Godkendelse af forretningscirkulærer om persondatabeskyttelse for registreredes rettigheder og dokumentation og compliance

Se alle bilag

Den 21. juni 2018 godkendte Borgerrepræsentationen statusindstilling om Legal Compliance Programmet og kommunens nye Informationssikkerhedspolitik og Informationssikkerhedsregulativ.

I forlængelse heraf skal Økonomiudvalget nu tage stilling til forslag til to bindende tværgående forretningscirkulærer for persondatabeskyttelse om håndtering af Databeskyttelsesforordningens krav til henholdsvis registreredes rettigheder og dokumentation og compliance.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

at vedlagte forslag til forretningscirkulære for persondatabeskyttelse om registreredes rettigheder (bilag 2) med underliggende fællesadministrative forretningsgange (bilag 3) godkendes,
at vedlagte forslag til forretningscirkulære for persondatabeskyttelse om dokumentation og compliance (bilag 4) godkendes.

Problemstilling

I Københavns Kommune er Borgerrepræsentationen (BR) øverst ansvarlig for kommunens behandling af personoplysninger og it-og datasikkerhed. Økonomiudvalget (ØU) har det umiddelbare ansvar for varetagelse af kommunens overordnede og tværgående it-forhold og har indseende med administrationen af kommunens opgaver indenfor alle kommunens forvaltningsområder. Det øverste daglige administrative ansvar for forvaltningernes behandling af personoplysninger og it-og datasikkerhed varetages af overborgmesteren og borgmestrene indenfor hver deres forvaltningsområde med ansvar overfor ØU og BR.

Den 12. juni 2018 tog ØU den sidste status på kommunens Legal Compliance Program (LCP) og dermed status på forvaltningernes implementering af de nye krav i EU Databeskyttelsesforordningen til efterretning. Samtidig godkendte ØU indstillingen om kommunens nye Informationssikkerhedspolitik og Informationssikkerhedsregulativ. Indstillingen blev senere tiltrådt af BR den 21. juni 2018.

Forvaltningerne har med EU Databeskyttelsesforordningens (2016/679) ikrafttræden den 25. maj 2018 overtaget det daglige administrative ansvar for den videre implementering og efterlevelse af lovgivningen indenfor hver deres forvaltningsområde.

Chefen for Intern Revision har med Databeskyttelsesforordningens ikrafttræden den 25. maj 2018 overtaget ansvaret for opgaverne som kommunens lovpligtige Databeskyttelsesrådgiver.

I Informationssikkerhedsregulativet (vedlagt som bilag 1) er det bestemt, at udmøntningen af informationssikkerhedsregulativet skal ske gennem følgende underliggende forretningscirkulærer, der fastlægger de bindende retningslinjer på informationssikkerhedsregulativets 3 hovedområder:

Informationssikkerhed
Databeskyttelse
IT-livscyklus

Det sker i form af følgende 6 forretningscirkulærer:

Persondatabeskyttelse – De Registreredes Rettigheder
Persondatabeskyttelse - Dokumentation og Compliance
Organisering af informationssikkerhed
IT-beskyttelse og it-sikkerhed
It- anskaffelser (er godkendt af ØU den 23. oktober 2018)
It- livscyklus

som hermed udgør det samlede forpligtende regelsæt for håndtering af persondatabeskyttelse og informationssikkerhed i Københavns Kommune.

Forretningscirkulærerne skal som en del af ØU ´s ressort som ansvarlig for den umiddelbare forvaltning af kommunens it – og datasikkerhedsopgaver godkendes af ØU med virkning for alle kommunens forvaltninger og enheder, som BR er dataansvarlig for.

Løsning

I governancestrukturen på it – og persondatasikkerhedsområdet er det forudsat, at udkast til de bindende forretningscirkulærer alt efter indhold koordineres og forelægges med henblik på evt. bemærkninger for kommunens tværgående kredse, herunder for Digitaliseringschefkredsen (DCK) / Legal Compliance Forum (LCF) og IT- Kredsen (ITK), inden Økonomiforvaltningen forelægger cirkulærerne for ØU til godkendelse.

Udkast til de to vedlagte cirkulærer vedrørende persondatabeskyttelse om henholdsvis

De Registreredes Rettigheder (bilag 2) og
Dokumentation og Compliance (bilag 4)

er således koordineret gennem kommunens tværgående LCF inden forelæggelsen for ITK til høring.

På baggrund af møderne i LCF og ITK er forvaltningernes generelle bemærkninger indarbejdet i forretningscirkulærerne. I den forbindelse er beskrivelse af de fællesadministrative forretningsgange for håndtering af registreredes rettigheder udskilt i et særskilt dokument til understøttelse af forvaltningernes arbejde med håndtering af registreredes rettigheder i praksis (bilag 3).

Forretningscirkulærerne for persondatabeskyttelse

De vedlagte udkast til forretningscirkulærer for persondatabeskyttelse om henholdsvis registreredes rettigheder og dokumentation og compliance har til formål at sikre korrekt og lovlig håndtering af kommunens forpligtelser på databeskyttelsesområdet, når kommunen varetager sine opgaver som dataansvarlig overfor de registrerede, som kommunen behandler personoplysninger om.

Forretningscirkulærerne er udarbejdet med udgangspunkt i EU Databeskyttelsesforordningen, den danske databeskyttelseslov og vejledninger fra Justitsministeriet og Datatilsynet om håndtering af registreredes rettigheder, og er målrettet Københavns Kommune som dataansvarlig myndighed.

Forretningscirkulærernes indhold:

Cirkulære for Persondatabeskyttelse – Den Registreredes Rettigheder (bilag 2)

indeholder retningslinjer for håndtering af registreredes rettigheder i form af oplysningspligt, indsigtsret, sletning og berigtigelse samt underretningspligt i denne forbindelse, indsigelse, samtykke og håndtering af sikkerhedsbrud. Cirkulæret er udarbejdet som en vejledning med uddybende forklaringer af de registreredes rettigheder i henhold til bestemmelserne i databeskyttelsesforordningen.

Cirkulære for Persondatabeskyttelse - Dokumentation og Compliance (bilag 4)

indeholder retningslinjer for tilgang, adgang og ændringer i behandlingsprocesser og dataflow, vedligeholdelse af dokumentation, håndtering af persondata i drift samt sikring af compliance hos den dataansvarlige.

De vedlagte udkast til forretningscirkulærer er udmøntet i fællesadministrative forretningsgange, der beskriver end – to end processer, herunder underliggende hoved- og delprocesser til understøttelse af forvaltningernes varetagelse af opgaverne på de forskellige områder. Hertil kommer beskrivelser af roller og ansvar.

Forvaltningerne vil på grundlag af forretningscirkulærerne og de fællesadministrative forretningsgange hver især efter behov kunne udarbejde forvaltningsspecifikke forretningsgange, arbejdsgangsbeskrivelser, vejledninger mv., der imødekommer eventuelle særlige behov på hvert forvaltningsområde.

Økonomi

Indstillingen har ikke økonomiske konsekvenser.

Videre proces

Forretningscirkulærerne for persondatabeskyttelse (bilag 1 og bilag 3) og de fællesadministrative forretningsgange for persondatabeskyttelse om registreredes rettigheder (bilag 2) indgår som del af det samlede regelsæt for forvaltningernes håndtering af persondatabeskyttelse og informationssikkerhed i Københavns Kommune.

Økonomiforvaltningen forventer i løbet af andet kvartal 2019 at forelægge ØU de resterende tre forretningscirkulærer om henholdsvis organisering af informationssikkerhed, It-beskyttelse og It-sikkerhed samt It- livscyklus.

Peter Stensgaard Mørch /Mads Grønvall

Beslutning

Dagsordenspunkt 3: Godkendelse af forretningscirkulærer om persondatabeskyttelse for registreredes rettigheder og dokumentation og compliance (2018-0330345)

Økonomiudvalgets beslutning i mødet den 8. januar 2019

Indstillingen blev godkendt uden afstemning.

Bilag

Bilag 1 - Informationssikkerhedsregulativ for Københavns Kommune

Bilag 2 - Forretningscirkulære for Persondatabeskyttelse - Registreredes Rettigheder december 2018

Bilag 3 - Fællesadministrative forretningsgange for Persondatabeskyttelse - Registreredes Rettigheder december 2018

Bilag 4 - Forretningscirkulære for dokumentation og compliance december 2018

Bilag 5 - Svar til borgmester Cecilia Lonning-Skovgaard (V)

Til top