Sentrale omgrep

Sentrale omgrep (Ill.: Rakhshan Abbasi)

Du har allereie støtt på nokre omgrep som er henta frå terminologien i GDPR-regelverket.  Her blir nokre av dei sentrale omgrepa omtalt. Omgrepa kan gjelda roller og dokumentasjonsprosess. Definisjonar finn du i artikkel 4 i forordninga og datatilsynet har òg ei ordliste som kan hjelpa.

Personvern og personopplysingar

Personvern handlar om retten til eit privatliv og retten til å bestemma over eigne personopplysingar.

Datatilsynet

Personopplysingar er alle opplysingar og vurderingar som kan knyttas til deg som enkeltperson. 

Datatilsynet

Eit bibliotek handsamar personopplysingar gjennom eit låneregister, der namn, adresse og anna kontaktinfo blir lagra. Dette systemet held oversikt over reserveringar, aktive lån, innkjøpsønsker, erstatningssaker og liknande. Det er forbode å behandla særlige kategoriar personopplysingar. I tidlegare lovverk blei omgrepet sensitive personopplysingar nytta. Dette omgrepet blir framleis nytta i daglegtale, men det er omgrepet særlege kategoriar du nå skal halda deg til.   

For å sikra at denne retten blir oppfyld, er det avgjerande at biblioteket har eit fullstendig og oppdatert oversyn over kva personopplysingar dei handsamar og at dei blir handsama, tatt vare på, delt og brukt på måtar som sikrar personvernet. 

Alle som er registrert i eitt eller fleire av biblioteket sine system, har krav på innsyn i kva biblioteket har registrert om dei og dei kan krevja å bli sletta. Denne retten gjeld både for digitale system og for utskriftar, gule lappar, papirarkiv og andre stader ein kan oppbevara personopplysingar. 

Særlege kategoriar personopplysingar er opplysingar om: 

  • etnisk opprinnelse 
  • politisk oppfatning 
  • religion 
  • filosofisk overbevisning 
  • fagforeningsmedlemskap 
  • genetikk 
  • biometri for eintydig identifikasjon 
  • helse 
  • seksuelle forhold 
  • seksuell legning 

Sentrale omgrep for roller

Biblioteket og leverandørane har kvar sine roller som behandlingsansvarleg og databehandlar. Personvernombod er utnemnd i kvar kommune og skal ta vare på den registrerte sine rettar. 

Behandlingsansvarleg

Behandlingsansvarleg er “ein… som aleine eller saman med andre bestemmer formålet med behandlinga av personopplysingar og kva hjelpemiddel som skal nyttast.” (Art. 4, nr. 7) 

Datatilsynet skriv at “Dersom den behandlingsansvarlige er en juridisk person (en virksomhet) er den juridiske personen behandlingsansvarlig, og ikke enkeltpersoner internt i virksomheten. Dette gjelder selv om ledelsen delegerer oppgaver som gjelder behandling av personopplysninger til enkeltpersoner i virksomheten.” Utgangspunktet for kurset og grunnen til at vi har laget et kurs i personvern i bibliotek, er at: 

  • oppgåver vedr personvern kan vera delegerte til biblioteksjef 
  • dersom andre skal gjera oppgåvene knytta til personvern, treng dei biblioteksjefens kompetanse og oversyn når det gjeld system og behandlingar i bibliotek.  
  • biblioteksjefens meiningar om korleis personopplysingar kan nyttast i bibliotek, det vil seia kva formål dei skal nyttast til og kva hjelpemiddel som kan brukast, bør vega tungt når nye system blir vurdert kjøpte inn. Dette samsvarar etter mitt syn med biblioteksjefen sitt ansvar for at det overordna formålet i folkebiblioteklovas §1 blir oppfylt. I drøftingar om personvern i biblioteka internt i kommunen bør biblioteksjefen halda fram at dette ansvaret ligg på biblioteksjefen.  

Organisering av personvernarbeidet er ulikt frå kommune til kommune. Det kan vera kommunar der arbeidet som gjeld personvernet, gjerast av andre. Men uansett om det er andre i kommunen som gjer eller hjelper til med kartleggings- og rapporteringsarbeidet, er det avgjerande at du sjølv deltar aktivt. Personvern er eit kontinuerlig arbeid. Ein skal vita at ein følgjer regelverket og dokumentera det. Personvernarbeidet må òg vera ein del av den daglege driften av biblioteket. Du skal jamnleg gå gjennom dei beskrivingane og vurderingane du har gjort tidlegare, slik at dei til ei kvar tid samsvarar med det som er praksis. Dette kallast ofte for orden i eige hus og innebygd personvern. Desse omgrepa kjem me nærare inn på i siste del av kurset, som gjeld dagleg drift. Personvernvurderingane bør òg vera ein naturleg del av utviklingsarbeidet i biblioteket. Når du sjølv har oversikt, blir det enklare å argumentera for innkjøp av nye system som er nødvendige for ei effektiv drift og for å oppfylla målsettinga i folkebiblioteklova. Me kjem inn på behandlingsansvarleg sine plikter seinare i kurset. 

Databehandlar

Databehandlar er “ein… som behandler personopplysingar på vegne av den behandlingsansvarlege.” (Art. 4, nr. 8) 

Databehandlaren er bedriften som leverer biblioteksystemet (I Rogaland: Bibliofil), digitale plattformar for biblioteket sine digitale tenester (Allbok, Bookbites, Filmoteket), billettsystem, bookingsystem og så vidare. Tilhøvet mellom behandlingsansvarleg og databehandlar skal alltid vera regulert i ein databehandlaravtale. Du finn meir om databehandlar sine plikter seinare i kurset. 

Personvernombod

«Personvernombudets hovedoppgave er å informere om de forpliktelsene virksomheten har etter personvernlovgivningen. De skal både gi råd til den behandlingsansvarlige eller databehandleren, og til de ansatte som utfører behandlingen av personopplysninger.» (Art. 4, nr.  

Du kan be kommunen sitt personvernombod om råd når du skal identifisera dei behandlingane som omhandlar personopplysingar. Ved nye prosjekt/nyinnkjøp er det viktig å involvera personvernombodet tidligast mogleg. Kommunen kan ha eigne rutinar/reglar for når ein skal kontakta personvernombodet. 

Den registrerte er enkeltpersonen som dei registrerte personopplysingane kan knyttast til. 

Tredjepart er “enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger” (art. 4, nr. 10).  

Sentrale omgrep som gjeld dokumentasjon

Når det gjeld dokumentasjon, kan kommunen din ha eigne malar/system. Få greie på kva du skal bruka, før du byrjar på arbeidet.   

Behandlingsprotokoll (Ill.: Rakhshan Abassi)

Behandlingsprotokoll

Behandlingsprotokoll (protokoll over behandlingsaktiviteter) skal lagast for ei kvar behandling av personopplysingar (Art. 30). Datatilsynet har ein eigen mal, men få greie på kva mal/system kommunen brukar til dette.  

Risikovurdering

Risikovurdering skal gjerast av både databehandler og behandlingsansvarlig (art. 24, 25, 32 og 35). Det som skal vurderast, er risikoen for dei registrerte sine rettar og friheiter, altså om det er låg risiko for at personopplysingar blir handsama riktig og lovleg. Risikovurderinga blir i nokre system/malar lagt til behandlingsprotokollen og andre gonger til DPIA. Denne risikovurderinga er ikkje den same som når du til dømes gjer ein ROS-analyse av bruk av biblioteket sine lokaler.  

DPIA (Ill.:Rakhshan Abassi)

DPIA – vurdering av personvernkonsekvensar

DPIA – Data Protection Impact Assessment blir på norsk kalt vurdering av personvernkonsekvensar. Ei slik vurdering blir kravd i tilfelle det er middels til høg risiko for dei registrerte sine rettar og friheiter. Det blir ofte skilt mellom DPIA og full DPIA. Då ligg ofte risikovurderinga i den innleiande runden av vurderinga. Dersom vurderinga resulterer i låg risiko, kan ein avslutta, medan ein ved middels eller høg risiko må skriva ein full DPIA.  

Databehandlaravtale (Ill.: Rakhshan Abassi)

Databehandlaravtale

Databehandlaravtale skal alltid regulera tilhøvet mellom behandlingsansvarleg og databehandlar. Det er ofte databehandlar som sender forslag til avtale, medan andre gonger har kommunen ein mal dei ynskjer at ein skal bruka. Hugs å få greie på kven i kommunen som har fullmakt til å skriva under på databehandlaravtalen. Det er ikkje sikkert at biblioteksjefen har denne fullmakten. Utkast til databehandlaravtale bør sendast til personvernombodet. Ved nyinnkjøp bør utkast til databehandlaravtale stå som skal-krav i kravspesifikasjonen.  

Personvernerklæring

Personvernerklæringa er skriftlig informasjon om verksemda si behandling av personopplysninger i tillegg til kontaktinformasjon og korleis ein kan klaga på handteringa. Hugs kontaktinformasjon for personvernombodet. 

Erklæring om informasjonskapslar

Cookieserklæring (Erklæring om informasjonskapslar) fortel brukaren av nettsider om kva informasjonskapslar som nyttast og korleis dei nyttast – til dømes til tilpassa funksjonalitet, marknadsføring og statistikk og analyse.