Fælles dataansvar for de fælles digitale løsninger

Cirkulæreskrivelsen om fælles dataansvar tydeliggør ansvarsfordelingen på persondataområdet mellem Økonomistyrelsen og de institutioner, som bruger de fællesstatslige digitale løsninger.

Økonomistyrelsen og de institutioner, som anvender de fælles digitale løsninger, som Økonomistyrelsen stiller til rådighed, har fælles dataansvar efter databeskyttelsesforordningens artikel 26. Det betyder, at institutionerne har ansvar for de data, som de selv registrerer i systemerne og for de processer, der ligger lokalt i institutionen. 

Denne ansvarsdeling på persondataområdet mellem Økonomistyrelsen og institutionerne er dokumenteret gennem en cirkulæreskrivelse om fælles dataansvar.

Cirkulæreskrivelsen er udarbejdet af Økonomistyrelsen og Datatilsynet. 

Gå til cirkulæreskrivelse om fælles dataansvar på retsinformation.dk

Hvilke løsninger er omfattet af cirkulæreskrivelsen?

Cirkulæreskrivelsen omfatter aktuelt alle versioner af:

  • Navision Stat
  • IndFak
  • Statens Digitale Indkøb
  • RejsUd
  • Statens Koncernsystem (SKS)
  • Statens Budgetsystem (SBS)
  • Statens Lønløsning (SLS/HR-løn/BSL)
  • Statens eRekruttering
  • Campus
  • Statens HR
  • Statens BI – LDV
  • Statens BI – ISOLA
  • Central Integrationsplatform (CIP)
  • Statens Single Sign-On

Overordnet ansvarsdeling på persondataområdet

Det er den enkelte institutions ansvar at efterleve ansvarsdelingen i cirkulæreskrivelsen og bedst muligt at understøtte den registreredes rettigheder.

Økonomistyrelsen har ansvar for at foretage passende tekniske og organisatoriske foranstaltninger i de fællesstatslige digitale løsninger. Det betyder, at foranstaltningerne skal matche risiciene for behandlingen af personoplysninger i de forskellige løsninger.

Den enkelte institution har ansvar for den behandling af personoplysninger, som finder sted, når institutionen anvender løsningerne.

Det betyder, at institutionen blandt andet har ansvar for:

  • egne data, som de registrerer i systemerne, herunder at indsamle og registrere oplysninger korrekt
  • passende tekniske og organisatoriske foranstaltninger ved egne processer
  • passende tekniske og organisatoriske foranstaltninger ved opbevaring af data uden for løsningerne
  • at behandle anmodninger eller henvendelser fra de registrerede.

Hjælp til institutionens oplysningspligt

Når man behandler oplysninger om personer, har man pligt til at informere personerne (de registrerede) om behandlingen af oplysningerne. Det kaldes oplysningspligten. Den enkelte institution bør sikre, at deres oplysningspligt lever op til databeskyttelsesforordningen og afspejler Økonomistyrelsens behandling af personoplysningerne. En måde at oplyse om dette kunne lyde:

Økonomiske og administrative personoplysninger videregives til Økonomistyrelsen i regi af regnskabsbekendtgørelsen (BEK nr. 116 af 19. februar 2018) og cirkulæreskrivelsen om fælles dataansvar (CIS nr. 9223 af 23. marts 2018) med henblik på lønudbetaling, administration, økonomistyring, analyser med videre.

Får institutionen henvendelser, som den ikke kan besvare uden Økonomistyrelsens bistand, så kan den henvende sig til Økonomistyrelsen via .