Til Økonomi- og Indenrigsministeriet 18. september 2017

Relaterede dokumenter
Dispensation fra lov om kommunernes styrelse

Til Økonomiudvalget 19. november Notat om ansvarsfordelingen mellem Økonomiudvalget og borgmestrene.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Retningslinje om databeskyttelsesrådgivere

Retningslinje om databeskyttelsesrådgivere

Bilag 1 - Beskrivelse af den indstillede Model 1og den alternative Model 2

DATABEHANDLERAFTALE. Omsorgsbemanding

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Forslag til modeller for Københavns Kommunes revisionsordning, herunder Intern Revision og Revisionsudvalget

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Aftale vedrørende fælles dataansvar

Databeskyttelsesrådgiver/DPO. artikel 37-39

Introduktion til persondataforordning

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Funktionsbeskrivelse. for. Intern Revision og Databeskyttelsesrådgiver. Københavns Kommune

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Notatet beskriver de tre modeller for organiseringen af Københavns Kommunes revisionsordning, herunder Revisionsudvalget og Intern Revision.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

! Databehandleraftale

Revisionsregulativ. for. Københavns Kommune

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Behandling af personoplysninger

GML-HR A/S CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Plan og Handling CVR-nr.:

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Databehandleraftale. Databehandleraftale webcrm, Maj Side 1 / 9

Komiteen for Sundhedsoplysning CVR-nr.:

Bilag B Databehandleraftale pr

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Lector ApS CVR-nr.:

Kontraktbilag 3. Databehandleraftale

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Revisionsudvalgets mandat

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Folketinget Retsudvalget Christiansborg 1240 København K

BILAG 14: DATABEHANDLERAFTALE

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Bilag A Databehandleraftale pr

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

INFORMATIONSSIKKERHEDSREGULATIV

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Persondataforordningen - set med danske øjne

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

DATABEHANDLERAFTALE [LEVERANDØR]

Direktionssekretariatet. Vedtægt. for borgerrådgiveren i Norddjurs Kommune

Tjekliste til databehandleraftaler

INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale

FAQ. Nye databehandleraftaler til Subit s online vikarløsning. Version 1 august 2018

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Standardvilkår. Databehandleraftale

D A T A B E H A N D L E R A F T A L E

Rollen som DPO. September 2016

Databehandleraftale (v.1.1)

Overblik over persondataforordningen

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 6, L 69 endeligt svar på spørgsmål 6 Offentligt

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

FAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Dette notat beskriver borgmesterens formelle kompetence set i forhold til udvalget og forvaltningen tegnet ved direktionen.

Databehandlingsaftale

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Erhvervs-, Vækst- og Eksportudvalget L 146 endeligt svar på spørgsmål 48 Offentligt

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Stk. 2 Borgerrådgiverfunktionen kan i de tilfælde, som er nævnt i 3, stk. 1 vejlede borgerne om eventuelle klagemuligheder.

Vejledning om informationssikkerhed

Databehandleraftale (Skabelon fra Datatilsynet)

DATABEHANDLERAFTALE

FAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Databehandleraftale. Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.: ( Databehandleren ) Dato: 8/20/ :38:52 AM

Persondatapolitik Vordingborg Gymnasium & HF

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Transkript:

Økonomiforvaltningen NOTAT Til Økonomi- og Indenrigsministeriet 18. september 2017 Udtalelse om databeskyttelsesrådgiverens opgaver er forenelige med chefen for Intern Revisions opgaver. Københavns Kommune har overfor Økonomi og Indenrigsministeriet varslet en ansøgning om dispensation efter 65 c i lov om kommunernes styrelse (KSL) bl.a. til den midlertidige bestemmelse i 26, stk. 3, i Københavns Kommunes Styrelsesvedtægt (KKSTV) om, at Chefen for Intern Revision er kommunens databeskyttelsesrådgiver og varetager opgaven med at føre tilsyn med kommunens overholdelse af den til enhver tid gældende lovgivning om beskyttelse af persondata. Økonomi og Indenrigsministeriet har i den anledning i en mail af 12. september 2017 anmodet Københavns Kommune om en begrundet udtalelse om, hvorvidt de krav, som databeskyttelsesforordningen stiller til databeskyttelsesrådgiverens stilling, er forenelige med hvervet som chef for Intern Revision i Københavns Kommune. Ministeriet har herved henvist til bestemmelsen i forordningens artikel 38, herunder navnlig til stk. 3 om uafhængighed og beskyttelse af stilling, og til stk. 6, hvorefter den dataansvarlige eller databehandleren sikrer, at databeskyttelsesrådgiverens eventuelle andre opgaver ikke medfører en interessekonflikt i forhold til opgaverne som kommunens databeskyttelsesrådgiver. Ministeriet henviser endvidere til Justitsministeriets betænkning om databeskyttelsesforordningen (1565/2017) s.580-584. Ministeriet anmoder om, at udtalelsen omfatter en redegørelse for de opgaver, der påhviler Intern Revision, herunder om eventuelle berøringsflader mellem disse opgaver og Københavns Kommunes databehandlingsaktiviteter. Københavns Kommune udtaler under henvisning hertil følgende: Under hensyn til Københavns Kommunes størrelse samt kommunens styreform mellemformstyre med delt administrativ ledelse - hvor den øverste daglige administrative ledelse af forvaltningen er delt mellem overborgmesteren og borgmestrene for de stående udvalg (udvalgsformændene), vil databeskyttelsesrådgiverfunktionen i Københavns Kommune mest hensigtsmæssigt kunne varetages af chefen for Intern Revision, der er organiseret direkte under Borgerrepræsentationen, uafhængig af forvaltningen, jf. nedenfor. Chefjurist Rådhuset 1599 København V Telefon 33 66 33 66 Telefax 33 66 70 10 Direkte telefon 33 66 22 87 E-mail vi@okf.kk.dk EAN nummer 5798009800220 www.kk.dk

Chefen for Intern Revision har siden oktober 2016 med hjemmel i den gældende midlertidige bestemmelse i KKSTV 26, stk. 3, varetaget opgaver, som efter databeskyttelsesforordningens ikrafttræden vil skulle varetages af kommunens databeskyttelsesrådgiver. Således har chefen for Intern Revision en central rolle i forbindelse med kommunens forberedelse og implementering af databeskyttelsesforordningen. Side 2 af 6 Under henvisning til redegørelsen nedenfor er det Københavns Kommunes vurdering, at de krav, som databeskyttelsesforordningen stiller til databeskyttelsesrådgiverens stilling, er forenelige med hvervet som chef for Intern Revision i Københavns Kommune. Chefen for Intern Revision er allerede i dag sikret uafhængighed, ligesom chefen for Intern Revision refererer direkte til kommunens øverste ledelse Borgerrepræsentationen, herunder til Revisionsudvalget, som er et rådgivende udvalg, nedsat direkte under Borgerrepræsentationen med hjemmel i KSL 17, stk.4. Udvalget er sammensat af 7 medlemmer af Borgerrepræsentationen. De andre opgaver, som chefen for Intern Revision varetager, jf. nedenfor, indebærer ikke nogen risici for interessekonflikt i forhold til databeskyttelsesrådgiverens ansvar og opgaver i henhold databeskyttelsesforordningens bestemmelser. Databeskyttelsesforordningens krav til databeskyttelsesrådgiverens stilling. Artikel 38 i databeskyttelsesforordningen indeholder følgende bestemmelse om databeskyttelsesrådgiverens stilling: 1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger. 2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter. 3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver.

Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige og databehandleren. 4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning. 5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. 6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører interessekonflikt. Side 3 af 6 Justitsministeriets betænkning om databeskyttelsesforordningen (1565/2017) indeholder en nærmere fortolkning af kravene i forordningens artikel 38, herunder kravene til uafhængighed og beskyttelse af stilling (afsnit 5.20.3.6 ). Om fortolkningen af den øverste daglige ledelse er på side 579-580 for så vidt angår kommuner og regioner anført, at der må lægges vægt på, at disse er administrative myndigheder, hvis øverste ledelse er et politisk valgt kollegialt organ. På den baggrund må forordningen forstås sådan, at databeskyttelsesrådgiveren skal rapportere direkte til kommunalbestyrelsen henholdsvis regionsrådet uden den forudgående udvalgsbehandling, som de kommunale og regionale sager ellers normalt skal undergives. Forordningen regulerer ikke den organisatoriske placering af databeskyttelsesrådgiveren hos den dataansvarlige og databehandleren. For kommuner og regioners vedkommende betyder det, at databeskyttelsesrådgiveren vil indgå som en almindelig del af forvaltningen og være underlagt et udvalg. Økonomi- og Indenrigsministeriet vil efter en konkret vurdering efter 65 c i lov om kommunaernes styrelse henholdsvis regionslovens 36 meddele dispensation til, at databeskyttelsesrådgiveren organiseret direkte under kommunalbestyrelsen henholdsvis regionsrådet. I betænkningen er der om kravet om, at databeskyttelsesrådgiveren ikke må afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver under afsnittet om Beskyttelse af stilling anført, at bestemmelsen indebærer, at databeskyttelsesrådgiveren er beskyttet mod afskedigelse eller sanktioner for at udføre sine opgaver i henhold til artikel 39. Beskyttelsen af stillingen er med til at sikre den tilsigtede

uafhængighed og uvildighed. Omvendt er der ikke noget til hinder for, at databeskyttelsesrådgiveren afskediges på et sagligt grundlag, f.eks. hvis vedkommende ikke udfører sine opgaver efter artikel 39 eller i øvrigt misligholder ansættelsesforholdet væsentligt. Databeskyttelsesrådgiveren vil således kunne afskediges på et sagligt grundlag efter almindelige arbejdsretlige regler. Side 4 af 6 I betænkningen er der om kravet om, at der ikke må være en interessekonflikt i forhold til databeskyttelsesrådgiverens andre opgaver anført, at databeskyttelsesrådgiveren ikke samtidig med hvervet som databeskyttelsesrådgiver kan være ansvarlig for den dataansvarliges eller databehandlerens behandlingsaktiviteter, herunder for at persondataretlige regler f.eks. sikkerhedskravene overholdes i organisationen. Det er videre anført, at databeskyttelsesrådgiveren vil kunne inddrages i organisationens implementering af de krav, der følger af forordningen. Endvidere, at Dermed skal databeskyttelsesrådgiveren f.eks. inddrages i forbindelse med indkøb af nyt IT -system og dertilhørende overvejelser om databeskyttelse gennem design og gennem standardindstillinger efter artikel 25, herunder i forbindelse med formulering af kravspecifikationer til leverandørerne. Databeskyttelsesrådgiveren kan og skal også involveres i f.eks. udarbejdelse af organisationens politikker på databeskyttelsesområdet. Artikel 39 i databeskyttelsesordningen indeholder følgende bestemmelser om databeskyttelsesrådgiverens opgaver: 1. Databeskyttelsesrådgiveren har som minimum følgende opgaver: a) at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35 Side 5 af 6 d) at samarbejde med tilsynsmyndigheden e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål. 2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål. Københavns Kommunes Interne Revisions organisering og opgaver. KKSTV 26 indeholder følgende bestemmelser om Københavns Kommunes Interne Revision: 26. Der etableres en Intern Revision, som administreres direkte under Borgerrepræsentationen. Borgerrepræsentationen fastsætter de nærmere regler for dennes virksomhed. Stk. 2. Intern Revision skal bistå kommunens revisor i dennes revision af kommunens regnskaber, samt understøtte Borgerrepræsentationen i dennes tilsyn med forvaltningen af kommunens økonomiske midler. Stk. 3. Chefen for Intern Revision er kommunens databeskyttelsesrådgiver og varetager opgaven med at føre tilsyn med kommunens overholdelse af den til enhver tid gældende lovgivning om beskyttelse af persondata. Stk. 4. Intern Revision ledes af en revisionschef, som ansættes og afskediges af Borgerrepræsentationen. Intern Revision er en enhed organiseret direkte under Borgerrepræsentationen kommunens øverste ledelse - uafhængig af forvaltningerne. En væsentlig begrundelse for organiseringen af Intern Revision uafhængig af forvaltningen er Københavns Kommunes styreform - mellemformstyre med delt administrativ ledelse. I Københavns Kommune er ansvaret for den administrative ledelse af forvaltningen således ikke samlet direkte under Borgerrepræsentationen, men ansvaret herfor er delt på udvalgsniveau, således at overborgmesteren og borgmestrene for de stående udvalg (udvalgsformændene) har

ansvaret for den administrative ledelse af forvaltningen indenfor hver deres udvalgsområde. Side 6 af 6 Intern Revision er etableret med det formål at understøtte god og effektiv økonomistyring i Københavns Kommune, herunder at understøtte Borgerrepræsentationen i dennes tilsyn med forvaltningen af kommunens økonomiske midler. Intern Revisions opgaver og ansvar ud over databeskyttelsesrådgiverfunktionen - er: 1. At forsyne Borgerrepræsentationen, udvalgene og den administrative ledelse med objektive og uafhængige vurderinger 2. At yde rekvireret rådgivning og assistance inden for økonomistyring, risikostyring og intern kontrol 3. At bistå kommunens eksterne revisor i dennes varetagelse af den lovpligtige revision Borgerrepræsentationen har besluttet, at Intern Revision skal inddrages forinden kommunen iværksætter væsentlige ændringer i: Det regnskabsmæssige regelsæt Regnskabssystemer Økonomistyringssystemer IT - systemer

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback