Databeskyttelsesrådgiverens tilsyn med GDPR-fortegnelsen
Databeskyttelsesforordningen stiller krav om, at dataansvarlige fører en fortegnelse, som giver overblik over kommunens behandlinger af personoplysninger. Databeskyttelsesrådgiveren har i første kvartal af 2021 ført tilsyn med kommunens fortegnelse. Tilsynet viser, at kommunen delvist efterlever kravet, da forvaltningerne, herunder Økonomiforvaltningen, har en fortegnelse. Tilsynet viser dog også, at ingen forvaltninger har en proces, der sikrer, at fortegnelsen løbende ajourføres og at indholdet af fortegnelsen derved er fyldestgørende. Økonomiforvaltningen har derfor indledt et projekt, der sikrer, at forvaltningens fortegnelse bliver opdateret, og der etableres en proces for løbende ajourføring. I sagen orienteres der også om den fremtidige proces for orientering om Databeskyttelsesrådgiverens tilsyn til Økonomiudvalget.
Indstilling
Økonomiforvaltningen indstiller over for Økonomiudvalget,
- at orienteringen om databeskyttelsesrådgiverens tilsyn med GDPR-fortegnelsen, jf. bilag 1, tages til efterretning,
- at Økonomiforvaltningens tiltag på baggrund af tilsynet og proces for kommende orienteringer af Økonomiudvalget tages til efterretning.
Problemstilling
Københavns Kommune (KK) har indtil nu ført fortegnelsen over kommunens behandlinger af personoplysninger i it-systemet Pactius Privacy. IT-systemet blev anskaffet som del af kommunens Legal Compliance Program primo 2017, hvor GDPR (Databeskyttelsesforordningen) blev implementeret.
Efter Databeskyttelsesrådgiverens (DPO) tilsyn med kommunens fortegnelse har DPO’en udarbejdet en samlet afrapportering for alle forvaltninger. DPO’en har givet observationen en gul markering, der gives ved væsentlige forhold.
I afrapporteringen henstiller DPO’en til, at forvaltningerne gennemfører og dokumenterer en kontrol med fortegnelsernes indhold inden udgangen af 2021. DPO’en anbefaler også, at forvaltningerne udarbejder og implementerer en fællesadministrativ forretningsgang for, hvordan arbejdet med løbende vedligeholdelse, kvalitetssikring, kontrol m.v. håndteres, inden udgangen af 2021. Endelig anbefaler DPO’en, at forvaltningerne ser på mulighederne for at anskaffe et nyt fortegnelsessystem, foretager væsentlige ændringer af de eksisterende fortegnelser, eller ser på mulighederne for at udvikle en løsning internt i Københavns Kommune.
Løsning
Ifølge Økonomiforvaltningens (ØKF) aktivitetsplan på GDPR-området er ajourføring af fortegnelsen fastsat som en aktivitet med start august 2021.
På baggrund af DPO’ens henstilling og anbefalinger opprioriterer ØKF aktiviteten og indleder et projekt, der sikrer, at forvaltningens fortegnelse bliver opdateret, og at der bliver implementeret en proces for løbende vedligehold. ØKF anvender til dette arbejde Datatilsynets skabelon til fortegnelse over behandlingsaktiviteter. Fortegnelserne forankres på kontorniveau på tværs af ØKF, i de kontorer, hvor der sker behandling af personoplysninger. Opdatering af fortegnelsen i ØKF er afsluttet pr. 1. juni 2021, og herefter kvalitetssikres fortegnelsen af Koncern IT. Opdateringen afstemmes efterfølgende med DPO’en i tredje kvartal 2021
Umiddelbart herefter udarbejder ØKF en forvaltningsspecifik forretningsgang for ajourføring af fortegnelsen. Forretningsgangen forventes senere at kunne konverteres til en fællesadministrativ forretningsgang jf. DPO’ens anbefaling. ØKF undersøger også muligheden for at systemunderstøtte fortegnelsen. Arbejdet forventes afsluttet i 2021.
DPO’en rapporterer løbende til Revisionsudvalget og direktionerne, når tilsynsaktiviteter har identificeret særligt kritiske forhold eller risiko for at kommunen, forvaltninger eller givne områder ikke er compliant med Databeskyttelsesforordningen og/eller databeskyttelsesloven.
DPO’en orienterer også om alle tilsyn på tværs af Københavns Kommune i sin årlige afrapportering til Borgerrepræsentationen.
Der er tale om den første afrapportering vedrørende et tilsyn udført af DPO’en i overensstemmelse med et nyt koncept herfor og tilsynsplanen for 2021, som har været forelagt IT-kredsen.
Når ØKF fremover modtager tilsynsrapporter fra DPO’en, vil ØKF umiddelbart herefter udarbejde en handlingsplan med henblik på at løse eventuelle væsentlige mangler eller kritiske forhold (gule eller røde anmærkninger).
ØKF vil forelægge Økonomiudvalget en indstilling, hvis et tilsyn fra DPO’en medfører en rød anmærkning, der vedrører kritiske forhold. Ved gule (væsentlige mangler) eller grønne (forhold der ikke giver anledning til omtale/mindre væsentlige forhold) anmærkninger lægges orienteringssager på aflæggerbordet.
Økonomi
Der er ingen økonomiske konsekvenser forbundet med denne indstilling.
Videre proces
ØKF har orienteret kommunens øvrige forvaltninger om, at ØKF tager initiativ til at igangsætte et arbejde, der sikrer, at der findes en fælles løsning på tværs af kommunen. ØKF inddrager DPO’en i arbejdet.
Beslutning
Dagsordenspunkt 4: Databeskyttelsesrådgiverens tilsyn med GDPR-fortegnelsen (2021-0150504)
Økonomiudvalgets beslutning i mødet den 10. august 2021
Indstillingen blev taget til efterretning uden afstemning.
Radikale Venstre og Det Konservative Folkeparti afgav følgende protokolbemærkning:
”Vi finder det meget kritisabelt, at København som landets største kommune ikke som krævet har en ajourført liste over behandlinger af persondata. Det er nu mere end fire år siden, at reglerne blev indført. For at borgere og virksomheder kan have tillid til kommunens databehandling, er det nødvendigt, at Københavns Kommune efterlever reglerne og har en ajourført liste over behandling af persondata.”