Kontakt
Karin Hoffmann-Hansen
Jura & EU
Telefon: +45 3370 3261
E-mail: kahh@kl.dk
Louise Marie Jespersen
Digitalisering & Teknologi
Telefon: +45 3370 3025
E-mail: lomj@kl.dk
KL hjælper kommunerne med at implementere databeskyttelsesreglerne gennem vejledninger, skabeloner og kurser.
KL hjælper kommunerne med at implementere de nye regler gennem vejledninger og skabeloner, Sikkerhedsprogrammet og kurser. I den forbindelse har KL udviklet en række materialer og værktøjer, som kommunerne kan gøre brug af i arbejdet med databeskyttelse, cyber- og informationssikkerhed mm. Blandt disse materialer findes viden om regler, hensigtsmæssig adfærd, den risikobaserede tilgang, drejebøger der kan understøtte det kommunale arbejde med informationssikkerhed og beredskab, en rejsefortælling om roller og ansvar samt korte interaktive webkurser.
Alle materialer og værktøjer kan findes på KL's videncenter under Databeskyttelse, cyber- og informationssikkerhed.
KL offentliggjorde i januar 2020 det såkaldte "GDPR-benspændskatalog". Kataloget skulle skabe opmærksomhed omkring de udfordringer, kommunerne oplevede ved implementeringen af databeskyttelsesforordningen, GDPR.
I april 2020 satte Justitsministeren en national evaluering af databeskyttelsesreglerne i gang. Med bidrag fra 71 kommuner sendte KL i oktober 2020 høringssvar til Justitsministeriets evaluering.
Hent KL's høringssvar:
Bilag 1 Kommunernes 10 højest prioriterede GDPR-problemstillinger.pdf
Bilag 2 GDPR-udfordringer og løsninger.pdf
Justitsministeriet har i efteråret 2022 gennemført to supplerende høringer til den nationale evaluering af databeskyttelsesreglerne. KL har indsendt høringssvar hertil i oktober og november 2022:
Hent KL's supplerende høringssvar:
Supplerende høringssvar om rollefordelingen som dataansvarlig og databehandler.pdf
Justitsministeriet har offentliggjort resultaterne af evalueringen i to delrapporter i henholdsvis januar 2021 og juli 2021.
Hent Justitsministeriets delrapporter:
Delrapport om national evaluering af databeskyttelsesreglerne (ft.dk)
Delrapport II om national evaluering af databeskyttelsesreglerne (ft.dk)
Datatilsynets bidrag til delrapport II (ft.dk)
Det samlede materiale til delrapport II (ft.dk)
KL foreslår i høringssvaret, at Justitsministeriet to år efter evalueringen igen gennemfører en national evaluering. - For at vurdere, om de tiltag, særligt vejledningstiltag, der bliver sat i værk som følge af evalueringen har virket efter hensigten. Eller om der er behov for i EU-regi at bede om forenkling af reglerne.
Som afsæt for den videre dialog herom har KL har i februar 2022 udarbejdet en status på de 76 GDPR-udfordringer, som KL på vegne af kommunerne har sendt til Justitsministeriet som bilag 2 til KL´s høringssvar. Den udarbejdede status tager udgangspunkt i Justitsministeriets og Datatilsynets evalueringsrapporter men henviser også til afklaringer, som foreligger på grundlag af afgørelser og vejledninger fra Datatilsynet.
Status på kommunernes input til den nationale evaluering af GDPR.pdf
EU-domstolen har i juli 2020 truffet afgørelse i den såkaldte "Schrems II-sag". Afgørelsen har betydning for kommunernes aftaler med deres databehandlere, når der overføres persondata til USA og andre tredjelande, fx via cloud-løsninger.
Hvis kommunerne via deres databehandlere overfører data om borgerne til tredjelande, dvs. lande uden for EU og EØS, skal kommunerne sikre sig, at der foreligger et særligt juridisk grundlag for overførslen. Det såkaldte "overførselsgrundlag". Det følger af reglerne i databeskyttelsesforordningen. Overførsler til tredjelande sker typisk, når databehandleren anvender en cloud-løsning.
Schrems II-dommen har to væsentlige konsekvenser for overførsler til tredjelande:
EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte "Privacy Shield"-ordning (efterfølgeren til "Safe Harbour") ikke er et gyldigt overførselsgrundlag.
Domstolen har vurderet, at Privacy Shield-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA´s lovgivning om national sikkerhed mv., som giver myndighederne særlige beføjelser i forhold til adgangen til data.
Afvisningen af Privacy Shield som gyldigt overførselsgrundlag betyder, at man som dataansvarlig skal anvende et andet overførselsgrundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se dog pkt 2 nedenfor.
EU-domstolen stiller imidlertid i dommen yderligere krav i forhold til brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller andre tredjelande. Som dataansvarlig skal man kortlægge, om lovgivningen og praksis i de enkelte tredjelande respekterer de krav til beskyttelse af data, som EU-lovgivningen stiller. – Sådan at overførselsgrundlaget i praksis er effektivt. Og dette skal ske i forhold til de specifikke dataoverførsler til det enkelte tredjeland.
Og hvis det ikke er tilfældet, skal man ligeledes afklare, hvilke supplerende foranstaltninger der skal aftales med leverandøren for at opnå et effektivt beskyttelsesniveau.
Det er KL´s anbefaling, at kommunerne følger de seks skridt for ansvarlig dataoverførsel, som er beskrevet i Det Europæiske Databeskyttelsesråds "Henstilling nr. 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveauet for beskyttelse af personoplysninger".
KL anbefaler dog, at kommunerne ikke bruger resurser på at vurdere hver enkelt tredjelands databeskyttelsesniveau i forhold til de enkelte dataoverførsler, herunder lovgivning og praksis på området. I stedet anbefaler KL kommunerne at tage udgangspunkt i, at alle ikke godkendte tredjelande har problematisk lovgivning og/eller praksis. Sådan som Datatilsynet lægger op til i deres cloud-vejledning, s. 20.
Det betyder, at kommunerne i forhold til tredjelandsoverførsler bør:
Opdateret 8. juni 2022.
Kommunerne skal være opmærksomme på de databeskyttelsesretlige regler, når de opretter kommunesider på Facebook. Her kan du læse om behovet for at indgå en databehandleraftale og en aftale om fælles dataansvar med Facebook.
Når kommunen opretter en kommuneside på Facebook, er kommunen dataansvarlig for den behandling af personoplysninger, der sker på siden. Og Facebook er som leverandør af Facebook-platformen som udgangspunkt databehandler for kommunen. Det betyder, at kommunerne skal indgå en databehandleraftale med Facebook - Også selvom Facebook er gratis at anvende.
Facebook har lavet et bud på en databehandleraftale for behandlingen af kommunernes data. Det er KL's vurdering, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til kravene til indholdet af en databehandleraftale.
Facebook har på deres hjemmeside offentliggjort følgende databehandlervilkår:
Der gælder ikke nogen krav til, hvordan en databehandleraftale skal være udformet. Vilkårene for databehandling og vilkårenes henvisning til Facebooks produkt-/tjenestevilkår, herunder datapolitik, vil derfor i udgangspunktet godt kunne udgøre den databehandleraftale, som kommunerne skal indgå med Facebook.
KL har gennemgået Facebooks databehandlervilkår. Den fulde gennemgang kan du læse i dokumentet nedenfor.
KL's vurdering af Facebooks databehandlervilkår.pdf
Samlet set er det KL's vurdering, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til kravene til indholdet af en databehandleraftale. Vilkårene har nogle indholdsmæssige mangler, men væsentligst er, at formålet med en databehandleraftale er at skabe klarhed over databehandlerens rolle og, at denne kun kan behandle oplysninger på vegne af de dataansvarlige. Aftalen skal således tydeliggøre, at databehandleren ikke selv kan definere, til hvilket formål og med hvilke midler, der skal ske behandling af personoplysninger.
KL ser, at Facebooks databehandlervilkår skaber tvivl om, hvilken rolle Facebook reelt påtager sig. Kommunerne gives som dataansvarlige reelt ikke nogen instruktionsbeføjelse, i stedet må kommunerne acceptere behandlinger og vilkår, fx i forhold til sletning og brugen af data, som Facebook definerer. Hermed skabes der tvivl om databehandlerens rolle og forpligtelser.
Imidlertid afspejler vilkårene den reelle ansvarsfordeling mellem kommunerne og Facebook. Og Datatilsynet er i deres svar til KL´s GDPR-benspænd også enige i, at der reelt er tale om et fælles dataansvar mellem kommunerne og Facebook. Og at kommunerne derfor i stedet skal indgå en aftale om fælles dataansvar med Facebook.
KL mener, at kommunerne skal indgå en aftale om fælles dataansvar med Facebook. Datatilsynet er opmærksom på, at det kræver, at Facebook medvirker til en løsning, og Datatilsynet vil følge op på dette. KL anbefaler kommunerne at afvente Datatilsynets afklaring af, hvordan kommunerne skal få indgået en aftale om fælles dataansvar med Facebook.
Kommunerne kan undgå at skulle indgå en aftale om fælles dataansvar med Facebook. Det kræver, at kommunerne sikrer, at der ikke optræder personoplysninger på deres Facebook-side. Dette kan kommunerne gøre ved:
helt at undlade at lægge personoplysninger (herunder billeder af genkendelige personer) på siden. Det er ikke nok, at kommunerne har indhentet samtykke til behandlingen af personoplysningerne på kommunens side
lukke for indbakke-/beskedfunktionen sådan, at borgerne ikke kan skrive til kommunen via Facebook.
Datatilsynet har tidligere udtalt sig om, hvordan man sikrer, at der ikke behandles oplysninger på ens Facebook-side, som man bliver dataansvarlig for.
Når kommunerne opretter kommunesider (såkaldte "fansider" på Facebook) får kommunerne automatisk adgang til et Facebook-statistikværktøj, Facebook-Insights ("Indblik i side"). Værktøjet giver kommunen adgang til anonyme statistiske informationer om, hvem der besøger kommunens Facebook-side. EU-domstolen har vurderet, at dette betyder, at kommunen sammen med Facebook er fælles dataansvarlig for de personoplysninger, som bliver indsamlet om de besøgende på kommunens side. KL stiller sig tvivlsom heroverfor ift. den nuværende indretning af værktøjet. Det er derfor også tvivlsomt, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook.
Det er tvivlsomt, om kommunerne ud fra den nuværende indretning af Indblik i side reelt kan siges at være fælles dataansvarlige med Facebook. Det er derfor også tvivlsomt, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook i forhold til dette værktøj.
KL vil anbefale, at kommunerne i forhold til dataansvaret for behandlingerne i Indblik i side-modulet ikke indgår en særskilt aftale om fælles dataansvar med Facebook.
Når kommuner og andre administratorer opretter fansider, giver de Facebook mulighed for at placere cookies på de besøgendes computere. Og dermed kan Facebook udarbejde statistikkerne. EU-domstolen har vurderet, at dette betyder, at kommunen sammen med Facebook er fælles dataansvarlig for de personoplysninger, som bliver indsamlet om de besøgende på kommunens side. Det skyldes, at EU-domstolen vurderer, at kommunen er med til at afgøre til hvilket formål og med hvilke hjælpemidler, der foretages behandling af personoplysninger om de besøgende på kommunens side. Det fremgår af en dom fra EU-Domstolen fra 5. juni 2018.
Datatilsynet er kommet med en udtalelse om konsekvenserne af dommen bl.a., at sideadministratorer vil skulle indgå en aftale om fælles dataansvar med Facebook. En sådan aftale vil skulle indeholde en ansvarsfordeling med Facebook, særligt i forhold til registreredes rettigheder.
Facebook har også udtalt sig om dommen og anfører, at Indblik i side har ændret sig meget siden 2011.
Dommen fra EU-Domstolen forholder sig til indretningen af Facebook-Insights-værktøjet, sådan som det så ud i 2011, som Facebook også påpeger i deres udtalelse. Det fremgår af dommen, at "… oprettelsen af en fanside … indebærer, at administratoren foretager en indstilling … som har indflydelse på behandlingen af personoplysningerne med henblik på udarbejdelsen af statistikker på grundlag af besøg på fansiden. Denne administrator kan ved hjælp af de filtre, som Facebook stiller til rådighed, definere de kriterier, som statistikkerne skal udarbejdes på grundlag af, og angive de kategorier af personer, som Facebook skal indsamle personoplysninger om." (Præmis 36).
KL's vurdering
KL har været i kontakt med flere kommuner, som har fansider på Facebook. Kommunerne oplyser, at kommunerne ikke i Indblik i side-modulet kan anmode om at få vist – og dermed stille krav om at der behandles – specifikke data om de besøgende på fansiden, fx informationer om de besøgendes indkøbsadfærd. I modulet stilles kun standardoplysninger om de besøgende til rådighed for kommunen. KL stiller sig derfor tvivlsom over for, om kommunerne ud fra den nuværende indretning af Indblik i side reelt kan siges at være fælles dataansvarlige med Facebook. KL er derfor også tvivlende over for, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook i forhold til dette værktøj.
Facebook har udarbejdet en aftaletekst om dataansvaret, som kommunerne automatisk er omfattet af, når de opretter en kommuneside. Af aftaleteksten fremgår det, at Facebook påtager sig hovedansvaret for behandlingen af de statistiske data, bla. ansvaret for registreredes rettigheder, herunder oplysningspligten, og ansvaret for behandlingssikkerhed. Og at Facebook vil gøre hovedindholdet af aftaleteksten tilgængeligt for de besøgende.
KL vil anbefale, at kommunerne i forhold til dataansvaret for behandlingerne i Indblik i side-modulet ikke indgår en særskilt aftale om fælles dataansvar med Facebook. Kommunerne kan evt. henvise til Facebooks aftaletekst.
Forordningen stiller krav om, at der skal indgås en databehandleraftale med alle, der behandler data på vegne af kommunen.
I regi af KL´s "Partnerskab om informationssikkerhed" er der i 2022 udarbejdet en standardiseret udfyldelse af Datatilsynets standardkontraktsbestemmelser. Skabelonen skal hjælpe kommunerne i arbejdet med at indgå databehandleraftaler og understøtte samarbejdet om kommunernes databehandleraftaler i regi af Det fælleskommunale Databehandlersekretariat (DBS).
DBS vedligeholder den forudfyldte skabelon og den tilhørende vejledning. Ligesom der vil blive afholdt kurser i brugen af skabelonen for medlemskommunerne i DBS.
KL, Danske Regioner og Forhandlingsfællesskabet har udarbejdet en standardaftale med henblik på håndtering af dataansvaret ift. personoplysninger, som behandles og opbevares af tillidsrepræsenter, når tillidsrepræsentanten anvender et it-system, som arbejdsgiver har stillet til rådighed for tillidsrepræsentanten, ifm. dennes varetagelsen af sit tillidshverv.
Der skal ifølge Datatilsynet indgås en aftale mellem den faglige organisation (som dataansvarlig for tillidsrepræsentantens behandlinger) og den kommunale arbejdsgiver om håndtering af databeskyttelsesretlige problemstillinger, hvis tillidsrepræsentanten opbevarer materiale, indeholdende personoplysninger, på et af arbejdsgivers it-systemer, fx i mailsystemet.
Aftalen håndterer alene spørgsmål i relation til reglerne om databeskyttelse og er således ikke en del af det kollektive fagretlige system. Aftalen indgås lokalt, direkte mellem den enkelte kommune og de faglige organisationer (som dataansvarlige).
Kommunen kan beslutte at anvende standardaftalen som grundlag for denne lokale aftaleindgåelse. Vi henviser i den forbindelse til følgeskrivelsen til standardaftalen, som indeholder en nærmere beskrivelse af standardaftalens rammer og forudsætninger samt en beskrivelse af processen ift. indgåelse af standardaftalen.
KL og Forhandlingsfællesskabet anbefaler, at de lokale parter anvender standardaftalen, som den foreligger.
GDPR-aftale underskrevet af FF - med links til følgeskrivelse.pdf
Følgeskrivelse til standardaftale om TR's anvendelse af it-system.pdf
Spørgsmål til standardaftale og følgeskrivelse kan rettes til Inge Buhl; ifb@kl.dk
Databeskyttelsesforordningen stiller et krav om, at kommunerne skal udarbejde og opbevare fortegnelser over alle behandlinger af personoplysninger.
For at lette kommunernes arbejde med at efterleve fortegnelseskravet har KL udarbejdet standardfortegnelser, som alle kommuner kan bruge. KL har desuden udarbejdet en guide til udfyldelse af standardfortegnelserne. Det er KL's ønske, at kommunernes administrative opgave med standardfortegnelserne lettes mest muligt.
Standardfortegnelserne er opdateret med nye KLE-numre 16. marts 2020. Efter denne dato skal kommunerne selv opdatere fortegnelserne med nye KLE-numre.
Hent standardfortegnelserne og guide til udfyldelse (Videncenter)
Datatilsynet har i august 2020 opdateret vejledningen om fortegnelseskravet. Den opdaterede vejledning stiller krav om en væsentlig øget detaljeringsgrad i fortegnelserne ift. den oprindelige vejledning fra 2018. Det er imidlertid KL´s opfattelse, at kommunerne ikke som følge af den opdaterede fortegnelsesvejledning skal foretage ændringer i standardfortegnelserne, medmindre disse justeres.
Datatilsynet har i sit bidrag til den nationale evaluering af databeskyttelsesreglerne, s. 27, oplyst følgende om de øgede krav:
"Datatilsynet kan ikke afvise, at der vil være dataansvarlige, der vil skulle foretage visse ændringer i deres fortegnelser efter artikel 30 som følge af tilsynets ændringer fra august 2020. Datatilsynet forventer imidlertid ikke, at dataansvarlige – som følge af ændringerne – genåbner deres fortegnelse. Datatilsynet forventer, at eventuelle tilpasninger eller justeringer af fortegnelsen sker løbende, når dokumenterne alligevel skal justeres eller ajourføres."