Fælles dataansvar for fællesstatslige it-systemer
Cirkulæret om fælles dataansvar tydeliggør ansvarsdelingen på persondataområdet mellem Økonomistyrelsen og de institutioner, som benytter de fællesstatslige it-systemer.
Økonomistyrelsen og Datatilsynet har i samarbejde udarbejdet en cirkulæreskrivelse om fælles dataansvar. Cirkulæret tydeliggør ansvarsdelingen på persondataområdet mellem Økonomistyrelsen og de institutioner, som benytter de fællesstatslige systemer.
Cirkulæreskrivelsen sikrer en dokumenteret og klar ansvarsdeling mellem Økonomistyrelsen og institutionerne efter databeskyttelsesforordningens artikel 26 om fælles dataansvar. Institutionerne har fortsat ansvar for de data, som de selv registrerer i systemerne, og for de processer, der ligger lokalt i institutionen.
Gå til cirkulæreskrivelse om fælles dataansvar på retsinformation.dk
Hvilke systemer er omfattet af cirkulæreskrivelsen?
Cirkulæreskrivelsen omfatter p.t. alle versioner af følgende systemer:
- Navision Stat
- IndFak
- RejsUd
- Statens Koncernsystem (SKS)
- Statens Budgetsystem (SBS)
- Statens Lønløsning (SLS/HR-løn/BSL/SP)
- Statens eRekruttering
- Campus
- Statens HR
- Statens BI – LDV
- Statens BI – ISOLA
- Finansministeriets Forhandlingsdatabase
- ØDUP
- Statens SSO (Single Sign-on)
Overordnet ansvarsdeling på persondataområdet
Den overordnede ansvarsdeling er ikke ændret som følge af cirkulæret. Det er den enkelte institutions ansvar at efterleve ansvarsdelingen i cirkulæreskrivelsen og bedst muligt understøtte den registreredes rettigheder.
Læs mere om den overordnede ansvarsdeling på sikkerhedsområdet under Sikkerhed og ansvar
I forhold persondataområdet har Økonomistyrelsen ansvar for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau i de fællesstatslige it-systemer, der passer til risiciene for behandlingen i de forskellige systemer.
Den enkelte institution har ansvar for den behandling af personoplysninger, som finder sted når institutionen anvender systemerne. Herunder korrekt indsamling og registrering af oplysninger. Den enkelte institution har derudover ansvar for passende tekniske og organisatoriske foranstaltninger i forbindelse med egne processer og opbevaring af data uden for systemerne.
Varetagelsen af den registreredes rettigheder – oplysningspligten
Den enkelte institution har ansvar for egne data og for at behandle anmodninger eller henvendelser fra de registrerede.
Den enkelte institution bør sikre, at deres oplysningspligt lever op til databeskyttelsesforordningen i forhold til Økonomistyrelsens behandling af personoplysninger. En måde at oplyse om dette kunne lyde sådan her:
”Økonomiske og administrative personoplysninger videregives til Økonomistyrelsen i regi af regnskabsbekendtgørelsen (BEK nr 116 af 19/02/2018) og cirkulæret om fælles dataansvar (CIS nr 9223 af 23/03/2018) med henblik på lønudbetaling, administration, økonomistyring, analyser med videre.”
Får institutionen henvendelser, som den ikke kan besvare uden Økonomistyrelsens bistand, så kan den henvende sig til Økonomistyrelsen via .