Så skyddas dina personuppgifter av Stockholm Vatten och Avfall

[6_Dataskyddsombudets årsrapport 2025.pdf] Dnr: 2026-03-17 26SVOA148 1 (1) Avdelningen Verksamhetsstöd Styrelsen för Stockholm Avfall AB Moon Carlbring Dataskyddsombudets årsrapport 2025 FÖRSLAG TILL BESLUT Styrelsen föreslås besluta att anta årsrapporten från bolagets dataskyddsombud att ge bolaget i uppdrag att vidta åtgärder i enlighet med rekommendationerna Christian Rockberger Verkställande direktör Niklas Björkman Avdelningschef Verksamhetsstöd Bilaga: Dataskyddsombudets årsrapport 2025 SVOA GDPR årsrapport År 2025 Stockholm Vatten och Avfall AB nämnd eller bolag GDPR årsrapport Januari 2025 Dnr: 2026 SVOA41 Utgivningsdatum: 2026-01-07 Kontaktperson: Moon Carlbring Sammanfattning Dataskyddsförordning (General Data Protection Regulation, GDPR) syftar till att skydda individers grundläggande rättigheter och friheter, med särskilt fokus på rätten till skydd av personuppgifter. I Stockholms stad är varje nämnd och styrelse ansvarig för personuppgiftsbehandlingar som sker i den egna verksamheten. Ett dataskyddsombud har i uppdrag att oberoende granska verksamhetens efterlevnad av dataskyddsförordningen. I denna rapport redovisar dataskyddsombudet årets granskning av Stockholm Vatten och Avfalls (SVOA) dataskyddsarbete samt lämnar rekommendationer på åtgärder för att ytterligare stärka dataskyddet. Årsrapporten består av sex olika obligatoriska riskområden med frågor som Stockholms stad har bestämt samt ett antal bolagsspecifika risker. Samtliga riskområden redovisas med riskbeskrivning, riskvärde och rekommenderade åtgärder som personuppgiftsansvarig behöver ta ställning till och fatta beslut. De tre största riskerna enligt dataskyddsombudets bedömning: Fråga/kontroll/Risk Risk/risknivå Kommentarer/Rekommenderad åtgärd/åtgärder Olika Risken innebär ingen omedelbar personuppgiftsansvariga konsekvens. Komplexiteten i Personuppgiftsansvarig rekommenderas gränsdragningen av tillsammans med övriga personuppgifts- personuppgiftsansvaret ansvarig inom koncernen tillämpa en medför att kontroll och strategi för att hantera risken eller acceptera ansvar försvåras och i risken. händelse av tillsyn kommer SVOA ha svårt att redogöra för detta. Säkerhet i Risken innebär ingen omedelbar leverantörskedjan konsekvens. Komplexitet i den långa Risken bedöms ha flera gränsytor där fel leverantörskedjan försvårar hantering kan uppstå. ansvar och kontroll för Personuppgiftsansvarig rekommenderas att personuppgifter. upprätta en strategi och arbetssätt för att hantera risken eller acceptera risken. Tredjelandsöverföringar Risken innebär ingen omedelbar konsekvens. SVOA har idag inget systematiskt arbetssätt för att Risken bedöms ha flera gränsytor där fel identifiera, och dokumentera hantering kan uppstå. tredjelandsöverföringar. Personuppgiftsansvarig rekommenderas att upprätta en strategi och arbetssätt för att hantera risken eller acceptera risken. Innehållsförteckning Sammanfattning ....................................................................................... 1 Inledning .................................................................................................... 4 Dataskyddsombudets uppgift ..................................................................... 4 Bedömning av riskområden ........................................................................ 4 Övrigt att rapportera ................................................................................... 4 Hänvisningar och begrepp.......................................................................... 4 Granskning av dataskyddsarbetet 2025 ................................................. 6 Kontroll av obligatoriska områden .............................................................. 6 Resultatsammanställning och centrala iakttagelser inom dataskyddsarbetet .................................................................................... 7 Register över personuppgiftsbehandlingar................................................. 7 Säkerhet i samband med behandlingen ..................................................... 8 Konsekvensbedömning avseende dataskydd ............................................ 9 Den registrerades rättigheter .................................................................... 10 Personuppgiftsincidenter .......................................................................... 11 Överföring till tredje land ........................................................................... 12 Övrigt att rapportera ................................................................................. 13 Inledning Dataskyddsförordningen (fortsättningsvis benämns som GDPR i detta dokument) syftar till att skydda individers grundläggande rättigheter och friheter. I det digitala samhället registreras, lagras och vidareutnyttjas information mer än någonsin både med rättsligt stöd och för kommersiella intressen. Personuppgifter nyttjas dessvärre även i olagliga sammanhang till exempel i nätbedrägerier, vilket gör att det är extra viktigt för varje personuppgiftsansvarig att skydda enskilda individers personuppgifter. Varje juridisk person är enligt GDPR personuppgiftsansvarig. På SVOA är det styrelsen som är personuppgiftsansvarig. Dataskyddsombudets uppgift Varje personuppgiftsansvarig ska utse ett dataskyddsombud enligt art. 37 i dataskyddsförordningen och säkerställa att dataskyddsombudet kan utföra sina arbetsuppgifter enligt art. 38-39. Det omfattar bland annat att stötta personuppgiftsansvarig och ha en strategi för att skydda registrerades personuppgifter och ansvarstilldelning för att behandla personuppgifter på korrekt sätt samt ge råd, stöd och information till verksamheten. Dataskyddsombudet ska även utbilda och granska verksamheten i dataskyddsarbetet efter behov. Bedömning av riskområden Årsrapporten redovisar sex riskområden med tillhörande frågor enligt Stockholms stads anvisningar. De sex riskområdena har identifierats genom att staden har genomfört en analys av kraven i GDPR om hur verksamheter bör arbeta systematiskt med dataskydd. Dessa riskområden överensstämmer med de delar som enligt Integritetsskyddsmyndigheten (IMY) utgör grunden för en verksamhets systematiska och rättssäkra hantering av personuppgifter. I rapporten används en riskmodell med fyra nivåer enligt stadens anvisning. Modellen hjälper dataskyddsombudet att visa vilken bedömning som görs av verksamhetens dataskyddsrisker. Övrigt att rapportera I avsnittet om Övrigt att rapportera redovisas de risker som dataskyddsombudet har identifierat utöver stadens obligatoriska riskområden. Riskerna utgår ifrån samma rapporteringsstruktur och modell. Hänvisningar och begrepp Samtliga artikel-, avsnitt- och kapitelhänvisningar refereras till Dataskyddsförordningen. Inom arbetet för dataskydd finns det ett antal centrala begrepp som används regelbundet. Nedan finns en utförligare förklaring vad var och ett betyder enligt GDPR. Personuppgiftsansvarig Är en juridisk person som bestämmer ändamål och medel för en personuppgiftsbehandling, och som har ansvaret för att GDPR efterlevs. Personuppgiftsbehandling När registrerade personuppgifter används för ett särskilt ändamål, till exempel när ett flertal personuppgifter behandlas för att möjliggöra en löneutbetalning som är en personuppgiftsbehandling. Personuppgiftsbiträde Är en annan juridisk person som behandlar personuppgifterna på uppdrag av en personuppgiftsansvarig. (Det har ingen betydelse om juridiska personer är inom samma koncern eller är en offentlig aktör.) Registrerade Enskilda individers personuppgifter som en personuppgiftsansvarig behandlar. Granskning av dataskyddsarbetet 2025 Kontroll av obligatoriska områden Dataskyddsombudet har granskat verksamhetens dataskyddsarbete utifrån sex obligatoriska områden. De sex områdena har identifierats genom en analys av kraven i GDPR om hur verksamheter bör arbeta systematiskt med dataskydd. Varje område innehåller ett antal kontrollfrågor som ger en bild av verksamhetens dataskyddsarbete. Dessa områden överensstämmer med de delar som enligt Integritetsskyddsmyndigheten (IMY) utgör grunden för en verksamhets systematiska och rättssäkra hantering av personuppgifter. I rapporten används en riskmodell med fyra nivåer av risk. Modellen hjälper dataskyddsombudet att visa vilken bedömning som görs av verksamhetens dataskyddsrisker utifrån de iakttagelser som gjorts i granskningen. Följande risknivåer finns: Risknivå Beskrivning Hög risk Iakttagelsen avser en brist som kan leda till betydande risker för de registrerades rättigheter och friheter. Bristen kräver omgående åtgärd och korrigering. Medelhög risk Iakttagelsen avser en brist som kan leda till risker för de registrerades rättigheter och friheter. Bristen bör åtgärdas skyndsamt, men kräver inte omedelbar korrigering. Låg risk Iakttagelsen avser en brist som kan leda till mindre risker för de registrerades rättigheter och friheter. Bristen bör åtgärdas, men kräver inte omedelbar korrigering. Inget att anmärka Dataskyddsombudet har inga brister att rapportera avseende denna del. Notera att risken för att tilldelas en sanktion vid tillsyn är större desto högre risken är. Resultatsammanställning och centrala iakttagelser inom dataskyddsarbetet I detta avsnitt presenteras en sammanställning av den bedömda risknivån för verksamhetens dataskyddsarbete, grundat på kontrollfrågorna inom de sex obligatoriska områdena. Vidare redovisas dataskyddsombudets centrala iakttagelser, inklusive områden där verksamheten uppvisar goda resultat och bör upprätthålla sitt arbete, samt identifierade brister som kan utgöra dataskyddsrisker. Avsnittet innehåller även dataskyddsombudets rekommenderade åtgärder för att hantera dessa risker och stärka dataskyddsarbetet. Register över personuppgiftsbehandlingar Sammanfattning Under 2025 beslutade SVOA att ha ett internt dataskyddsombud i egen regi. Utöver en granskande roll arbetar dataskyddsombudet strategiskt och systematiskt med att komma närmare verksamheten med bland annat utbildning och registrering av personuppgifter. Målet är att alla dataskyddsfrågor ska hanteras löpande inom linjeverksamheten. Nedan följer bedömning av risknivå och rekommendationer från dataskyddsombudet. Fråga/kontroll Risk Rekommendationer Antal behandlingar som är 137 registrerade personuppgiftsbehandlingar. registrerade? Dataskyddsombudet har inga brister att rapportera avseende denna del. Har verksamheten Dataskyddsombudet har inga brister att ändamålsenliga rutiner för att rapportera avseende denna del. registrera nya/förändrade behandlingar? Registreras/uppdateras Dataskyddsombudet har inga brister att behandlingar i den omfattning rapportera avseende denna del. som krävs för att registret ska innehålla de behandlingar som personuppgiftsansvarig utför? Har de uppgifter som är Dataskyddsombudet har inga brister att obligatoriska enligt artikel 30 rapportera avseende denna del. besvarats kopplat till de registrerade behandlingarna? Säkerhet i samband med behandlingen Sammanfattning Säkerhet i samband med personuppgiftsbehandlingar är komplex och hanteras av olika aktörer i skilda processer. Att arbeta med säkerhet i personuppgiftsbehandlingar är ett löpande arbete i alla arbetsflöden. SVOA arbetar kontinuerligt med att förbättra processen för att säkerställa säkerheten i personuppgiftsbehandlingar Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Efter ett antal stickprov på Inga stickprov är genomförda, då samtliga genomförda informations- informationsklassningar genomfördes på nytt klassningar, bedömer DSO att under 2025. resultatet i genomförda Dataskyddsombudet har inga brister att informationsklassningar i rapportera avseende denna del. tillräcklig utsträckning tar hänsyn till olika kategorier av personuppgifter? Avseende de styrande dokument Dataskyddsombudet har inga brister att och rutiner om dataskydd (som rapportera avseende denna del. finns skriftligt), bedömer DSO att det finns tillräckligt mycket reglerat och tillräckligt stöd? Avseende de skriftligt styrande Dataskyddsombudet har inga brister att dokument och rutiner som finns, rapportera avseende denna del. bedömer DSO att de är tillräckligt implementerade och kända? Konsekvensbedömning avseende dataskydd Sammanfattning Konsekvensbedömning utgör del i hantering av registerförteckning, vilket innebär att en bedömning alltid görs i samband med registerförteckning huruvida personuppgiftsbehandlingen innebär en hög risk enligt art. 35. Bedömning av risknivå och rekommendationer från dataskyddsombudet. Fråga/kontroll Risk Rekommendationer Finns det ändamålsenliga rutiner Dataskyddsombudet har inga brister att för att vid nya/förändrade rapportera avseende denna del. personuppgiftsbehandlingar genomföra tröskelanalys? Genomförs tröskelanalyser vid Under 2025 har inga tröskelanalyser nya/förändrade personuppgifts- genomförts, då samtliga personuppgifts- behandlingar? behandlingar registrerades på nytt. Förändringar i personuppgiftsbehandlingar kommer omhändertas framgent i det systematiska dataskyddsarbetet. Finns det en ändamålsenlig mall Dataskyddsombudet har inga brister att samt rutiner för genomförande rapportera avseende denna del. av konsekvensbedömning avseende dataskydd? Genomförs konsekvens- Dataskyddsombudet har inga brister att bedömning avseende dataskydd i rapportera avseende denna del. de fall det krävs? Har personuppgiftsansvarig Dataskyddsombudet har inga brister att identifierat samtliga rapportera avseende denna del. personuppgiftsbehandlingar som kräver att en konsekvens- bedömning avseende dataskydd görs samt genomfört detta? Den registrerades rättigheter Sammanfattning Personuppgiftsansvarig kan omhänderta registrerades rättigheter. Utveckling pågår inom ramen för linjeorganisationen för att etablera nya och tydligare arbetssätt för att effektivare bemöta registrerade rättighetsförfrågningar enligt kap. 3 i GDPR. Bedömning av risknivå och rekommendationer från dataskyddsombudet. Fråga/kontroll Risk Rekommendationer Finns det ändamålsenliga mallar Dataskyddsombudet har inga brister att samt rutiner för besvarande av rapportera avseende denna del. begäran från den registrerade? Hur många begäranden (om Två begäran har inkommit under 2025. registerutdrag, begränsning, Dataskyddsombudet har inga brister att radering etc.) har under året rapportera avseende denna del. inkommit från de registrerade? Hur många av de inkomna Samtliga besvarades inom en månad. begärandena har besvarats av Dataskyddsombudet har inga brister att verksamheten inom en månad? rapportera avseende denna del. Baserat på ett antal stickprov Inga stickprov är genomfördes, då endast genomförda av dataskydds- två begäran inkom under året. ombudet, uppfyller svaren till de Dataskyddsombudet har inga brister att registrerade lagkraven? rapportera avseende denna del. Personuppgiftsincidenter Sammanfattning Utmaningen i granskningsområde Personuppgiftsincidenter hör ihop med granskningsområde Säkerhet i samband med behandling. Personuppgiftsbehandlingar sker i flera olika konstellationer. Vissa personuppgiftsbehandlingar hanteras av personuppgiftsbiträden, vissa i stadsgemensamma system och vissa av SVOA själva. Det innebär att krav för att upptäcka och alarmera om en personuppgiftsincident behöver ställas mot alla parter och samtliga processer. Bedömning av risknivå och rekommendationer från dataskyddsombudet. Fråga/kontroll Risk Rekommendationer Hur säkerställs det att samtliga SVOAs medarbetare genomgår årligen den medarbetare har den kunskap stadsgemensamma obligatoriska utbildning som behövs för att veta hur denne inom dataskydd. ska agera vid en Under 2025 har SVOA prioriterat att utbilda personuppgiftsincident? särskilda målgrupper/nyckelpersoner. Utbildningsinsatserna kommer att fortsätta även under 2026. Finns det ändamålsenliga rutiner Ja, det finns ändamålsenliga rutiner, men det för att hantera händelser som kan krävs ett kartläggningsarbete för att utgöra potentiella identifiera i vilka arbetsflöden personuppgiftsincidenter? Följs personuppgiftsincidenter kan uppstå. dessa? Arbetet har påbörjats under 2025 och kommer att fortgå under 2026. Hur många Fyra personuppgiftsincidenter personuppgiftsincidenter har dokumenterades under 2025. dokumenterats under året? Dataskyddsombudet har inget att rapportera avseende denna del. Hur många Tre personuppgiftsincidenter anmäldes till personuppgiftsincidenter har IMY under 2025. anmälts till IMY under året? Dataskyddsombudet har inget att rapportera avseende denna del. Överföring till tredje land Sammanfattning Samma komplexitet som finns i granskningsområdet Säkerhet i samband med personuppgiftsbehandling, är att all form av extern (utkontraktering) lagring och behandling av personuppgifter innebär en leveranskedja där tredjelandsöverföringar kan förekomma och är bortom all kontroll trots att bolaget har personuppgiftsanvaret. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Har personuppgiftsansvarig Det finns en komplexitet att identifiera identifierat de tredjelands- tredjelandsöverföringar då det kan överföringar som utförs? förekomma långt ner inom leverantörskedjan. För att identifiera tredjelandsöverföringar krävs att personuppgiftsansvarig kravställer inrapportering från personuppgiftsbiträden i samband med upphandling. En del av dessa avtal avropas av SVOA från staden centralt och Adda inköpscentral, vilket innebär att SVOA inte är med och ställer krav om tredjelands- överföringar. Identifiering av tredjelandsöverföringar kommer hanteras löpande i framtida inköp/upphandlingar i samband med arbetet informationssäkerhet i upphandlingsförfarande. Tillämpar personuppgiftsansvarig NA Inga nya kända tredjelandsöverföringar ett överföringsverktyg på de under 2025 har identifierats och därav har tredjelandsöverföringar som utförs? användning av överföringsverktyg ej bedömts. Har personuppgiftsansvarig gjort en NA Inga nya kända tredjelandsöverföringar nödvändig bedömning, ”Transfer under 2025 har identifierats och därav har Impact Assessment” (TIA), ingen TIA genomförts. avseende tredjelandsöverföringar? Övrigt att rapportera I tidigare årsrapporter har även informationssäkerhetsrisker identifierats och rapporterats. Dataskydd utgör del av informationssäkerhetsarbetet. Rollen dataskyddsombud är fristående och bör därför särskiljas från informationssäkerhet som inte berör personuppgifter. Dataskyddsförordningen trädde i kraft år 2018. Tidigare har dataskyddsombudets uppdrag huvudsakligen bestått i att granska den personuppgiftsansvariges dataskyddsarbete och därefter återrapportera resultaten. Några särskilda insatser för kunskapshöjning inom området har tidigare inte genomförts. Dataskyddsarbetet har inte varit integrerat i verksamhetens ordinarie arbetsprocesser. Under 2025 har SVOA genomfört omfattande insatser inom dataskyddsområdet. Dessa har bland annat innefattat kartläggning och genomlysning av samtliga personuppgifts- behandlingar i verksamhetens system, genomförande av konsekvensbedömningar samt upprättande av personuppgiftsbiträdesavtal. Därutöver har stödmaterial, såsom avtals- och analysmallar tagits fram och utbildningsinsatser har genomförts för flera olika målgrupper. Därutöver vill dataskyddsombudet uppmärksamma ett antal risker utöver de sex obligatoriska områdena. Ingen omedelbar åtgärd krävs, men det bedöms ändå viktigt att uppmärksamma riskerna till personuppgiftsansvarig. Nedan redovisas övriga risker utöver ovan obligatoriska kontrollfrågor från staden. Risk Risknivå Kommentarer Risk 1 - Olika Risken bedöms inte försvåra SVOAs n personuppgiftsansvariga löpande personuppgiftshantering utan att det är administrativt svårt att redogöra för SVOA består av tre juridiska vem som är personuppgiftsansvarig för personer: Stockholm Vatten och vilka personuppgiftsbehandlingar samt Avfall AB, Stockholm Vatten AB ger en förhöjd risk för reprimand och/eller och Stockholm Avfall AB. Enligt sanktion i samband med tillsyn. GDPR tolkas SVOA som tre personuppgiftsansvariga. Personuppgiftsansvarig rekommenderas att ha en strategi och inriktning för att Flertal personuppgiftsbehandlingar åtgärda risken eller acceptera den. ansvaras dessutom av SVOA, men där det är Stockholms stad som Dataskyddsombudet rekommenderar att styr ändamål och medel som är acceptera risken eller att personuppgifts- ytterligare en egen ansvarig tillsammans med övriga bolag personuppgiftsansvarig. och förvaltningar inom kommun- koncernen beslutar om en viljeriktning Komplexiteten i gränsdragningen hur det gemensamma eller separata av personuppgiftsansvaret medför personuppgiftsansvaret ska se ut. att kontroll och ansvar försvåras. I händelse av tillsyn kommer SVOA ha svårt att redogöra för detta. Risk 2 - Geopolitisk omvärld Personuppgiftsansvarig rekommenderas n att acceptera risken eller ha en strategi och Den geopolitiska omvärlden plan för plötsliga förändringar som ska innebär att enskilda inkludera olika typfall av förändringar och personuppgiftsansvariga behöver hur förändringar/anpassningar kan förhålla sig till både teknokratin aktiveras. och den politiska viljan från Stockholms stad, Sverige och EU. Ett digitalt beroende kan skapa inlåsningseffekter utan möjlighet till anpassning av dataskyddet vid förändringar i geopolitiken. Risk 3 - Leverantör- och Personuppgiftsansvarig rekommenderas systeminlåsningar att acceptera risken eller att kartlägga och identifiera hur leverantörsberoenden ser Personuppgifter (och även annan ut. Analysera risker och konsekvenser vad information) är oftast bunden till leverantörs- och systeminlåsningar system eller leverantör. innebär för SVOA och redovisa ett förslag till åtgärdsplan för personuppgiftsansvarig Det finns en risk att SVOA är att besluta om. beroende av externa parter för att bedriva verksamhet och att skydda personuppgifter på rätt sätt. Risk 4 – Säkerhet i I nuläget bedöms risken inte utgöra några leverantörskedjan direkta hot. Det är däremot en risk där det finns flera gränsytor där incidenter kan Personuppgifter (och även annan inträffa och det innebär också en gränsyta information) lagras och hanteras där tillsyn kan ske som in sin tur ger internt, externt, i licensformat och i reprimander och tillsyn. stadsgemensamma tjänster. Personuppgiftsansvarig rekommenderas One-size-fit-all-principen där upprätta en plan och strategi för att personuppgiftsansvarig köper, omhänderta risken, eller att acceptera nyttjar/avropar system/ risken. licenser/tjänster innebär många gånger effektivisering. Dock innebär det också en förhöjd risk att skyddet av personuppgifter inte är tillräcklig eller utgått ifrån grundbehovet.