Arbeidet med personvern må ta til i byrjinga av prosessen. Ein skal sørga for at personvernet er standard eller blir «innebygd». Til dømes må krav om innebygd personvern hos systemleverandør (databehandlar) vera med i kravspesifikasjonen. Andre krav ein skal stilla ovanfor databehandlaren, er at dei skal føra protokoll over behandlingar til like med deg som behandlingsansvarleg. Dei har òg plikt til å legga fram spesifikasjonar over korleis deira system handterer personopplysingar. Be om at dei legg fram deira forslag til databehandlaravtale saman med pristilbodet og sjå til at alle momenta i sjekklista (sjå lenke) er med. Eit bør-krav er at det i systemet kan førast logg over kven som ser videoopptak, når dei ser det og kva årsaka er til at dei såg på.
Tidleg i prosessen bør ein òg involvera dei tilsette i biblioteket og IT/leiinga/GDPR-ansvarleg i kommunen og drøfta kva slags kontroll som er naudsynt å utføra i det meiropne biblioteket. Denne diskusjonen kan du ta i samband med at du lagar ein ROS-analyse – det vil seia at du analyserer risiko og finn tryggingstiltak for alle aspekt som vedkjem meirope bibliotek. Det er ikkje gitt at alle bibliotek treng overvakingstiltak, besøkskontroll eller at det trengst eigen kontrakt for meirope bibliotek.
Det snakkast om risiko- og tryggleiksanalyse (ROS-analyse) der ein undersøker om risikoen er akseptabel for brukaren av meirope bibliotek. I tillegg blir nemninga ofte brukt i samband med vurdering av personvernkonsekvensar (DPIA). Når du gjer ein DPIA, skal du òg vurdera konsekvens og kor sannsynleg hendingar er, men då berre for tilhøve som gjeld personvern. Det at desse nemningane blandast, kan verka litt forvirrande. Difor vil eg i kurset berre bruka «vurdering» når det gjeld personvern og ROS-analyse for hendingar i biblioteket.
Ein kan merka seg desse behandlingane som gjeld personvern:
Sjå eigen kursdel for å lesa meir om behandling. For kvar behandling skal det førast behandlingsprotokoll (sjå under for eksempel og les meir i eigen kursdel).
Dersom ein velgjer at brukarar av meirope skal skriva kontrakt med biblioteket, må ein sikra forsvarleg handsaming av desse, anten dei er i papir eller i digitale skjema. Det må òg vera rutinar for makulering/sletting.
Her gjeld òg spørsmålet om handsaminga er minst mogleg inngripande. Er det naudsynt å vita kven som er i lokalet når? Treng ein eit innloggingssystem, eller kan dørene vera ulåste i den meiropne tida? Dersom ein velgjer besøkskontroll med innlogging, skal ein òg velgja at innloggingssystemet hentar minst mogleg informasjon frå lånarregisteret (dataminimering). Systemet treng å verifisera brukaren, men loggen treng ikkje visa anna enn bibliotekkortnummeret (ikkje namnet).
Spørsmål: Skal ein skru av besøkskontroll og overvaking under arrangement der personalet er til stades? Dersom publikum passerer eit overvaka område, er svaret JA, nettopp fordi interesseavveiing vil vekta publikums rett til personvern høgre enn bibliotekets interesse for kontroll.
DØME: Biblioteket har personale til stades etter ordinær opningstid på grunn av eit arrangement. Meirope bibliotek er deaktivert på grunn av at ein ynskjer opne dører og å unngå å overvaka dei tilsette og publikum. ROS-analysen viser at personale har god nok oversikt over lokala så lenge arrangementet pågår. Når arrangementet er over, blir meirope-funksjonen aktivert, personalet sørgjer for at folk loggar seg inn, og kameraovervaking startar.
Kva er formålet med alarmportane? Dersom du berre vil handsama forsvunne materiale, d.v.s. endra status til tapt eller sakna, treng du ikkje oppgi formål, av di du ikkje nyttar personopplysingar. Men dersom du til dømes vil samanstilla personopplysingar frå kameraopptak og/eller innlogging med registreringa i alarmporten, skal denne behandlinga dokumenterast.
Sidan ein har plikt til å velgja den behandlinga som er minst inngripande, bør ein vurdera om kameraovervaking er naudsynt, eller om det er folk på huset som gjer at det ikkje trengst? Dersom biblioteket ligg i eit kulturhus med aktivitet i heile den meiropne tida, kan ein kanskje la vera å ha overvaking. Dersom besøka er jamnt fordelt og det alltid er folk i lokala, er det kanskje heller ikkje naudsynt? Oversiktlig og åpent lokale. Ved overvaking samlast det inn og lagrast video av dei besøkande.
Behandlingsgrunnlaget (artikkel 6) ved kameraovervaking er berettiga interesse som vektar høgre enn personverninteresser (Art. 6f). Avveiinga i denne samanhengen er den einskildes personvern sett opp mot tryggleiken for dei som oppheld seg i biblioteket i meirope tid. Biblioteket har berettiga interesse fordi liv og helse veg tyngre enn personvernet på desse tidspunkta. Interessa for vern om personopplysingar veg ikkje opp mot nytten den einskilde og andre innbyggjarar har av å bruke meirope bibliotek.
I den innleiande ROS-analysen om meirope bibliotek har du vurdert risiko: kor sannsynleg er det at hendinga kan skje, kor alvorleg er hendinga og kor ofte kan det skje. Denne vurderinga kan brukast for å dokumentera at du har berettiga interesse når du velgjer å overvaka lokala i meiropen tid.
I tillegg skal du laga reglar for kven som skal ha tilgang til videoopptak, gi døme på kva type uønska hendingar som gir grunn for å sjå det og ein regel om at det skal førast logg. Hugs at personopplysingar om tilsette og handtering av desse ved oppretting av brukarkonto og logg for besøk, òg skal protokollførast som ein behandling.
Vurdering av personvernkonsekvensar (DPIA) skal alltid gjennomførast ved kameraovervaking (Art. 35 (1), jf. art. 35 (5)).
Kameratellar nyttast til besøkskontroll og høyrer til utstyr ein kallar «internet of things». Kameraet filmar når det er rørsle i døråpninga og gir eksakt teljing av besøkande. Opptaket viser berre siluettar av folk, men det blir skylagra og det blir difor kravd full konsekvensutgreiing (DPIA) dersom de vil nytta slik teljar. Ein må stadfesta formålet og behandlingsgrunnlaget blir som ved videoovervaking.
Sørg for at tiltak som er gjort for å betra tryggleiken i meirope bibliotek (videoovervaking/kameratellar/alarmportar), blir gjort kjent for brukaren med skilt og oppslag. Ta òg med dette i dykkar personvernerklæring, til dømes slik:
«Formålet med bruk av kamera i samband med Meirope bibliotek er å sikra besøkande og tilsette mot alvorleg eller gjentatt kriminalitet som går utover liv og helse. Opptak kan utleverast til politiet for oppklaring av lovbrot. Det rettslege grunnlaget for kameraovervaking i meirope bibliotek er interesseavveging (Artikkel 6(1) f). Behandlinga er naudsynt for ei berettiga interesse som overstig personverninteresser. Avveginga i denne samanhengen er den enkeltes personvern satt opp mot tryggleikstiltak for dei som oppheld seg i biblioteka i meirope tid. Me vurderer at Jærbiblioteka har ei berettiga interesse fordi liv og helse veg tyngre enn personvernet på desse tidspunkta.»
Frå personvernerklæringa til Jærbiblioteka.
Kommunane har ulike system/skjema/malar for å dokumentera med tanke på personvern. Ta difor kontakt med GDPR-ansvarleg i avdelinga di/kommunen din for å få tilgang til systema.
Du kan laga ein eller fleire behandlingsprotokollar – det vil seia ein for meirope bibliotek eller ein for kvar av behandlingane du har identifisert. I valet mellom ein eller fleire må du tenka på om dei ulike behandlingane som går inn under meirope, har tilnærma same formål, at du samlar inn same mengde/kategori persondata, kven som handsamar personopplysingar, sletterutinar og tryggingstiltak (Sjå døme under). Behandlingane som gjeld meirope, er lista opp ovanfor: Kontrakt for tilgang til meirope, innlogging til meirope bibliotek, alarmport, overvaking av lokalet og kommunikasjon mellom brukar og bibliotek. Men du kan òg skriva alt dette under eitt som behandlingsprotokoll for meirope. Dersom du skriv ein protokoll for kvar behandling, kan du visa til ein hovudprotokoll som er meir utfyllande. Merk at din kommune kan ha eigne reglar om kor detaljert den einskilde behandlingsprotokollen skal vera. Merk òg at alarmportar og reglar om kommunikasjon mellom brukar og bibliotek kan vera handsama i andre behandlingsprotokollar, til dømes for lån i bibliotek. Dersom datatilsynet ber om det, skal ein raskt kunna finna fram til alle behandlingsprotokollar i kommunen. Manglande dokumentasjon kan føra til bøter og andre tiltak. Det er difor viktig at ein fylgjer kommunens rutinar for skriving og lagring av behandlingsprotokollar.
Behandlingsprotokollen er ikkje fullstendig. Ta utgangspukt i kommunens mal/system når du lagar behandlingsprotokoll.
Formålet med behandlinga er at brukarane kan nytte biblioteket når biblioteket er ubetjent. Systemet Open+ gjer det mogleg for brukarane av biblioteket å låsa seg inn i meirope tid. Det har fleire komponentar der personopplysingar blir handsama: innloggingssystem, videoovervaking og kameratellar.
Tilsette
Brukarar av meirope bibliotek (medlemmer)
Barn (15-18 år som er brukarar av meirope bibliotek (medlemmer)
Namn
Lånenummer (medlemsnummer, brukar-ID)
Anna – videoovervaking, besøkstellar (kameratellar). Systemet for meirope (Open+) sjekkar opp mot biblioteksystemet om brukaren har tilgang til meirope.
Blir nasjonalt identifikasjonsnummer behandla? nei
Blir kontaktopplysingar behandla? Nei. Kontaktopplysingar blir berre behandla i biblioteksystemet.
Hvilke andre sårbare opplysninger blir behandla? Personopplysingar som gjeld barn (15-18 år)
Blir opplysingar om lovbrot behandla? Ja. Videoopptak kan brukast som bevis. Når hærverk eller vald mot andre brukarar eller personale blir politianmeldt, vil den registrerte bli nekta adgang til meirope bibliotek. Dette vil gjerast kjent for brukaren gjennom enkeltvedtak i kommunens sakshandsamingssystem. Nekta adgang vil ikkje bli registrert i Open+, sidan sjølve adgangen blir styrt i Bibliofil. Det er berre biblioteksjefen som kan nekta adgang for ein kortare eller lengre periode og seinare tillata adgang igjen. Når ein person er nekta adgang, finn ikkje Open+-systemet lånaren i systemet og hen får dimed ikkje adgang til meirope.
Blir fritekstfelt nytta i behandlinga? Nei
Blir personopplysingar om barn behandla? Ja
Begrunn: Ja. Barn mellom 15-18 år har tilgang til meirope bibliotek. Kontrakt for meiropen tilgang blir underskrive av føresatt og føresett gir samtykke til behandling av barnets personopplysingar.
Tilbyr ein «informasjonssamfunnstenester til barn? Nei
Kordan sikrar ein samtykke frå føresett? Samtykka sikrast ved at føresett må skriva under på kontrakt før barnet kan bruka meirope bibliotek.
Nyttast personopplysingar til profilering eller andre automatiserte avgjersler? Nei
Samtykke
Interesseavveging
Når det gjelder adgangssystemet og innlogging til meråpent bibliotek, skriver brukeren en kontrakt med biblioteket, der vedkommende samtykker i at personopplysninger avgis. Når det gjelder kameraovervåking gjelder berettiget interesse eller interesseavveining (Artikkel 6(1) f ). Behandlingen er nødvendig for en berettiget interesse som overstiger personverninteresser. Avveiningen i denne sammenheng er den enkeltes personvern satt opp mot sikkerhet for de som oppholder seg i biblioteket i meråpen tid. Vi vurderer at Klepp bibliotek/Jærbiblioteka har berettiget interesse fordi liv og helse veier tyngre enn personvernet på disse tidspunktene. Interesse for vern om personopplysninger må veies opp mot nytten den enkelte og andre innbyggere har av å bruke Open+-systemet for meråpent bibliotek.
Om samtykke er behandlingsgrunnlaget, svar på følgjande spørsmål: Korleis blei samtykke innhenta? Skrftleg skjema (kontrakt for meirope) Kan det dokumenterast at samtykke er innhenta frå kvar einskilde registrerte ? Ja. Skjema med underskrift blir lagra.
Blir dei registrerte sine rettar oppfyllt? Ja: Informasjon, innsyn, retting/korrigering, sletting, blokkering. Nei: Dataportabilitet blir ikkje oppfylt.
Har de mottatt klager eller spørsmål fra registrerte om behandlingen? Nei
Kva kjelder hentar de personopplyingar frå? Den registrerte sjølv og andre enn den registrerte. Spesifisér frå kven: Opptak frå kameraovervaking
På kva måte har den registrerte fått informasjon? I avtaletekst (kontrakt for meirope) og i personvernerklæringa.
Kva har den registrerte mottatt informasjon om? Behandlingsansvarlig virksomhet; Kontaktinformasjon virksomhet; Kontaktopplysninger personvernrådgiver; Formålet med behandlingen; Behandlingsgrunnlaget; Hvilke opplysninger som inngår i behandlingen; Kilde(r) personopplysningene samles inn fra; registrertes rettigheter; Avveining når berettiget interesse dersom dette påberopes; Kriterier for oppbevaring og sletting av opplysningene; Klageadgang til tilsynsmyndighet
Oppfyller de informasjonsplikta? Ja
Nyttar de databehandlar? Ja.
Kven er databehandlar? Bibliotheca
Er det inngått databehandlaravtale? Ja
Er det implementer rutiner for kontroll og revisjon av databehandlarar? Ja
Angi underleverandørar til databehandlar.
Videoopptak lagrast lokalt på kommunens server. Opptak lagrast i 7 dagar.
Logg lagrast på Bibliotheca sin server. Logg lagrast i 30 dagar.
Loggføring av visning av videoopptak, tilgangsbegrensing, back-up, innebygd personvern, personvern som standard, kryptering
Er grunnleggande personvernprinsipp oppfyllt? Ja. Lovleg, korrekt og transparent; Formålsbegrensing; Dataminimering; Korrekt; Lagringsminimering; Integritet og konfidensialitet; Ansvarleg
Dersom det meiropne biblioteket har kameraovervaking, skal det alltid dokumenterast ei vurdering av personvernkonsekvensane (DPIA). Andre tilhøve ved meirope bibliotek kan òg føra til ein full DPIA, til dømes at ein tillet barn å bruka meirope bibliotek.
Utdrag frå liste over behandlingar der DPIA skal gjennomførast (aktuelle behandlingar i meirope bibliotek):
Databehandlaren, altså systemeigarane av teknisk utstyr og programvare for meirope, skal laga utkast til databehandlaravtale. I kravspesifikasjonen kan du krevja at utkast til databehandlaravtale eller ein standard databehandlaravtale blir lagt fram. Du kan forhandla om endringar i avtalen dersom det er naudsynt.
I tillegg kan du krevja tekniske- og programvare- spesifikasjonar som viser kva slags personopplysingar systemet handsamar og kva som er databehandlaren sine tryggingstiltak for å hindra feil bruk av personopplysingar. Dersom dei ynskjer å bruka persondata/bruksdata i anonymisert versjon til eige formål, til dømes for å forbetra produktet sitt, må dette også tas med.