Meirope bibliotek

Arbeidet med personvern må ta til i byrjinga av prosessen. Ein skal sørga for at personvernet er standard eller blir «innebygd». Til dømes må krav om innebygd personvern hos systemleverandør (databehandlar) vera med i kravspesifikasjonen. Andre krav ein skal stilla ovanfor databehandlaren, er at dei skal føra protokoll over behandlingar til like med deg som behandlingsansvarleg. Dei har òg plikt til å legga fram spesifikasjonar over korleis deira system handterer personopplysingar. Be om at dei legg fram deira forslag til databehandlaravtale saman med pristilbodet og sjå til at alle momenta i sjekklista (sjå lenke) er med. Eit bør-krav er at det i systemet kan førast logg over kven som ser videoopptak, når dei ser det og kva årsaka er til at dei såg på.

• Anskaffelser.no om databehandlaravtale
• Sjekkliste for databehandlaravtale

Tidleg i prosessen bør ein òg involvera dei tilsette i biblioteket og IT/leiinga/GDPR-ansvarleg i kommunen og drøfta kva slags kontroll som er naudsynt å utføra i det meiropne biblioteket. Denne diskusjonen kan du ta i samband med at du lagar ein ROS-analyse – det vil seia at du analyserer risiko og finn tryggingstiltak for alle aspekt som vedkjem meirope bibliotek. 

Det er ikkje gitt at alle bibliotek treng overvakingstiltak, besøkskontroll eller at det trengst eigen kontrakt for meirope bibliotek.

• Døme på ROS- analyse for Klepp kommune (word)

Behandlingar

Ein kan merka seg desse behandlingane som gjeld personvern:

• Kontrakt for tilgang til meirope
• Innlogging til meirope bibliotek
• Registrera bøker som ikkje er utlånte, ved utgangsdør (alarmport)
• Overvaking av lokalet (kameraovervåking)
• Kommunikasjon mellom brukar og bibliotek – personvernerklæring
• Tilsette sin brukarkonto i systema

Sjå eigen kursdel for å lesa meir om behandling. For kvar behandling skal det førast behandlingsprotokoll (sjå under for eksempel og les meir i eigen kursdel).

Kontrakt for tilgang til meirope bibliotek

Dersom ein velgjer at brukarar av meirope skal skriva kontrakt med biblioteket, må ein sikra forsvarleg handsaming av desse, anten dei er i papir eller i digitale skjema. Det må òg vera rutinar for makulering/sletting.

Besøkskontroll

Her gjeld òg spørsmålet om handsaminga er minst mogleg inngripande.  Er det naudsynt å vita kven som er i lokalet når? Treng ein eit innloggingssystem, eller kan dørene vera ulåste i den meiropne tida? Dersom ein velgjer besøkskontroll med innlogging, skal ein òg velgja at innloggingssystemet hentar minst mogleg informasjon frå lånarregisteret (dataminimering). Systemet treng å verifisera brukaren, men loggen treng ikkje visa anna enn bibliotekkortnummeret (ikkje namnet).  

Spørsmål: Skal ein skru av besøkskontroll og overvaking under arrangement der personalet er til stades? Dersom publikum passerer eit overvaka område, er svaret JA, nettopp fordi interesseavveiing vil vekta publikums rett til personvern høgre enn bibliotekets interesse for kontroll.

DØME: Biblioteket har personale til stades etter ordinær opningstid på grunn av eit arrangement. Meirope bibliotek er deaktivert på grunn av at ein ynskjer opne dører og å unngå å overvaka dei tilsette og publikum. ROS-analysen viser at personale har god nok oversikt over lokala så lenge arrangementet pågår. Når arrangementet er over, blir meirope-funksjonen aktivert, personalet sørgjer for at folk loggar seg inn, og kameraovervaking startar.   

Alarmportar

Kva er formålet med alarmportane? Dersom du berre vil handsama forsvunne materiale, d.v.s. endra status til tapt eller sakna, treng du ikkje oppgi formål, av di du ikkje nyttar personopplysingar. Men dersom du til dømes vil samanstilla personopplysingar frå kameraopptak og/eller innlogging med registreringa i alarmporten, skal denne behandlinga dokumenterast.

Kameraovervaking

Sidan ein har plikt til å velgja den behandlinga som er minst inngripande, bør ein vurdera om kameraovervaking er naudsynt, eller om det er folk på huset som gjer at det ikkje trengst? Dersom biblioteket ligg i eit kulturhus med aktivitet i heile den meiropne tida, kan ein kanskje la vera å ha overvaking. Dersom besøka er jamnt fordelt og det alltid er folk i lokala, er det kanskje heller ikkje naudsynt? Er lokalet oversiktlig og ope?  Ved overvaking samlast det inn og lagrast video av dei besøkande.

Behandlingsgrunnlaget (artikkel 6) ved kameraovervaking er berettiga interesse som vektar høgre enn personverninteresser (Art. 6f). Avveiinga i denne samanhengen er den einskildes personvern sett opp mot tryggleiken for dei som oppheld seg i biblioteket i meirope tid. Biblioteket har berettiga interesse fordi liv og helse veg tyngre enn personvernet på desse tidspunkta. Interessa for vern om personopplysingar veg ikkje opp mot nytten den einskilde og andre innbyggjarar har av å bruke meirope bibliotek.  

I den innleiande ROS-analysen om meirope bibliotek har du vurdert risiko: kor sannsynleg er det at hendinga kan skje, kor alvorleg er hendinga og kor ofte kan det skje. Denne vurderinga kan brukast for å dokumentera at du har berettiga interesse når du velgjer å overvaka lokala i meiropen tid.  

I tillegg skal du laga reglar for kven som skal ha tilgang til videoopptak, gi døme på kva type uønska hendingar som gir grunn for å sjå det og ein regel om at det skal førast logg over kven som ser opptaka og når. Viss opptak skal leverast til politiet i samband med ei anmelding, skal dette også først i logg. Hugs at personopplysingar om tilsette og handtering av desse ved oppretting av brukarkonto og logg for besøk, òg skal nemnast i behandlingsprotokollen anten saman med dei andre behandlingene eller som ein eigen innføring i behandlingsprotokollen.

Vurdering av personvernkonsekvensar (DPIA) skal alltid gjennomførast ved kameraovervaking (Art. 35 (1), jf. art. 35 (5)).  

• Datatilsynet: Kameraovervaking – kva er lov?
• Datatilsynet: Retningsliner for bruk av kameraovervaking

Kameratellar

Kameratellar nyttast til besøkskontroll og høyrer til utstyr ein kallar «internet of things». Kameraet filmar når det er rørsle i døråpninga og gir eksakt teljing av besøkande. Opptaket viser berre siluettar av folk, men det blir skylagra og det blir difor kravd full konsekvensutgreiing (DPIA) dersom de vil nytta slik teljar. Ein må stadfesta formålet og behandlingsgrunnlaget blir som ved videoovervaking.

Informasjonsplikt/kommunikasjon

Sørg for at tiltak som er gjort for å betra tryggleiken i meirope bibliotek (videoovervaking/kameratellar/alarmportar), blir gjort kjent for brukaren med skilt og oppslag. Ta òg med dette i dykkar personvernerklæring, til dømes slik:

«Formålet med bruk av kamera i samband med Meirope bibliotek er å sikra besøkande og tilsette mot alvorleg eller gjentatt kriminalitet som går utover liv og helse. Opptak kan utleverast til politiet for oppklaring av lovbrot. Det rettslege grunnlaget for kameraovervaking i meirope bibliotek er interesseavveging (Artikkel 6(1) f). Behandlinga er naudsynt for ei berettiga interesse som overstig personverninteresser. Avveginga i denne samanhengen er den enkeltes personvern satt opp mot tryggleikstiltak for dei som oppheld seg i biblioteka i meirope tid. Me vurderer at Jærbiblioteka har ei berettiga interesse fordi liv og helse veg tyngre enn personvernet på desse tidspunkta.»

Frå personvernerklæringa til Jærbiblioteka.

Dokumentasjon

Kommunane har ulike system/skjema/malar for å dokumentera med tanke på personvern. Ta difor kontakt med GDPR-ansvarleg i avdelinga di/kommunen din for å få tilgang til systema.

Behandlingsprotokoll

Du kan laga ein eller fleire innførsler i behandlingsprotokollen – det vil seia ein for meirope bibliotek eller ein for kvar av behandlingane du har identifisert. I valet mellom ein eller fleire må du tenka på om dei ulike behandlingane som går inn under meirope, har tilnærma same formål, at du samlar inn same mengde/kategori persondata, kven som handsamar personopplysingar, sletterutinar og tryggingstiltak (Sjå døme under). I kurset har eg vald å laga ein innførsel.

Behandlingane som gjeld meirope, er lista opp ovanfor: Kontrakt for tilgang til meirope, innlogging til meirope bibliotek, alarmport, overvaking av lokalet og kommunikasjon mellom brukar og bibliotek. Dersom du skriv ein protokoll for kvar behandling, kan du visa til ein hovudprotokoll som er meir utfyllande. Merk at din kommune kan ha eigne reglar om kor detaljert den einskilde behandlingsprotokollen skal vera. Merk òg at alarmportar og reglar om kommunikasjon mellom brukar og bibliotek kan vera handsama i andre behandlingsprotokollar, til dømes for lån i bibliotek. Dersom datatilsynet ber om det, skal ein raskt kunna finna fram til alle behandlingsprotokollar i kommunen. Manglande dokumentasjon kan føra til bøter og andre tiltak. Det er difor viktig at ein fylgjer kommunens rutinar for skriving og lagring av behandlingsprotokollar.

_{Innhald i ein behandlingsprotokoll}

1. Behandlingsansvarlig: namn, kontaktinfo, organisasjon, Namnet på og kontaktopplysingane til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombodet.
2. Formålet med behandlinga.
3. Gjera greie for dei ulike kategoriane registrerte (barn/vaksen) og kategoriane av personopplysingar
4. Kategoriane av mottakarar som personopplysningene er blitt eller vil bli utlevert til, herunder mottakarar i tredjestatar eller internasjonale organisasjonar.
5. Dersom det er relevant, overføringar av personopplysingar til ein tredjestat eller ein internasjonal organisasjon, innrekna identifikasjon av nemnde tredjestat eller internasjonale organisasjon og, ved overføringar nemnde i artikkel 49 nr. 1 andre ledd, dokumentasjon på naudsynte garantiar.
6. Dersom det er mulig, skriv opp dei planlagde tidsfristane for sletting av dei forskjellige kategoriane av opplysingar.
7. Dersom det er mulig, ei generell oversikt over dei tekniske og organisatoriske sikkerhetstiltaka nemnde i artikkel 32 nr. 1.

• Behandlingsprotokoll – datatilsynet

Døme på behandlingsprotokoll for meirope

Bruk kommunens mal/system når du lagar behandlingsprotokoll.

Punkt 2: Kva er formålet med behandlinga?

Formålet med behandlinga er at brukarane kan nytte biblioteket når biblioteket er ubetjent. Innlogging med lånekort og kode gjer det mogleg for brukarane av biblioteket å låsa seg inn i meirope tid. Det har fleire komponentar der personopplysingar blir handsama:

• Kontrakt for tilgang til meirope
• Innlogging til meirope bibliotek
• Registrera bøker som ikkje er utlånte, ved utgangsdør (alarmport)
• Overvaking av lokalet (kameraovervåking)
• Kommunikasjon mellom brukar og bibliotek – personvernerklæring
• Tilsette sin brukarkonto i systema
• Logg for tilgang til opptak

Punkt 3a: Kva kategoriar av registrerte blir handsama?

Tilsette

Brukarar av meirope bibliotek (medlemmer)

Barn (15-18 år som er brukarar av meirope bibliotek (medlemmer)

Punkt 3b: Kva kategoriar personopplysingar blir registrerte?

Namn

Lånenummer (medlemsnummer, brukar-ID)

Anna – videoovervaking (biometriske data), besøkstellar (kameratellar). Systemet for meirope sjekkar opp mot biblioteksystemet om brukaren har tilgang.

Blir nasjonalt identifikasjonsnummer behandla? nei

Blir kontaktopplysingar behandla? Nei. Kontaktopplysingar blir berre behandla i biblioteksystemet.

Hvilke andre sårbare opplysninger blir behandla? Personopplysingar som gjeld barn (15-18 år)

Blir opplysingar om lovbrot behandla? Ja. Videoopptak kan brukast som bevis. Når hærverk eller vald mot andre brukarar eller personale blir politianmeldt, vil den registrerte bli nekta adgang til meirope bibliotek. Dette vil gjerast kjent for brukaren gjennom enkeltvedtak i kommunens sakshandsamingssystem. Nekta adgang vil ikkje bli registrert i innloggingssystemet, sidan sjølve adgangen blir styrt av biblioteksystemer. Det er berre biblioteksjefen som kan nekta adgang for ein kortare eller lengre periode og seinare tillata adgang igjen. Når ein person er nekta adgang, får hen ikkje adgang til meirope.

Blir fritekstfelt nytta i behandlinga? Nei

Blir personopplysingar om barn behandla? Ja

Begrunn: Ja. Barn mellom 15-18 år har tilgang til meirope bibliotek. Kontrakt for meiropen tilgang blir underskriven av føresett.

Tilbyr ein «informasjonssamfunnstenester til barn? Nei

Nyttast personopplysingar til profilering eller andre automatiserte avgjersler? Nei

Punkt 3c: Kva er behandlingsgrunnlaget?

Nødvendig for å oppfylle ein avtale, art. 6 (1) b gjeld følgjande behandlingar:

• Kontrakt for tilgang til meirope
• Innlogging til meirope bibliotek
• Registrera bøker som ikkje er utlånte, ved utgangsdør (alarmport)
• Kommunikasjon mellom brukar og bibliotek – personvernerklæring
• Tilsette sin brukarkonto i systema

Interesseavveging (Art. 6(1)f) gjeld for:

• Overvaking av lokalet (kameraovervåking)
• Logg for tilgang til opptak

Når det gjeld adgangssystemet og innlogging til meirope bibliotek, skriv brukaren ein kontrakt med biblioteket, der vedkommande samtykker i å følgja reglane. Du treng ikkje å henta inn samtykke, men kan bruka art. 6(1)b, nødvendig for å oppfylle ein avtale. Når det gjeld kameraovervaking, gjeld interesseavvegiing (Artikkel 6(1) f ). Behandlinga er nødvendig for ei berettiga interesse som overstig personverninteresser. Avveginga i denne samanhengen er den enkeltes personvern sett opp mot tryggleiken for dei som oppheld seg i biblioteket i meirope tid. Me vurderer at biblioteket har berettiga interesse fordi liv og helse veg tyngre enn personvernet når biblioteket er ope utan at personalet er til stades. Interesse for vern om personopplysninger må veies opp mot nytten den enkelte og andre innbyggere har av å bruke meirope bibliotek.

Punkt 3d: Dei registrerte sine rettar

Blir dei registrerte sine rettar oppfyllt? Ja: Informasjon, innsyn, retting/korrigering, sletting, blokkering. Nei: Dataportabilitet blir ikkje oppfylt.

Har de mottatt klager eller spørsmål fra registrerte om behandlingen? Nei

Kva kjelder hentar de personopplyingar frå? Den registrerte sjølv og andre enn den registrerte. Spesifisér frå kven: Opptak frå kameraovervaking

På kva måte har den registrerte fått informasjon? I avtaletekst (kontrakt for meirope) og i personvernerklæringa.

Kva har den registrerte mottatt informasjon om?

• Behandlingsansvarlig verksemd og kontaktinformasjon
• Formål og behandlingsgrunnlag
• Type personopplysingar
• Den registrerte sine rettar
• Avveging ved berettiga interesse
• Kriterier for oppbevaring og sletting av opplysningene
• Klageadgang til tilsynsmyndighet

Oppfyller de informasjonsplikta? Ja

Punkt 4: Kategoriane av mottakarar som personopplysningene er blitt eller vil bli utlevert til, herunder mottakarar i tredjestatar eller internasjonale organisasjonar.

Nyttar de databehandlar? Ja.

Kven er databehandlar? Bibliotheca

Er det inngått databehandlaravtale? Ja

Er det implementer rutiner for kontroll og revisjon av databehandlarar? Ja

Angi underleverandørar til databehandlar.

Punkt 5: Overføring til tredjeland – Ikkje aktuelt

Punkt 6: Rutinar for lagring og sletting

Videoopptak lagrast lokalt på kommunens server. Opptak lagrast i 7 dagar. Ved anmelding for hærverk, vald eller anna kriminell handling, kan opptak leverast politiet og kan tas vare på så lenge det er naudsynt.

Logg lagrast på biblioteksystemets sin server. Logg lagrast i 30 dagar.

Punkt 7: Tekniske og organisatoriske tryggingstiltak

Loggføring av visning av videoopptak, tilgangsbegrensing, back-up, innebygd personvern, personvern som standard, kryptering

Er grunnleggande personvernprinsipp oppfyllt? Ja. Lovleg, korrekt og transparent; Formålsbegrensing; Dataminimering; Korrekt; Lagringsminimering; Integritet og konfidensialitet; Ansvarleg

• Døme på behandlingsprotokoll frå Klepp bibliotek (pdf)

DPIA – vurdering av personvernkonsekvensar

Dersom det meiropne biblioteket har kameraovervaking, skal det alltid gjerast ei vurdering av personvernkonsekvensane (DPIA). Andre tilhøve ved meirope bibliotek kan òg føra til ein full DPIA, til dømes at ein tillet barn å bruka meirope bibliotek. Under ser du at det er fleire behandlinger som gjer at du må gjera denne vurderinga.

Initiell vurdering som viser at DPIA skal gjennomførast.

Ei liste over behandlingar som krev at DPIA skal gjennomførast:

• Særlige kategoriar av personopplysingar: Videoopptak reknast som biometri (eigna til å gjenkjenna personar)
• Systematisk overvaking av brukarar av meirope – blir kamera skrudd av ved åpne arrangement?
• Systematisk overvaking av tilsette. For eksempel dersom det førast logg over kven som ser videoopptak og når dei ser desse. Ver aktsom når det gjeld overvaking av personalet, til dømes ved at kamera blir skrudde av når personalet er til stades (arrangement)
• Behandling av lokasjonsdata i følge med minst ett annet kriterium, til dømes dersom du brukar innloggingsdata saman med data frå alarmport og/eller videoopptak i samband med tjuveri og andre lovbrot.
• Systematisk kameraovervåking, på offentlig tilgjengelige områder i stor skala. Stor skala er relativt og kan òg gjelda i ein liten kommune. Når det gjeld meirope bibliotek, vil overvakinga potensielt gjelda alle personar i ein kommune og reknast derfor som stor skala.
• Innsamling av personopplysingar i stor skala gjennom «tingas internett» eller velferdsteknologi. Til dømes ved bruk av kameratellar.
• Sårbare registrerte? Barn i følgje med vaksne? Ungdom under 18 år?

Konklusjonen etter den initielle vurderinga er altså at det er fleire behandlingar ein krev DPIA for. Du må gjera alle vurderingane i ein såkalla full DPIA. Andre gonger gjer du den initielle vurdering og kjem til at det er tilstrekkeleg.

DPIAs delar

Dokumentet under har fleire delar. (sjå arkfaner nederst) Systemet din kommune brukar kan ha ein annan inndeling: Initiell vurdering, systematisk beskriving, naudsynt og proposjonelt, konsekvensutgreiing, risikovurdering, rapport og endringslogg.

Initialvurderinga er allereie skrive om ovanfor. Åpne den andre arkfanen for den systematiske beskrivinga. Den har med opplysingar frå behandlingsprotokollen og nokre av desse må beskrivast i detalj.

• DPIA – vurdering av personvernkonsekvensar.

Databehandlaravtalen

Databehandlaren, altså systemeigarane av teknisk utstyr og programvare for meirope, skal laga utkast til databehandlaravtale. I kravspesifikasjonen kan du krevja at utkast til databehandlaravtale eller ein standard databehandlaravtale blir lagt fram. Du kan forhandla om endringar i avtalen dersom det er naudsynt.

I tillegg kan du krevja tekniske- og programvare- spesifikasjonar som viser kva slags personopplysingar systemet handsamar og kva som er databehandlaren sine tryggingstiltak for å hindra feil bruk av personopplysingar. Dersom dei ynskjer å bruka persondata/bruksdata i anonymisert versjon til eige formål, til dømes for å forbetra produktet sitt, må dette også tas med.