INDSTILLING VEDR. ETABLERING AF DPO ORDNING I INTERN REVISION
EU’s kommende databeskyttelsesforordning, der vil træde i kraft pr. 01.01.2018, stiller krav om, at alle offentlige myndigheder skal udpege en såkaldt Data Protection Officer (DPO), der som persondataansvarlig skal sikre, at myndigheden (Københavns Kommune) overholder reglerne i forordningen.
Økonomiudvalget har 12. april 2016, som en del af indstilling vedrørende ”Styrkelse af it-sikkerheden”, vedtaget at placere DPO’en i Intern Revision, under forudsætning af henholdsvis Borgerrepræsentationens godkendelse samt Social- og Indenrigsministeriets tilladelse i form af udvidelse af den nuværende dispensation for Intern Revision.
Indstilling
Intern Revision indstiller til Revisionsudvalget
- at Revisionsudvalget ingen bemærkninger har til Økonomiudvalgets beslutning om, at DPO’en placeres i Intern Revision under forudsætning af Borgerrepræsentationens godkendelse og Social- og Indenrigsministeriets tilladelse til en udvidelse af den dispensation, Københavns Kommune har til den midlertidige bestemmelse i § 26 i Københavns Kommunes styrelsesvedtægt.
Problemstilling
En DPO har status af en ”intern vagthund” i myndigheden, som bl.a. skal forestå projektovervågning for at sikre compliance med persondataretten. Det er i forordningen forudsat, at DPO’en skal være særdeles kvalificeret inden for persondatarettens område, herunder kræves det, at DPO’en har indgående kendskab til persondatalovgivning og har gode tekniske forudsætninger vedrørende privacy og datasikkerhed.
Organisatorisk skal DPO’en bl.a. have mulighed for at udføre inspektioner inden for organisationen og have mulighed for samarbejde med medarbejderrepræsentanter, ligesom DPO’en skal referere direkte til organisationens ledelse.
DPO’ens ansvar bliver således i kort form følgende:
- at underrette og rådgive dataansvarlige og databehandlere (herefter benævnt KK) om forpligtigelser i henhold til forordning, eller at dokumentere denne aktivitet og de modtagne reaktioner
- at overvåge gennemførelsen og anvendelsen af KK’s regler om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af personale samt tilhørende kontroller
- at kontrollere gennemførelsen og anvendelsen af forordningen mht. indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed samt oplysninger til de registrerede og håndtering af anmodninger fra de registrerede
-
at sikre vedligeholdelse af dokumentation for en hver behandling, der gennemføres
-
at kontrollere dokumentation, anmeldelser og meddelelser vedr. brud på personsikkerhed
-
at kontrollere KK’s gennemførelse af konsekvensanalyser, herunder høringsaktiviteter samt udarbejde konsekvensanalyser ved nye it-systemer
-
at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheder samt sikre samarbejde med tilsynsmyndigheden
-
at fungere som tilsynsmyndighedens kontaktpunkt mv.
Det konkrete ansvar og omfanget af blandt andet DPO’ens opgaver bliver afdækket i forbindelse med et kommende tværgående legal compliance projekt, med deltagelse af alle forvaltninger, KS og Intern Revision. Legalfunktionen i ØKF vil være leder af projektet, der vil blive gennemført i 2016 og 2017.
Det er Intern Revisions vurdering, at opgaverne for DPO’en vil være ret omfattende set i lyset af kommunens størrelse, mængden af data, dataansvarlige og databehandlere fordelt på 7 forvaltninger samt antallet af systemer med personoplysninger, der for nærværende udgør knapt 300 stk.
Løsning
Under henvisning til DPO’ens opgaver og kravet om uafhængighed i opgaveløsningen og direkte reference til kommunens ledelse, dvs. Borgerrepræsentationen, vil det være mest hensigtsmæssigt, at rollen varetages af chefen for Intern Revision, der er ansat uafhængig af forvaltningen.
Økonomiudvalget har godkendt placeringen af DPO’en i Intern Revision, dog under forudsætning af Borgerrepræsentationens godkendelse og Social– og Indenrigsministeriets tilladelse til udvidelse af den nuværende dispensation til den midlertidige bestemmelse i § 26 i Styrelsesvedtægten.
På det grundlag indstiller Intern Revision til Revisionsudvalget, ingen bemærkninger har til Økonomiudvalgets beslutning.
Økonomi
Med forbehold for resultatet af det før omtalte legal compliance projekt, er det Intern Revisions vurdering, at opgaven vil kunne varetages ved at tilføre yderligere 3 årsværk til Intern Revision. Disse medarbejdere skal have dels særlige kompetencer inden for persondataretten og dels en it teknisk indsigt.
Videre proces
IR orienterer ØKF om Revisionsudvalgets beslutning, jf. nærværende indstilling.
Jesper Andersen / Lone Forsberg
Beslutning
Indstillingen blev godkendt.
Protokolbemærkninger:
Ingen.