Personvern

Personvern er en viktig del av arbeidet med meråpne bibliotek. Dersom du ikke har jobbet systematisk med personvern tidligere, kan det virke som en uoverkommelig oppgave. Hvordan spiser du en elefant? Én bit av gangen, det samme gjelder personvern. GDPR kan oppleves som en omstendelig byråkratisk øvelse, men egentlig handler det om åpenhet, forutsigbarhet, tillit og medbestemmelse.

Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger.

Alle som er registrert i ett eller flere av bibliotekets systemer har krav på innsyn i hva biblioteket har registrert om dem, og krav på å bli slettet fra bibliotekets systemer hvis de ønsker det. Denne retten gjelder både for digitale systemer og for utskrifter, gule lapper, papirarkiver og andre måter å oppbevare personopplysninger på. For å sikre at denne retten ivaretas for bibliotekets brukere, må vi ha full oversikt over hvilke personopplysninger vi samler inn og hvordan disse opplysningene oppbevares, deles og brukes.

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Formålet med GDPR er å gi innbyggere innsikt i hvilke personopplysninger som samles inn og hva de brukes til.

Bruk kommunens personvernombud

Som biblioteksjef er du vanligvis behandlingsansvarlig for persondata som samles inn av biblioteket. Det er dermed ditt ansvar at personvernkonsekvenser knyttet til bibliotekets virksomhet kartlegges. Det betyr ikke at du skal gjennomføre dette alene. Personvernombud finnes i alle kommuner, og kan gi råd om hvordan du som behandlingsansvarlig kan ivareta personverninteresser. IKT er en annen relevant samarbeidspartner – de er vant til å vurdere personvernkonsekvenser av ulike datasystemer, og vet hva dere skal se etter.

  • Biblioteket definerer formålet med innsamling av persondata. For eksempel:
    • gjøre biblioteklokalene tilgjengelig for innbyggere utenfor bemannet åpningstid
    • sikre at det er trygt å bruke det meråpne biblioteket
    • låne ut bøker og andre medier utenfor bemannet åpningstid
    • gi tilgang til trådløst nettverk
  • Biblioteket kartlegger hvilke persondata som samles inn.
    • registrering av lånekort ved inngang
    • filming av bevegelser i biblioteket
    • registrering av utlån
    • registrering av bruk av trådløst nettverk
  • Biblioteket kartlegger hvilke systemer som er involvert i denne innsamlingen
    • låsesystem
    • besøkstellere/alarmportal
    • kamera
    • biblioteksystem
    • trådløst nettverk
  • Personvernombudet viser hvilke dokumenter/prosesser dere må gjennom, lager en framdriftsplan sammen med dere, støtter arbeidet underveis og kvalitetssikrer sluttresultatet.

Behandlingsgrunnlag

All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Biblioteket må, sammen med personvernombudet, vurdere hvilket behandlingsgrunnlag som er relevant for alle de ulike typene data dere samler inn. Å vurdere hva som er rett behandlingsgrunnlag for å samle inn persondata er en tung øvelse når du ikke har gjort det før, men etter hvert som du får det under huden, gir det god mening.

I Personopplysningslovens kapittel II, artikkel 6 finner du en oversikt over alle behandlingsgrunnlagene

Eksempler:

  • Kameraovervåking og lagring av opptak begrunnes ofte med «allmenhetens interesse» eller «berettiget interesse»
  • Innsamling av statistisk data som besøk og utlån begrunnes ofte med «utøvelse av offentlig myndighet» (Tilleggsgrunnlag: Lov om folkebibliotek, §3 og Forskrift om bibliotekstatistikk)
  • Registrering av utlån begrunnes ofte med «avtale»
  • Registrering av individuell utlånshistorikk begrunnes ofte med «samtykke»

Dokumentasjon

I prosessen med å kartlegge personvernskonsekvenser vil dere jobbe med en rekke ulike dokumenter.

  • Behandlingsprotokoll

En detaljert dokumentasjon som sier hvilke personopplysninger dere samler inn, hvorfor dere samler dem inn og hvordan dere bruker dem. Et viktig element i behandlingsprotokollen er behandlingsgrunnlaget.

  • Risikoanalyse
    • DPIA

    En grundigere vurdering av konsekvensene ved å samle inn eller ikke samle inn persondata. Påbudt hvis du har kameraoverovervåkning, hvis ikke er det ikke sikkert du trenger dette.

    • Kravspesifikasjon

    I kravspesifikasjonen stiller dere blant annet krav om at løsningen skal ivareta informasjonssikkerheten og brukerens personvern fra start til slutt (innebygd personvern), og at leverandøren skal føre egen behandlingsprotokoll.

    • Databehandleravtale

    Avtale med leverandør om hvordan persondata skal behandles. Be om at denne legges ved når de leverer tilbud, slik at dere kan vurdere om den er god nok.

    • Personvernerklæring

    Informasjon til brukere om hvilke data som samles inn om dem. For meråpent kan et oppslag i biblioteket eller en brukeravtale være effektiv måter å formidle denne informasjonen på)

    Trenger du å lære mer om GDPR?

    Personvern er et kontinuerlig arbeid, og det er viktig at kunnskapen om hvilke rutiner som skal følges, og hvilke grunnlag man har for behandling av personopplysninger, er med inn i den daglige driften av biblioteket.

    I løpet av høsten 2022 vil kurset GDPR – personvern i folkebiblioteka lanseres på bibliotekutvikling.no. Leksjonen om meråpent er tilgjengelig allerede nå, fra lenken nedenfor. Veilederen skal sette deg i stand til å gjennomføre de påkrevde stegene for å vurdere personvernkonsekvensene av meråpent, og redusere risikoen for at noe går galt.