Nasjonalt låneregister (Bibliotekkortet)

[DENNE LEKSJONEN ER UNDER REVISJON, MEN DOKUMENTA SOM LIGG VED, ER DEI AKTUELLE PER APRIL 2024. DU KAN LASTA NED DOKUMENTA OG BRUKA DEI SOM DET PASSAR I KOMMUNENS SIN DOKUMENTASJON.]

• Opptak av webinar 9. april (arrangør: Rogaland fylkesbibliotek, kurshaldar: Aud Jorunn Hakestad, GRC Counsel AS

KVA ER NAUDSYNT DOKUMENTASJON?

Nasjonalbiblioteket krev at databehandlaravtalen blir signert av biblioteket eller kommunen. Du finn databehandlaravtalen som skal signerast digitalt her:

• Om databehandlaravtalen
• Kopi av databehandlaravtalen

Bibliotekets oppgåveliste:

1. Finn ut kven som har rett til å signera i din kommune
2. Samarbeid med personvernansvarleg og/eller personvernombod og start dokumentasjonsprosessen.
3. Lag behandlingsprotokoll eller bruk den som er vedlagt til slutt i leksjonen.
4. Lag risiko- og tryggingsanalyse (ROS) eller bruk den som er vedlagt til slutt i leksjonen.
5. Lag DPIA – vurdering av personvernkonsekvensar eller bruk den som er vedlagt til slutt i leksjonen.
6. Endre personvernerklæringa ved å leggja til tekst for denne behandlinga som gjeld Nasjonalt låneregister og Bibliotekkortet. Du kan bruka tekstforslaget som er vedlagt til slutt i leksjonen. (Dersom biblioteket ikkje har eigen personvernerklæring, kan du sjå bort frå dette. Men eg rår sterkt til at de lagar ein slik personvernerklæring.)

Behov for DPIA – Når må DPIA gjennomførast? 

«Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» (GDPR art.35.1) 

Vurderingsspørsmål 

Avgjersla for gjennomføring av konsekvensutgreiinga ligg kanskje hos andre i kommunen enn biblioteket. Dersom det besluttes at det ikke er behov for å gjennomføre en DPIA, skal det begrunnes hvorfor. Normalt skal det foreligge mer enn ett kriterium for at ei DPIA-vurdering skal være nødvendig. 

Nr.	Vurderingsspørsmål	Ja/Nei
1.	Særlige kategorier av personopplysninger eller opplysninger av svært personlig karakter i følge med minst ett annet kriterium.	nei
2.	Behandling av biometriske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium.	nei
3.	Behandling av genetiske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium.	nei
4.	Innovativ bruk eller anvendelse av ny teknologi eller organisatorisk løsning i følge med minst ett annet kriterium.	nei
5.	Personopplysninger behandles i stor skala i følge med minst ett annet kriterium.  Stor skala kan bety: A) Antall registrerte som er berørte (mer enn 150), B) Mengden/spennvidden i personopplysningene som behandles, C) Mange ulike typer data, D) Databehandlingens varighet eller regelmessighet, E) Behandlingens geografiske utbredelse.	JA Svært mange registrerte Liten mengde data per person Ikke mange ulike typer data Behandlingen er varig og regelmessig Geografisk utbredt i hele Norge
6.	Behandling av personopplysninger, uten samtykke, for vitenskapelige eller historiske formål i følge med minst ett annet kriterium.	nei
7.	Når behandlingen i seg selv forhindrer eller begrenser de registrertes mulighet til å utøve sine rettigheter etter loven eller avtale, eller bruke tjenester i følge med minst ett annet kriterium.	nei
8.	Evaluering eller poengsetting, inkludert jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster i følge med minst ett annet kriterium.	nei
9.	Behandling av lokasjonsdata i følge med minst ett annet kriterium.	nei
10.	Behandling av personopplysninger for systematisk monitorering av ansatte i følge med minst ett annet kriterium.	nei
11.	Matching eller sammenstilling av datasett (ulike formål og/eller ulike behandlingsansvarlige) i følge med minst ett annet kriterium. Overstiger den registrertes forventninger.	nei
12.	Personopplysninger om sårbare grupper i følge med minst ett annet kriterium, f.eks. mindreårige, arbeidstaker i forhold til en arbeidsgiver (skjev maktbalanse), psykisk syke, sårbare befolkningsgrupper, pasienter, asylsøkere, eldre personer.	JA – behandlingen omfatter også barn
13.	Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning for den registrerte i følge med minst ett annet kriterium.	nei
14.	Behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager.   Dette inkluderer alle utdanningsnivåer, fra barne- og ungdomsskole, videregående skoler og høyere utdanning. (Sårbare registrerte og evaluering/poengsetting eller monotorering.)	nei
15.	Systematisk monitorering, inkludert kameraovervåking, på offentlig tilgjengelige områder i stor skala. (Systematisk monitorering og stor skala.)	nei
16.	Behandling av særlige kategorier av personopplysninger eller svært personlige opplysninger i stor skala.	nei
17.	Behandling av personopplysninger ved å systematisk monitorere effektivitet, ferdigheter, kunnskap, mental helse og utvikling. (Svært personlige opplysninger og systematisk monitorering).	nei
18.	Behandling av personopplysninger der formålet er å forutsi jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster. (Særlige kategorier av personopplysninger eller svært personlige opplysninger og evaluering/poengsetting).	nei
19.	Innsamling av personopplysninger i stor skala gjennom «tingenes internett» eller velferdsteknologi. (Stor skala og særlige kategorier av opplysninger eller svært personlige opplysninger.)	nei

Dersom du svarer ja til spørsmål 1-13, i tillegge til et ja til et av spørsmålene 1-19, eller det er et ja til spørsmål 14-17, kan det bety at det er behov for DPIA.  

I dette prosjektet/for denne behandlingen er det besluttet at det skal: 

X Gjennomføres en DPIA 

☐ Ikke gjennomføres en DPIA  

Men det er din organisasjon som skal ta ei sjølvstendig avgjersle om du treng å skriva ein DPIA. Spør difor andre i kommunen om du er i tvil.

Liste over dokumenter for behandlingen:

• BEHANDLINGSPROTOKOLL VERSJON 1, 090424 (pdf)
• BEHANDLINGSPROTOKOLL VERSJON 1, 090424 (excel)
• RISIKOVURDERINGER – ROS-ANALYSE 100424 (pdf)
• RISIKOVURDERINGER – ROS-ANALYSE 100424 (docx)
• DPIA – VURDERING AV PERSONVERNKONSEKVENSER, VERSJON 1, 090424 (docx)
• DPIA – VURDERING AV PERSONVERNKONSEKVENSER VERSJON I, 090424 (pdf)
• TEKST TIL PERSONVERNERKLÆRING (pdf)
• TEKST TIL PERSONVERNERKLÆRING (docx)