmyndarnämnden Eskilstuna Strängnäs anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.

_______

(29)

Socialnämnden 2018-10-25 Socialförvaltningen

Utveckling och innovation ÖFNES/2018:126 Kjell Monéus

1 (1)

Socialnämnden

Yttrande angående förslag till riktlinjer för hantering av personuppgifter

Förslag till beslut

Överförmyndarnämnden Eskilstuna Strängnäs antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen

Ärendebeskrivning

Yttrande

Överförmyndarnämnden Eskilstuna Strängnäs anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.

_______

SOCIALFÖRVALTNINGEN

Mehmed Hasanbegovic Förvaltningschef

(30)

Arbetsmarknads- och vuxenutbildningsnämnden

Protokollsutdrag

Sammanträdesdatum

2018-12-12

Sida

1(1)

AVN/2018:67

§ 95 Remiss till förslag - Riktlinjer för hantering av personuppgifter (KSKF/2018:47)

(AVN/2018:67) Beslut

Arbetsmarknad- och vuxenutbildningsnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen.

Ärendet

Yttrande

Arbetsmarknad- och vuxenutbildningsnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.

Förvaltningen har berett ärendet på arbetsutskottet den 28 november 2018.

Förvaltningen har upprättat en tjänsteskrivelse daterad den 19 november 2018.

Muntlig föredragning av Thure Morin, förvaltningschef _____

Beslutet skickas till: kommunstyrelsen

(31)

Arbetsmarknads- och

vuxenutbildningsförvaltningen

Datum Diarienummer

Ledningskansli 2018-11-19

Thure Morin 073-9506078

1 (1)

Postadress Besöksadress

Telefon, växel Fax Mobiltelefon

Alva Myrdals gata 5 016-710 10 00

E-post Webbplats

631 86 Eskilstuna

eskilstuna.se

Eskilstuna – den stolta Fristaden

Yttrande angående förslag till riktlinjer för hantering av personuppgifter

Arbetsmarknad- och vuxenutbildningsnämnden antar förslaget till yttrande och översänder yttrandet till Kommunstyrelsen

Ärendet

Yttrande

Arbetsmarknad- och vuxenutbildningsnämnden anser att föreslagna riktlinjer utgör ett stöd för nämnden att säkerställa att dataskyddsförordningens regler följs.

Arbetsmarknad- och vuxenutbildningsförvaltningen

Thure Morin Förvaltningschef

(32)

Kultur- och fritidsnämnden Protokollsutdrag

Sammanträdesdatum

2018-12-12

Sida

1(4)

§ 89 Remiss - Riktlinjer för hantering av personuppgifter (KFN/2018:165)

Beslut

Yttrandet godkänns och översänds till kommunstyrelsen.

Ärendebeskrivning

uppgifter (GDPR).

Kultur- och fritidsnämndens yttrande

Kultur- och fritidsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet skulle också gynnas av att relationen mellan nämnder och förvaltningar i dessa frågor tydliggörs.

(33)

Sammanträdesdatum

2018-12-12

Sida

2(4)

Kultur- och fritidsnämnden menar att riktlinjen kan ge varje förvaltning i uppgift att upprätta en plan för arbetet med hantering av personuppgifter, där det tydligt framgår vad varje nivå inom förvaltningen ska känna till.

Riktlinjerna anger att ”[v]arje nämnd ansvarar för de straff- och

I remisstexten anges det att samtycken ska registreras i kommunens dokument- och ärendehanteringssystem (LEX). Kultur- och fritidsnämnden menar att uppgiften måste kunna läggas hos de enheter som hanterar personuppgifter, med en enkel och digital administration. Därför behövs ett separat system för enkel registrering, uppföljning och gallring av samtycken. En hantering av samtliga samtycken i LEX skulle öka registratorernas arbetsbelastning på ett orimligt sätt. LEX saknar

dessutom önskvärda funktioner för uppföljning och automatisk gallring som behövs i och med Dataskyddsförordningen. Hanteringen av samtycken för publicering av bilder och andra audiovisuella medier som innehåller personuppgifter bör lyftas och analyseras särskilt.

(34)

Sammanträdesdatum

2018-12-12

Sida

3(4)

Kultur- och fritidsnämnden ser det som positivt att känsliga personuppgifter lyfts särskilt i riktlinjen. Under avsnittet Analys av riskerna genom

Eftersom kultur- och fritidsnämnden bland annat beslutar om föreningsstöd är det oundvikligt att känsliga personuppgifter såsom etniskt ursprung, religiös eller filosofisk övertygelse samt sexualitet och hälsa kan komma att indikeras i registren.

På HR-området är samma sak gällande, till exempel för hanteringen av uppgifter kring fackligt medlemskap. I handlingar som uppstår utifrån medarbetarsamtal kan känsliga uppgifter också finnas. Eftersom kommunen hanterar uppgifter om förtroendevalda är det dessutom oundvikligt att känsliga personuppgifter kring politisk uppfattning framgår av registren.

”[ä]ven personuppgifter som hanteras på ett ostrukturerat sätt, såsom i epost eller lagras i hemkataloger, ska framgå av registerförteckningen. Under Inledning beskrivs det som att Dataskyddsförordningen ”gäller också för manuell behandling av personuppgifter om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier”. Relationen mellan dessa beskrivningar behöver klargöras.

(35)

Sammanträdesdatum

2018-12-12

Sida

4(4)

Slutligen menar kultur- och fritidsnämnden att förhållandet till andra styrande dokument i riktlinjerna bör förtydligas och utvecklas.

Finansiering

Bedömningen är att finansiering av de föreslagna åtgärderna kan ske inom befintlig ram under förutsättning att kultur- och fritidsnämndens synpunkt kring skrivningar om hantering av samtycken beaktas.

Konsekvenser för hållbar utveckling och en effektiv organisation

Samråd kring remissvar

Förslaget till svar från kultur- och fritidsnämnden har tagits fram i samråd mellan kultur- och fritidsförvaltningen, stadsbyggnadsförvaltningen och tjänsteperson på kommunledningskontoret med ansvar för Torshälla stads nämnd.

Kommunstyrelsen

(36)

Kultur- och fritidsnämnden 2018-10-30 Kultur- och fritidsförvaltningen

Förvaltningskontoret KFN/2018:165

Per Silvervret Boberg 016-710 13 77

1 (4)

Kultur- och fritidsnämnden

Yttrande över remiss - Riktlinjer för hantering av personuppgifter

Yttrandet godkänns och översänds till kommunstyrelsen.

uppgifter (GDPR).

Kultur- och fritidsnämndens yttrande

Kultur- och fritidsnämnden ställer sig positiv till att nya riktlinjer för hantering av personuppgifter har tagits fram. Detta tydliggör ansvar inom den kommunala organisationen och mellan kommunala myndigheter i frågor som rör hanteringen och implementeringen av dataskyddsförordningens direktiv för hantering av personuppgifter.

Riktlinjernas övergripande struktur skulle bli tydligare av att omformas, så att ansvarsfördelningen till varje nivå i den organisation som riggas för hantering av personuppgifter framgår tydligt. Organisationen för dessa arbetsuppgifter bör återges enligt organisationsträdet. Till exempel kan detta ske med rubriceringar från kommunstyrelsens, nämndernas, dataskyddsombudets och kontaktpersonens ansvar, och ner till den enskilda medarbetarens ansvar. Struktur och läsbarhet