Hörby kommun, 242 80 Hörby | Besöksadress: | Tel: 0415- 37 80 00 | Fax: 0415-134 77 kommunen@horby.se | www.horby.se
Kommunstyrelsen
Initierat ärende från Gert Nygren (SPI) gällande kommunens personuppgiftshantering
Förslag till beslut
Kommunstyrelsens arbetsutskott beslutar föreslå kommunstyrelsen besluta:
– Förslaget att anlita en extern konsult för granskning av kommunens behandling av personuppgifter avslås.
Sammanfattning av ärendet
Gert Nygren (SPI) har, mot bakgrund av personuppgiftsincidenter där personuppgifter delats på kommunens hemsida utan rättslig grund, initierat ett ärende i vilken han begär att kommunen anlitar en extern konsult som granskar kommunens efterlevnad av gällande personuppgiftslagstiftning.
Kommunledningsförvaltningen har berett ärendet och avstyrker förslaget av främst ekonomiska skäl.
Beskrivning av ärendet
Bakgrund
Protokollen från kommunfullmäktiges och nämndernas sammanträden publiceras sedan ett antal år automatiskt på kommunens hemsida i samband med att de expedieras. Även kallelser till sammanträdena publiceras
automatiskt i samband med expediering tillsammans med de möteshandlingar som varit bifogade till respektive ärende, såvida dessa inte har markerats i kommunens ärendehanteringssystem som sekretesskyddade eller skyddade enligt GDPR. För närvarande är protokoll, kallelser och handlingar till dessa från 2017 och framåt publicerade i den mån de inte har undantagits pga.
sekretess eller GDPR-skydd. Protokoll, kallelser och handlingar från före 2017 ligger i skrivande stund inte ute på hemsidan.
Av förbiseende har ett antal dokument med personuppgifter, främst i form av domar, inte GDPR-skyddats i kommunens ärendehanteringssystem och därför publicerats automatiskt på kommunens hemsida som möteshandlingar utan att kommunen har haft laglig grund för det. Incidenterna har anmälts till datainspektionen av kommunens dataskyddsombud.
Gert Nygren (SPI) har mot bakgrund av nämnda incidenter initierat ett ärende i vilken han begär att kommunen tillsätter en extern konsult som
– går igenom samtliga kallelser/protokoll i nämnder och styrelser.
– granskar hur kommunen hanterar personuppgifter enligt GDPR, – undersöker vem som är ansvarig för att gällande lagstiftning inte följs, – går igenom om kommunens rutiner/policy är tillräckliga,
– undersöker om tjänstemän samt ledande politiker har tillräcklig utbildning i GDPR.
Analys
1. Genomgång av samtliga kallelser/protokoll i nämnder och styrelser
Det finns för närvarande ingen möjlighet att via automatisk
databehandling ta reda på det exakta antalet sidor som för närvarande ligger ute på hemsidan. En manuell räkning av sidorna i de bilagor som har publicerats till kallelserna till kommunfullmäktiges och nämndernas sammanträden under november månad 2018 ger ett sidantal om 2 812. Förutsatt att detta sidantal är representativt för resten av årets månader kan antalet sidor i bilagorna till kallelserna under åren 2017 och 2018 uppskattas till c:a 31 000.
Under förutsättning att en person som ska granska materialet behöver 10 sekunder per sida kan tidsåtgången beräknas till 86 arbetstimmar.
Vid ett konsultarvode om 1 500 kr/timme skulle kostnaden för den föreslagna åtgärden beräknas uppgå till 129 000 kr.
2. Granskning av hur kommunen hanterar personuppgifter enligt GDPR
Enligt bestämmelserna i EU:s dataskyddsförordning, som trädde i kraft den 25 maj 2018, ska myndigheter som behandlar
personuppgifter utse en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden till dataskyddsombud.
Dataskyddsombudets uppgift är att bistå den personuppgiftsansvarige (i detta fall kommunstyrelsen och övriga nämnder) i övervakningen av deras efterlevnad av förordningen. Hörby kommun inrättade
funktionen dataskyddsombud genom kommunstyrelsens beslut 2018-04-09, § 103.
Till dataskyddsombudets uppgifter hör bland annat en löpande övervakning av kommunens personuppgiftshantering. GDPR kräver emellertid inte att funktionen dataskyddsombud fullgörs av en anställd inom organisationen; denna kan i stället läggas på entreprenad till en extern aktör. Ett flertal privata aktörer erbjuder dylika tjänster till sedvanligt konsultarvode. Kostnaden för ett sådant arrangemang är svår att förutsäga utan föregående upphandling, men en rundringning till några av de bolag som tillhandahåller dataskyddsombudstjänster
ger vid handen att timpriset i regel är c:a 1 500 kr. Vid en arbetsinsats om fem timmar per vecka blir årskostnaden i så fall 315 000 kr.
3. Undersökning av vem som är ansvarig för att gällande lagstiftning inte följs
Den som behandlar personuppgifter är enligt GDPR personuppgiftsansvarig. I kommunens fall är nämnderna
personuppgiftsansvariga för de personuppgifter som behandlas i respektive nämnds verksamhet. Kommunledningsförvaltningen har utarbetat tydliga rutiner för att säkerställa att personuppgifter inte delas utan rättslig grund, och dataskyddsombudet arbetar fortlöpande med att följa upp och förbättra dessa.
Det rättsliga ansvaret för de obehöriga delningarna av personuppgifter på kommunens hemsida faller på kommunstyrelsen. Som
kommunledningsförvaltningen tolkar förslagsställaren efterfrågas emellertid ett utpekande av en tjänsteman som kan lastas för det inträffade. Då det inte är fråga om brott kan denna information inte tas fram med rättsväsendets hjälp, utan kommunen är i så fall hänvisad till att upphandla en privat aktör för att utreda frågan.
4. Tillsättning av en extern konsult som går igenom om kommunens rutiner/policy är tillräckliga
Översynen av organisationens rutiner för personuppgiftsbehandling är en uppgift som typiskt sett åligger dataskyddsombudet och är ett arbete som ska ske fortlöpande och ta hänsyn till
verksamhetsutveckling, teknisk utveckling etc. Kommunen har, som nämnts under punkt 2, emellertid ingen skyldighet att låta en anställd fullgöra funktionen som dataskyddsombud, utan denna kan i stället skötas av en upphandlad extern aktör mot arvode. Vid en uppskattad arbetsinsats om 80 arbetstimmar och ett timarvode om 1 500 kr uppgår kostnaderna för den föreslagna åtgärden till 120 000 kr. Det bör emellertid noteras att ett sådant arrangemang inte tillgodoser kraven på att översynen ska vara kontinuerlig.
5. Tillsättning av en extern konsult som undersöker om
tjänstemän samt ledande politiker har tillräcklig utbildning i GDPR
En undersökning av det slag som föreslås kan läggas ut på entreprenad men torde vara enkel att genomföra inom den egna organisationen så snart kriterierna för vad som ska anses utgöra tillräcklig utbildning i GDPR har fastslagits.
Kommunledningsförvaltningens bedömning
De personuppgiftsincidenter som har upptäckts på kommunens hemsida har hittills varit hänförliga till omaskerade bilagor under punkterna
”Meddelanden” och ”Delegationsbeslut” i dagordningarna till kommunstyrelsens och kommunfullmäktiges sammanträden.
Kommunledningsförvaltningen bedömer det vara betydligt mer resurseffektivt att, i stället för att arvodera en extern granskare av de handlingar som ligger ute på kommunens hemsida, avlägsna alla handlingar under punkterna ”Meddelanden” och ”Delegationsbeslut” på hemsidan. För att minimera risker med publicering framöver bör sådana handlingar endast delas med ledamöter och deras ersättare och inte delas med allmänheten via hemsidan. Allmänhetens rätt till insyn kan tillvaratas genom att en
tjänsteskrivelse i dessa ärende publiceras, varigenom handlingarna kan identifieras och i förekommande fall begäras ut.
Beträffande förslagen om att lägga ut dataskyddsombudets uppgifter på entreprenad bedömer kommunstyrelsen en dylik merkostnad vara oförenlig med det sparbeting om 500 000 kr kommunledningsförvaltingen har fått inför budgetåret 2019, särskilt mot bakgrund av det faktum att uppgifterna kan utföras av kommunens dataskyddsombud utan extra kostnad.
Kommunledningsförvaltningen avstyrker därför redan på den grunden förslagen.
Angående förslaget om att undersöka om tjänstemän har tillräcklig utbildning i GDPR ser kommunledningsförvaltningen det som bättre använda resurser att kontinuerligt vidareutbilda personalen, särskilt med tanke på att
rättsområdet är nytt och föremål för snabb utveckling.
Kommunledningsförvaltningen ser vidare ingen omedelbar nytta i att kartlägga ”ledande politikers” utbildningsnivå och finner att tillgängliga resurser i stället bör läggas på att säkerställa att tjänstemännens
personuppgiftshantering uppfyller de krav som ställs i lagstiftningen.
Ärendets beredning
Ärendet har beretts i kommunledningsförvaltningen.
Beslutsunderlag
Tjänsteskrivelse KLF GDPR-konsult 2018-12-27
Initiering av ärende från Gert Nygren (SPI) gällande GDPR Beslutet skickas till
Förslagsställaren Dataskyddsombudet
Jesper Bryngemark Kommunsekreterare Dataskyddsombud
Johan Eriksson Kommundirektör
Eva Palmqvist Avdelningschef
Kansli och ledningsstöd