Information om forordningen
Forordningens ikrafttrædelse
I januar 2012 fremlagde EU-Kommissionen sit forslag til databeskyttelsesforordningen. Og i april 2016 blev databeskyttelsesforordningen vedtaget.
Siden 25. maj 2018 er det reglerne i databeskyttelsesforordningen suppleret med databeskyttelsesloven og følgeloven til databeskyttelsesloven, som regulerer området for behandling af personoplysninger.
Reglerne i databeskyttelsesforordningen er en udvidelse af reglerne i persondataloven.
En væsentlig del af kommunernes implementeringsarbejde er derfor at sikre, at kommunen overholder reglerne fra persondataloven.
Databeskyttelsesloven er et supplement til databeskyttelsesforordningen og blev vedtaget af Folketinget den 17. maj 2018.
National evaluering af GDPR
Benspændskatalog
KL offentliggjorde i januar 2020 det såkaldte "GDPR-benspændskatalog". Kataloget skulle skabe opmærksomhed omkring de udfordringer, kommunerne oplevede ved implementeringen af databeskyttelsesforordningen, GDPR.
Hent KL's benspændskatalog:
National evaluering af databeskyttelsesreglerne
I april 2020 satte Justitsministeren en national evaluering af databeskyttelsesreglerne i gang. Med bidrag fra 71 kommuner sendte KL i oktober 2020 høringssvar til Justitsministeriets evaluering.
Hent KL's høringssvar:
- Følgebrev
- Bilag 1 Kommunernes 10 højest prioriterede GDPR-problemstillinger
- Bilag 2 GDPR-udfordringer og løsninger
Evalueringsrapporter
Justitsministeriet har offentliggjort resultaterne af evalueringen i to delrapporter i henholdsvis januar 2021 og juli 2021.
Hent Justitsministeriets delrapporter:
- Delrapport om national evaluering af databeskyttelsesreglerne
- Delrapport II om national evaluering af databeskyttelsesreglerne
- Datatilsynets bidrag til delrapport II
- Det samlede materiale til delrapport II
Resultaterne af den nationale evaluering
KL foreslår i høringssvaret, at Justitsministeriet to år efter evalueringen igen gennemfører en national evaluering. - For at vurdere, om de tiltag, særligt vejledningstiltag, der bliver sat i værk som følge af evalueringen har virket efter hensigten. Eller om der er behov for i EU-regi at bede om forenkling af reglerne.
Som afsæt for den videre dialog herom har KL har i februar 2022 udarbejdet en status på de 76 GDPR-udfordringer, som KL på vegne af kommunerne har sendt til Justitsministeriet som bilag 2 til KL´s høringssvar. Den udarbejdede status tager udgangspunkt i Justitsministeriets og Datatilsynets evalueringsrapporter men henviser også til afklaringer, som foreligger på grundlag af afgørelser og vejledninger fra Datatilsynet.
Hent status på kommunernes input til den nationale evaluering af GDPR:
Databehandleraftaler
Flere kommuner har spurgt KL om, Datatilsynets standardkontraktsbestemmelser skal anvendes i stedet for KL-KOMBIT-databehandleraftaleskabelonen. KL har derfor gennemgået standardkontraktsbestemmelserne og sammenholdt dem med KL-KOMBIT-skabelonen.
KL's anbefalinger
KL's anbefalinger er følgende:
- KL anbefaler, at kommunerne anvender Datatilsynets standardkontraktsbestemmelser, når kommunerne indgår nye databehandleraftaler eller reviderer eksisterende aftaler.
- KL anbefaler, at kommunerne opretholder eksisterende databehandleraftaler og ikke bruger tid på at overføre indholdet til Datatilsynets standardkontraktsbestemmelser. Databehandleraftaler, som er indgået via KL-KOMBIT's databehandleraftaleskabelon, er fortsat fuldt lovlige.
Fordele ved standardkontraktsbestemmelserne
Det er KL's vurdering, at kommunernes indgåelse af databehandleraftaler med deres leverandører og samarbejdsparter vil kunne ske mere smidigt, når der anvendes en "blåstemplet" databehandleraftaleskabelon fra en uafhængig myndighed.
Ligeledes er der i standardkontraktsbestemmelserne flere præciseringer og uddybninger, som KL vurderer er en fordel for kommunerne. Det drejer sig bl.a. om:
- Særskilt uddybning af, hvordan databehandleren skal "bistå" kommunen med at opfylde kommunens forpligtelser ift. besvarelsen af anmodninger om udøvelsen af registreredes rettigheder samt ved sikkerhedsbrud, underretning af den registrerede, udarbejdelse af konsekvensanalyser og høring af Datatilsynet. Desuden en præcisering af databehandlernes forpligtelser, fx til særskilt at udarbejde risikovurderinger og føre lister over, hvem der har adgang til at behandle den dataansvarliges data samt kunne dokumentere disses tavshedspligt.
- Præcisering af den dataansvarliges ret til over for databehandleren at afgive yderligere instrukser samt ret til at stille krav om yderligere sikkerhedsforanstaltninger, hvis de aftalte foranstaltninger ikke viser sig at være tilstrækkelige. Ligeledes en præcisering af kommunens ret til at anfægte rammerne og/eller metoden i de revisionserklæringer, som databehandleren får udarbejdet. Desuden en særskilt bestemmelse om, at den dataansvarlige i tilfælde af databehandlerens konkurs skal kunne indtræde i aftaleforholdet med underdatabehandleren og kunne instruere underdatabehandleren.
Dialog med Datatilsynet
Ved gennemlæsningen af standardkontraktsbestemmelserne er KL blevet opmærksom på, at standardkontraktsbestemmelsernes bilag C, C.7 og C.8, om tilsyn med databehandleren og underdatabehandleren indeholder krav om, at der skal føres tilsyn med "overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser."
Det er KL´s opfattelse, at den dataansvarliges tilsynsforpligtelse ikke rækker ud over tilsynet med overholdelsen af aftalerne i databehandleraftalen. Det bør ikke være kommunernes opgave at gennemføre generelle complianceanalyser hos deres databehandlere. KL har tilbage i maj 2019 spurgt Datatilsynet om dette i forbindelse med, at KL har fremsendt ønsker til uddybning af Datatilsynets "Vejledende tekst om tilsyn med databehandlere og underdatabehandlere". KL vil kontakte Datatilsynet om spørgsmålet igen med henblik på en afklaring herunder, at teksten i standardkontraktsbestemmelsernes bilag C, C.7 og C.8, eventuelt justeres.
SKI's rammeaftaler
KL og KOMBIT er opmærksomme på, at det fremgår af SKI's vejledende tekster om indgåelse af kontrakt på nogle af SKI's rammeraftaler, at ”Såfremt kunden er en kommune, er Parterne forpligtet til at indgå en databehandleraftale, der overholder minimumsreguleringen i KL og KOMBIT's skabelon for databehandleraftaler mellem kommuner og it-leverandører – version 2.0 af 30. maj 2018.” KL og KOMBIT vil kontakte SKI med henblik på at få en afklaring af, hvordan kommunerne skal forholde sig til denne tekst ved ibrugtagningen af Datatilsynets standardkontraktsbestemmelser.
Vejledning om dataansvarlige og databehandlere
Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om, hvornår der skal indgås databehandleraftaler.
Hent vejledning om dataansvarlige og databehandler (pdf)
Datatilsynets standardkontraktsbestemmelser
Datatilsynet offentliggjorde i december 2019 standardkontraktsbestemmelser til udarbejdelse af databehandleraftaler.
Hent Datatilsynets skabelon på dansk (word)
Hent Datatilsynets skabelon på engelsk (word)
Der eksisterer ingen særskilt vejledning til udfyldelse af Datatilsynets standardkontraktsbestemmelser. KL har derfor udarbejdet et notat, der giver hjælp til at udfylde standardkontraktsbestemmelsernes instruks (bilag C).
Efter kommunernes ønske blev der i KL-KOMBIT-skabelonen indarbejdet "praktiske og processuelle bestemmelser", som kan have særlig relevans for aftaleforholdet mellem en kommune og dennes it-leverandør. Disse blev i skabelonen markeret med "gult", og kommunerne kunne selv vælge, om de ville medtage disse bestemmelser i deres databehandleraftale. De supplerende bestemmelser var og er fortsat ikke et krav efter lovgivningen.
KL har udarbejdet en særskilt bilagstekst til standardkontraktsbestemmelsernes bilag D (parternes regulering af andre forhold), som indeholder teksten fra "de gule bestemmelser" i KL-KOMBIT-skabelonen. Således vil det fortsat være muligt for kommunerne at indgå aftale om disse forhold i standardkontraktsbestemmelserne, hvis kommunerne ønsker det.
KL og KOMBIT's skabelon
KL og KOMBIT's skabelon for databehandleraftaler med tilhørende kommentarnotat kan fortsat hentes her i pdf-udgaver sådan, at kommunerne har mulighed for at kunne orientere sig i materialet, hvis der skulle opstå spørgsmål til skabelonen, så længe den fortsat anvendes.
Hent KL og KOMBIT's skabelon på dansk (PDF), og tilhørende kommentarnotat
Hent KL og KOMBIT's skabelon på engelsk (PDF)
Dataansvar ift. tillidsrepræsentanter
KL, Danske Regioner og Forhandlingsfællesskabet har udarbejdet en standardaftale med henblik på håndtering af dataansvaret ift. personoplysninger, som behandles og opbevares af tillidsrepræsenter, når tillidsrepræsentanten anvender et it-system, som arbejdsgiver har stillet til rådighed for tillidsrepræsentanten, ifm. dennes varetagelsen af sit tillidshverv.
Der skal ifølge Datatilsynet indgås en aftale mellem den faglige organisation (som dataansvarlig for tillidsrepræsentantens behandlinger) og den kommunale arbejdsgiver om håndtering af databeskyttelsesretlige problemstillinger, hvis tillidsrepræsentanten opbevarer materiale, indeholdende personoplysninger, på et af arbejdsgivers it-systemer, fx i mailsystemet.
Aftalen håndterer alene spørgsmål i relation til reglerne om databeskyttelse og er således ikke en del af det kollektive fagretlige system. Aftalen indgås lokalt, direkte mellem den enkelte kommune og de faglige organisationer (som dataansvarlige).
Kommunen kan beslutte at anvende standardaftalen som grundlag for denne lokale aftaleindgåelse. Vi henviser i den forbindelse til følgeskrivelsen til standardaftalen, som indeholder en nærmere beskrivelse af standardaftalens rammer og forudsætninger samt en beskrivelse af processen ift. indgåelse af standardaftalen.
KL og Forhandlingsfællesskabet anbefaler, at de lokale parter anvender standardaftalen, som den foreligger.
Standardaftale og følgeskrivelse kan findes her:
Spørgsmål til standardaftale og følgeskrivelse kan rettes til Inge Buhl; ifb@kl.dk
Databeskyttelsesrådgiver
Forordningen stiller krav om, at kommunerne udpeger en databeskyttelsesrådgiver.
Databeskyttelsesrådgiveren skal inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger. Og inddragelsen bør ske på øverste ledelsesmæssige niveau (fx ved deltagelse på direktions- og ledelsesmøder).
Implementér nødvendige procedurer
Rådgiveren afrapporterer direkte til kommunalbestyrelsen om kommunens overholdelse af de databeskyttelsesretlige regler. Det kan fx ske ved en årlig status, og når der opstår konkrete sager om fx sikkerhedsbrud, pressesager eller besøg fra Datatilsynet.
KL anbefaler, at kommunerne implementerer procedurer, der sikrer, at rådgiveren bliver inddraget og understøttet i afrapporteringen.
Vejledning om databeskyttelsesrådgivere
Justitsministeriet, Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen har efter ønske fra KL udarbejdet en vejledning om den nye databeskyttelsesrådgiverfunktion.
Find vejledning om databeskyttelsesrådgivere
Konsekvensanalyser
Forordningen stiller et nyt krav om, at kommunerne i særlige situationer skal sikre sig, at der bliver udarbejdet de såkaldte konsekvensanalyser af deres databehandlinger (data protection impact assessments, DPIA'er).
Konsekvensanalyserne skal udarbejdes, når der er tale om behandlinger, som er særligt risikobetonede, og dette skal ske før, behandlingen af personoplysningerne starter.
Kravet gælder ikke eksisterende behandlinger, som er blevet anmeldt til Datatilsynet efter de nu ophævede regler i persondatalovens kapitel 12.
For nye, særligt risikobetonede behandlingsaktiviteter skal der heller ikke altid udarbejdes konsekvensanalyser. Dette er ikke tilfældet, hvis der allerede er udarbejdet en generel konsekvensanalyse i forbindelse med udarbejdelsen af den lovgivning, der ligger til grund for behandlingerne.
Flere kommuner kan gå sammen om at få udarbejdet én fælles konsekvensanalyse for et givent nyt system, fx via KOMBIT. Kommunernes leverandør skal hjælpe med at udarbejde analysen.
Vejledning om konsekvensanalyser
Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om konsekvensanalyser. Vejledningen beskriver nærmere, hvornår der skal udarbejdes konsekvensanalyser og, hvad analyserne skal indeholde:
Hent vejledning om konsekvensanalyser (pdf).
Behandlingsaktiviteter, der er underlagt kravet om konsekvensanalyser
Datatilsynet har den 28. januar 2019 offentliggjort en liste over, hvilke behandlingsaktiviteter, der i hvert fald kræver, at der udarbejdes en konsekvensanalyse.
Hent Datatilsynets liste (pdf).
Listen skal læses i sammenhæng med Artikel 29-gruppens (nu Det Europæiske Databeskyttelses Råds) retningslinjer for konsekvensanalyser, WP248.
Overførsler til tredjelande
Overførselsgrundlaget har til formål er at sikre, at forordningens regler ikke udvandes, når oplysningerne overføres til lande uden for EU og EØS.
Læs mere om KL´s anbefalinger i forhold til overførsler til tredjelande her:
Fortegnelseskravet
Databeskyttelsesforordningen stiller et nyt krav om, at kommunerne skal udarbejde og opbevare fortegnelser over alle behandlinger af personoplysninger.
Fortegnelseskravet betyder, at kommunerne skal føre dokumentation over al behandlingsaktivitet – både behandlinger af ikke-følsomme oplysninger og følsomme oplysninger
Læs mere om fortegnelseskravet i betænkningen (s. 443-464)
Standardfortegnelser
For at lette kommunernes arbejde med at efterleve fortegnelseskravet har KL udarbejdet standardfortegnelser, som alle kommuner kan bruge.
Standardfortegnelserne er udsendt til alle kommuner april 2018. KL har desuden udarbejdet en guide til udfyldelse af standardfortegnelserne. Det er KL's ønske, at kommunernes administrative opgave med standardfortegnelserne lettes mest muligt.
Standardfortegnelserne er senest opdateret 16. marts 2020.
Opdateret vejledning om fortegnelseskravet
Datatilsynet har i august 2020 opdateret vejledningen om fortegnelseskravet. Den opdaterede vejledning stiller krav om en højere detaljeringsgrad i fortegnelserne ift. Den oprindelige vejledning fra 2018. KL er i gang med at se på, hvordan kommunerne hensigtsmæssigt inkorporerer de nye fortegnelseskrav i arbejdet med fortegnelserne. KL har drøftet de nye krav med Datatilsynet i foråret, men er endnu ikke nået til en endelig afklaring. KL vil komme med anbefalinger, når de nye krav er drøftet færdigt med Datatilsynet.
Læs mere om eller hent den opdaterede vejledning her (link)
Vejledninger
Siden 2012 har KL arbejdet intensivt – både nationalt og i EU-regi – med at sikre, at reglerne tager højde for den kommunale hverdag og for, at kommunerne får tilstrækkelig vejledning til at kunne implementere de nye regler.
Justitsministeriet og Datatilsynet har udgivet en række vejledninger på området.
Find de foreløbigt offentliggjorte vejledninger her.
Der udestår fortsat en vejledning fra Justitsministeriet og Datatilsynet om cloud-området.
Vejledningerne giver ikke svar på alle spørgsmål, og der vil derfor være en række forhold og spørgsmål, som KL ikke vil være i stand til at afklare, men som vil blive afklaret via Datatilsynets praksis i de kommende år.
Høringssvar
Error rendering the editoralias 'moduleRelatedNews'. Value cannot be null. Parameter name: source