16. marts 2018

Få svar på dine spørgsmål om blanketter og databeskyttelse

Hvordan lever kommunernes blanketter op til de nye krav, nu da EU's forordning om persondatabeskyttelse træder i kraft den 25. maj 2018? Få svar på ofte stillede spørgsmål her.

Blanketter skal leve op til nye krav

KL, blanketsystemleverandørerne og kommunerne skal nu tilpasse de kommunale blanketter:

De nye krav omfatter:

  • kontaktinformation på databeskyttelsesrådgiver
  • eventuelt overførsel af personoplysninger til tredjeland eller international organisation
  • tidsrum for opbevaring af personoplysninger.

KL, blanketsystemleverandørerne og kommunerne har følgende opgaver:

  • Lige nu arbejder KL på at tilrette teksten i vores blanketter, så de lever op til EU-forordningens krav. Det indebærer blandt andet, at der på alle blanketterne i KL's blanketsamling tilføjes en kort tekst om, at kommunen er dataansvarlig, og om opbevaringstid for personoplysninger. Af hensyn til borgerne tilføjer KL også en kort tekst om, hvad en databeskyttelsesrådgivers rolle består i, og hvor man kan læse mere.
  • Blanketsystemleverandørerne er i fuld gang med at foretage en tilføjelse til deres administrationsmodul, så kommunerne kan anføre kontaktoplysninger på kommunens databeskyttelsesrådgiver på deres blanketter.
  • For kommunerne er det nu tid at få ryddet op i downloadede versioner af KL-blanketter, så der ikke ved en fejl bruges forældede blanketter.
  • Kommunerne skal gennemgå de blanketter, som kommunen selv har udviklet. Her er det kommunerne selv, der skal håndtere tilretningen, så de opfylder EU-forordningens krav.

Svar på ofte stillede spørgsmål

KL har her samlet svar på nogle ofte stillede spørgsmål om, hvad kommunen skal oplyse borgeren om i forbindelse med indhentning af personoplysninger fra borgeren.

Hvilken afdeling/forvaltning bruger borgerens persondata?

Kontaktoplysninger på den afdeling eller forvaltning, der indsamler borgerens personoplysninger, lægger kommunen som hidtil ind via administrationsmodulet fra kommunens blanketsystemleverandør. I administrationsmodulet angiver kommunen sit byvåben, kommunenavn, forvaltning, eventuelt også med åbningstider – og efter 25. maj skal kommunen også angive kontaktoplysningerne på kommunens databeskyttelsesrådgiver.

Kontaktoplysninger på databeskyttelsesrådgiveren?

Efter den 25. maj 2018 skal kontaktinformation til kommunens databeskyttelsesrådgiver fremgå af selvbetjeningen og af administrative blanketter. Det er KL's vurdering, at det ikke er nok at henvise til kommunens hjemmeside. Kommunens blanketsystemleverandører arbejder pt på at indarbejde oplysningen i administrationsmodulet til systemet. Kommunen skal selv indtaste og vedligeholde oplysningen i modulet.

Information til borgerne om databeskyttelsesrådgiverens rolle?

Der er ikke et krav i EU-forordningen om at informere borgere om databeskyttelsesrådgiverens rolle, men KL finder det god forvaltningsskik at informere kort om, hvad borgeren kan forvente af denne nye vejlederrolle. KL lægger derfor en kort tekst ind i alle sine blanketter om databeskyttelsesrådgiverens rolle og om, hvor man kan læse mere. Teksten lyder: "Du kan kontakte databeskyttelsesrådgiveren om dine rettigheder i henhold til databeskyttelseslovgivningen. Du har ret til at klage til Datatilsynet over kommunens behandling af dine personlige oplysninger. Du kan læse mere om databeskyttelsesrådgiverens rolle på Datatilsynets hjemmeside."

Formål, anvendelse og hjemmel angående personoplysninger?

Hvad skal personoplysninger bruges til, hvorfor, og med hvilken hjemmel indsamles de? Allerede i dag fremgår det af blanketterne, til hvilket formål og med hvilken hjemmel i lovgivningen personoplysningerne indsamles. EU-forordningen har medført, at KL for en ordens skyld har gennemgået KL's blanketsamling igen for at sikre, at KL's blanketter lever op til dette krav. Vi fandt nogle ganske få blanketter, hvor det kunne gøres tydeligere, og det vil være bragt i orden på blanketterne inden den 25. maj 2018.

Hvem videregives personoplysninger eventuelt til?

På blanketter med følsomme personoplysninger overholdes allerede i dag kravet om at redegøre for, hvilke oplysninger kommunen selv kan indhente uden samtykke, hvem kommunen kan videregive oplysninger til, og hvem kommunen er forpligtet til at videregive oplysningerne til. EU-forordningen er lidt mere striks med, hvilke oplysninger der skal forstås som personhenførbare, så nye og eksisterende tekster vil blive påført flere blanketter, end tilfældet er i dag.

Hvornår slettes personoplysninger?

Da der ikke kan fastlægges et fast tidspunkt for sagsbehandlingens afslutning, og det derfor ikke generelt kan siges, hvor lang tid det er nødvendigt at opbevare personoplysninger, skal KL i stedet oplyse om de principper, der ligger til grund for, hvornår opbevaringen afsluttes.

KL indføjer følgende tekst: "Kommunen sletter oplysningerne, når opbevaringspligten udløber, og et eventuelt arkiveringskrav er opfyldt. Når oplysningerne er arkiveret eller slettet, har kommunen ikke længere adgang til dem."  Dermed overholdes forordningens krav om at angive principperne for sletning, når det ikke er muligt at angive det konkrete tidspunkt for sletning.

Hvad med klagemulighed og ret til indsigt i personoplysninger?

Oplysning om klagemulighed og ret til indsigt i personoplysninger indgår allerede i blanketternes nuværende tekst – typisk i forbindelse med afgørelser.

Oplysningspligt om overførelse af personoplysninger til tredjeland?

Dette punkt har affødt flere spørgsmål: Skal kommunen oplyse på alle sine blanketter og selvbetjeningsløsninger, hvis kommunen overfører personoplysninger til lagring i en dataløsning uden for Danmark, EU og EØS – for eksempel til en cloudbaseret dataløsning hjemmehørende i Indien? Hvor og hvordan skal dette i givet fald så oplyses på blanketter eller i selvbetjeningsløsninger? Disse spørgsmål kræver et fyldigt svar.

  • Det er ikke muligt for KL at informere generelt på alle blanketter om, hvorvidt kommunerne overfører personoplysninger til tredjeland, da det endnu kun er et fåtal af kommunerne, der foretager en sådan overførsel.
  • Den overvejende del af kommunerne har valgt en kanalstrategi, hvor de ikke selv vedligeholder publicering af selvbetjeningsløsninger og blanketter på egen hjemmeside, men i stedet linker til borger.dk og virk.dk. Både borger.dk og virk.dk har en funktionalitet, hvor de fremviser information om den valgte kommune med kontaktinformation og oplysninger om kommunens databeskyttelsesniveau. KL anbefaler, at kommunen i forbindelse med kommuneoplysningerne på de fællesoffentlige portaler informerer om, hvis man overfører personoplysninger til tredjeland eller til en international organisation.
  • Har kommunen derudover valgt at publicere løsningerne på egen hjemmeside, skal informationerne desuden fremgå her.
  • Både på borger.dk og virk.dk og eventuelt på kommunens egen hjemmeside skal informationen om kommunens databeskyttelsesniveau fremgå umiddelbart i forbindelse med start af den selvbetjeningsløsning, hvor der vil ske overførsel af personoplysninger til tredjeland.

Hvornår er KL's blanketter og deres varianter i blanketsystemerne opdateret i forhold til EU-forordningen?

KL publicerer de nye versioner af blanketterne i dagene umiddelbart op til den 25. maj. For at blanketsystemleverandørerne også kan have en chance for at nå at opdatere deres varianter af KL's blanketter, vil de modtage de tilpassede blanketter løbende – startende fra uge 12.