Prinsipp for behandling av personopplysingar

I denne andre delen av kurset skal me sjå på kva som må til for at biblioteket kan behandla personopplysingar og korleis behandlinga skal dokumenterast. Framstillinga er i store trekk henta frå datatilsynet sine nettsider. Det er 7 hovudprinsipp for behandling av personopplysingar (art. 5 og (6, 9)): 

  • Lovleg, rettferdig og gjennomsiktig
  • Formålsavgrensa
  • Dataminimering
  • Riktige opplysingar
  • Avgrensa lagringstid
  • Integritet og konfidensialitet
  • Behandlinga skal vera ansvarleg

              Lovleg, rettferdig og gjennomsiktig

              Når behandlinga er lovleg, har du eit rettsleg behandlingsgrunnlag. Hugs å ta med behandlingsgrunnlaget i personvernerklæringa. Den registrerte har rett til å vita dette. Det er fleire rettslege grunnlag å velja mellom (art. 6). For behandlingar i bibliotek kan du velja mellom a) samtykke, b) nødvendig for avtale, c) nødvendig for rettslege plikter, e) nødvendig for å utføra ei oppgåve som allmenta har interesse av og f) berettiga interesse eller vekting av interesse 

              Særlege kategoriar personopplysingar (art. 9), er forbode, men det er ei rekkje unnatak. I tillegg til at du har eit behandlingsgrunnlag, må du òg passa på at di behandling kjem inn under eitt eller fleire av desse unnataka. Eit døme på behandling av særlege kategoriar personopplysingar er historikk over lån i biblioteksystemet. Lån av bøker om bestemte emne kan samanstillast med andre personopplysingar og til dømes gi informasjon om politisk og religiøs oppfatting. Å henta inn samtykke og avgrensa tilgang til historikken er avgjerande for om slik behandling er lovleg eller ikkje. I mange tilfelle må du vurdera personvernkonsekvensar (DPIA) 

              Behandlinga av personopplysingar skal vera rettferdig. Det tyder at ein skal ha respekt for den registrerte sine rettar og behandlinga skal stå i samsvar med kva det er rimeleg å venta seg. Det inneber òg at behandlinga skal vera gjennomsiktig. 

              Formålsavgrensing

              Det andre prinsippet inneber at ein avgrensar formålet med behandlinga. Til dømes dersom formålet er utlån, kan ein ikkje bruka personopplysingane til marknadsføring av arrangement. Men ein kan bruka personopplysingane til tilgrensande formål, til dømes til statistikk og analyse, men då i anonymisert eller pseudonymisert form.

              Andre prinsipp for behandling av personopplysingar

              Dataminimering tyder at ein berre skal behandla dei personopplysingane som er nødvendige for formålet og ein skal sikra at personopplysingane er riktige. I tillegg skal ein avgrensa lagringstida til det som er naudsynt for formålet. Kravet om integritet, konfidensialitet og ansvarleg behandling inneber at det er sett inn tryggingstiltak for å sikra at systema som behandlar personopplysingar, er robuste mot til dømes angrep og uhell. 

              Animasjonsfilm laget av Rakhshan Abbasi, Adnordigital.