POLR.Vaagan JBI/HiO1 POL, jf. Zakariassen (2001) POL fra , pluss forskrift av Erstattet Personregisterloven av 1978 Formålet å beskytte den enkelte mot at personvernet krenkes ved behandling av personopplysninger, og at en i behandlingen av slike opplysninger respekterer personvernhensyn (behovet for personlig integritet, privatlivets fred, tilstrekkelig kvalitet på personopplysninger)

POLR.Vaagan JBI/HiO2 Datatilsynets praktisering av POL, avgjørelsene til Personvernnemda og domstolene vil etter hvert forme loven og gi mer detaljerte retningslinjer

POLR.Vaagan JBI/HiO3 Relevant for bibliotek? Ja - alle virksomheter, også bibliotek, som behandler personopplysninger må sette seg inn i POL Låneregistre, utlånsregistre, bokbaser, billedbaser, klippsamlinger fra aviser, lokalhistoriske samlinger etc og vevmateriale som legges ut kan inneholde personopplysninger TV-overvåking av biblioteklokaler eller området utenfor biblioteket

POLR.Vaagan JBI/HiO4 De viktigste punktene å huske 1.Virksomheten kan bare behandle personopplysninger dersom den har et såkalt ”rettslig grunnlag”, dvs. at formålet med behandlingen må være saklig begrunnet i virksomheten. For bibliotek jf. Lov om folkebibliotek av 1985 og Universitets- og høyskoleloven av Det kreves også enten at den registrerte samtykker, at virksomheten har hjemmel Lov om folkebibliotek av 1985 Universitets- og høyskoleloven av 1995

POLR.Vaagan JBI/HiO5 eller at behandlingen er nødvendig for å behandle nærmere angitte forhold i §8 Biblioteket må ha en tilfredsstillende informasjonssikkerhet i form av planlagte og systematiske tiltak Biblioteket må ha internkontroll, inkl.dokumentasjon av rutiner for behandling, innsyn, utlevering, samt informasjon til den registrerte. Intern- kontrollen skal omfatte rutinene og tiltakene for å sikre informasjonssikkerhet

POLR.Vaagan JBI/HiO6 Dersom POL krever det skal biblioteket melde fra om behandling til Datatilsynet eller søke om konsesjon. Biblioteket plikter å informere den registrerte om behandlingen og svaret skal gis innen 30 dager uten betaling. Biblioteket skal gi enhver som krever det innsyn uten betaling, med mindre det er spesielle regler i annen lovgivning om taushetsplikt etc.

POLR.Vaagan JBI/HiO7 Når ansatte ved biblioteket oppdager at biblioteket har feilaktige eller unødvendige opplysninger skal biblioteket rette, slette eller supplere opplysninger uavhengig av om noen ber om dette. Virksomheter som markedsfører direkte til privatpersoner skal vaske sine opplysninger mot det sentrale reservasjonsregisteret

POLR.Vaagan JBI/HiO8 Lovens omfang Fra personregister i PRL > behandling av personopplysninger i POL. POL §3 gjelder: –Behandling av personopplysninger helt/delvis med elektroniske hjelpemidler, for eksempel elektroniske utlånsregistre –Manuell behandling av personopplysninger når disse inngår/skal inngå i et personregister, for eksempel samling av avisutklipp som er søkbar på navn

POLR.Vaagan JBI/HiO9 Personopplysninger gjelder enkeltpersoner, ikke grupper med mindre individer kan identifiseres Behandling av personopplysninger dekker innsamling, registrering, sammenstilling, lagring og utlevering POL gjelder ikke behandling av personopplysninger for rent private formål (venner og bekjente lagt inn på PC) Kan også omfatte døde personer dersom opplysningene forteller noe om levende personer, for eksempel info om arvelige sykdommer

POLR.Vaagan JBI/HiO10 Arkiv som bedrifter/institusjoner har gitt bibliotek og som inneholder slike personopplysninger faller inn under POL POL gir delvis unntak for behandling av personopplysninger for kunstneriske, litterære og journalistiske formål av hensyn til ytringsfriheten Bibliotek kan m.a.o. legge ut info om forfattere og lignende på sine vevsider forutsatt at målet er journalistisk

POLR.Vaagan JBI/HiO11 Likeledes må biblioteket kunne innhente og registrere personopplysninger for å lage dokumentarfilm, skuespill, revy og lignende Definisjonen av akkurat hva som ligger i ”kunstneriske, litterære og journalistiske formål” vil klarlegges av lovpraktiseringen Dersom bestemmelsen om ytringsfrihet gjelder, er det heller ikke melde- eller konsesjonsplikt.

POLR.Vaagan JBI/HiO12 Behandlingsansvarlig (BA) og databehandler (DB) BA er den som bestemmer formålet med behandlingen av personopplysninger og hjelpemidlene som skal brukes BA er ansvarlig utad for bibliotekets behandling av personopplysninger Ved offentlige bibliotek er BA kommunen, i praksis biblioteksjefen (delegert ansvar) Søksmålsansvaret ligger hos kommunen ved rådmann eller adm.sjef For off. fag/forskningsbibl. er BA SO som kan delegere ansvaret til institusjonsleder

POLR.Vaagan JBI/HiO13 DB utfører oppdrag på vegne av BA. Passive behandlinger faller også inn under POL, for eksempel ved oppgradering av programmer av systemleverandører som Biblioteksystemer AS, Biblioteksentralen AL eller Norsk Systemutvikling. BA er ansvarlig for at DB overholder sikkerhetskrav under POL

POLR.Vaagan JBI/HiO14 Vilkår for behandling av personopplysninger Før behandling av personopplysninger kan starte må BA sørge for at ett av grunnkravene i POL §8 er oppfylt: 1)Samtykke: frivillig, uttrykkelig og informert erklæring, helst skriftlig (BA må ved evt. tvil sannsynliggjøre at samtykke er gitt). Samtykket kan trekkes tilbake når som helst. 2)Lov: kan være hjemlet i lov

POLR.Vaagan JBI/HiO15 3) Behandling er nødvendig for §8 a-f: a)For å oppfylle avtale med den registrerte (eks. låneregistre) b)For at BA skal kunne oppfylle rettslig forpliktelse (eks. låneregistre) c)For å ivareta den registrertes vitale interesser d)For å utføre en oppgave av allmenn interesse (eks. bokbaser) e)For å utøve offentlig myndighet f) For at BA eller tredjepersoner som opplysningene gis til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen (eks. bokbaser)

POLR.Vaagan JBI/HiO16 Grunnkrav til behandling POL §11 angir at personopplysninger bare må nyttes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten. Et bibliotek har et saklig behov for et låneregister som viser hva som er lånt ut til hvem. Har biblioteket samlet inn personopplysninger til et formål kan informasjonen bare brukes til et nytt formål hvis det ikke er uforenelig med det opprinnelige formål. Er den nye behandlingen for historiske, statistiske eller vitenskapelige formål, vil den ikke være uforenelig med det opprinnelige formål.

POLR.Vaagan JBI/HiO17 Personopplysningen må være tilstrekkelig og relevante for formålet med behandlingen og samtidig korrekte og oppdaterte. Personopplysninger må ikke lagres lengre enn nødvendig for formålet med behandlingen. Uriktige eller overflødige opplysninger må slettes dersom den registrerte ber om det eller bibliotekets ansatte oppdager dette. Når formålet ikke lenger foreligger (eks. en ansettelse) skal opplysningene slettes (eks CV’er for jobbsøkere)

POLR.Vaagan JBI/HiO18 Sikring og internkontroll BA og DB skal sette i gang planlagte og systematiske tiltak for tilfredsstillende informasjonssikkerhet. Dette gjelder tekniske og organisatoriske tiltak i biblioteket Sikkerhetsstandarder som konfidensialitet, integritet og tilgjengelighet er viktig –Konfidensialitet betyr at BA skal sørge for beskyttelse mot uautorisert innsyn – lånere skal for eksempel ikke ha tilgang på informasjon om andre lånere ved å kunne bruke PC’er med låneregistre osv.

POLR.Vaagan JBI/HiO19 Internkontroll: –BA skal utarbeide risikoanalyser, mål og strategi for etablering av tilfredstillende informasjonssikkerhet –BA må dokumentere tiltakene og dokumentasjonen skal være tilgjengelige for bibliotekets ansatte. DB, Datatilsynet og Personvernnemnda skal også ha tilgang til dokumentasjonen

POLR.Vaagan JBI/HiO20 Melde- og konsesjonsplikt I stedet for konsesjonsplikten under Personregisterloven innførte POL en omfattende meldeplikt. POL krever konsesjon bare for behandling av sensitive personopplysninger Ønsker biblioteket å behandle personopplysninger må BA sende melding til Datatilsynet. Meldingen skal være mottatt senest 30 dager før behandlingene tar til.

POLR.Vaagan JBI/HiO21 Kravene og grunnvilkårene må være oppfylt når meldingen sendes inn. Datatilsynet gir BA en kvittering – men denne betyr bare at meldeplikten er oppfylt – ikke at Datatilsynet godkjenner at grunnvilkårene er oppfylt. Hvert 3.år skal BA sende inn ny melding Generelt unntak fra meldeplikten for kunde- abonnement- og leverandøropplysninger, og bare dersom opplysningene er ledd i administrasjon og kontraktsforpliktelser

POLR.Vaagan JBI/HiO22 Sensitive personopplysninger. Behandles sjelden i bibliotek; omfatter informasjon om –Rase/etnisk bakgrunn el. politisk/religiøs/filosofisk orientering –At en har vært mistenkt, siktet, tiltalt eller dømt –Helseforhold –Seksuelle forhold –Medlemskap i fagforeninger

POLR.Vaagan JBI/HiO23 Behandling av sensitive personopplysninger krever konsesjon, med mindre –registrerte har gitt slike opplysninger frivillig og på eget initiativ –Ved behandling av personopplysninger i organ for stat/kommune –Når det er hjemmel i lov –Hvis det er gjort unntak for konsesjonsplikten ved forskrift

POLR.Vaagan JBI/HiO24 Overgangsregler PRL > POL : Har biblioteket konsesjon i medhold av Personregisterloven, må BA sørge for å sende melding eller få konsesjon innen 1.januar 2003

POLR.Vaagan JBI/HiO25 Innsyn og opplysningsplikt Enhver som ber om det har rett til innsyn i bibliotekets behandling av personopplysninger uavhengig om vedkommende er registrert Er den som ber om innsyn registrert for eksempel som låner ved biblioteket, skal BA opplyse hvilke opplysninger om den registrerte som behandles og om sikkerhetstiltakene, så langt siste ikke svekker sikkerheten Hvis den som ber om innsyn ikke vet at han/hun er registrert må BA informere om dette

POLR.Vaagan JBI/HiO26 I tillegg til reglene om innsyn kommer også reglene under Offentlighetsloven, Forvaltningsloven og andre særlover Når biblioteket samler personopplysninger fra den registrerte, for eksempel som låner, må BA oppgi hvem som er BA, formålet med behandlingen, om opplysningene vil bli utlevert, evt. mottaker, at det er frivillig å gi fra seg opplysningene, retten til å kreve innsyn

POLR.Vaagan JBI/HiO27 Det gis unntak fra informasjonsplikten hvis det er på det rene at den registrerte alt kjenner informasjonen det er snakk om. Dette gjelder trolig ved registrering av låntaker, med mindre biblioteket benytter opplysningene til noe den registrerte ikke kjenner til, for eksempel utlevering til ande bibliotek Det er også informasjonsplikt når det samles inn personopplysninger fra andre enn registrerte

POLR.Vaagan JBI/HiO28 Plikten til gi informasjon og rett til innsyn er begrenset mht informasjon som kan skade riktes sikkerhet, lovbestemt taushetsplikt, når informasjonen kun finnes i tekst laget for intern saksforberedelse og som ikke er utlevert til andre. Biblioteket er underlagt Forvaltningslovens bestemmelser om taushetsplikt. I slike tilfeller må BA gi skriftlig begrunnelse. Informasjon må gis skriftlig hvis den som ber om det krever dette. BA må svare på henvendelser om innsyn uten ugrunnet opphold og senest innen 30 dager.

POLR.Vaagan JBI/HiO29 Retting og sletting Den registrerte kan krev at BA retter eller sletter feilaktige eller ufullstendige personopplysninger, eller informasjon som ikke gis adgang til å behandle. Datatilsynet kan bestemme at retting må skje ved sletting eller sperring hvis tungtveiende hensyn taler for det. Slettes uriktige opplysninger skal de hvis mulig suppleres med riktige opplysninger

POLR.Vaagan JBI/HiO30 Hvis ikke skal hele dokumentet slettes, dersom det som gjenstår gir et åpenbart misvisende bilde. Med mindre oppbevaring er lovfestet må ikke biblioteket lagre opplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Biblioteket kan likevel lagre person- opplysninger for historiske, statistiske eller vitenskapelige formål dersom samfunnets interesse overstiger ulempene for den enkelte registrerte.

POLR.Vaagan JBI/HiO31 Andre bestemmelser Håndheving og sanksjoner –Datatilsynet kan krev adgang til steder med personregistre, overvåkingsutstyr og billedopptak, personopplysninger som behandles elektronisk og hjelpemidler, uten hensyn til taushetsplikt –Datatilsynet kan ilegge tvangsmulkt –BA kan på sin side innklage Datatilsynets avgjørelser for Personvernnemnda som er klageinstans

POLR.Vaagan JBI/HiO32 –BA må erstatte skade som fastslås å ha oppstått ved behandling av personopplysninger hvis det skyldes BAs feil eller forsømmelse –BA kan pådra seg bøter og eller fengsel i inntil 1 år ved forsettelig eller grov uaktsom handling i strid med POL –Hvem som er rettslig ansvarlig avgjøres av delegering – normalt kommunen, rådmann eller adm.sjef –Personvernnemnda er en selvstendig instans som har myndighet til å omgjøre Datatilsynets avgjørelser

POLR.Vaagan JBI/HiO33 Personvernnemndas avgjørelser kan klages videre til Regjeringen BA kan bringe Datatilsynets og Personvernnemndas vedtak inn for domstolene

POLR.Vaagan JBI/HiO34 Spesielt for bibliotek Bruk av fødselsnumre –Ny i POL og kan bare brukes ved saklig behov for sikker identifisering –Bare hvis andre og mindre sikre ID-midler som navn, adresse og lånenummer ikke er nok –Noen kommuner med mange innbyggere har ønsket å bruke fødselsnummer pga lånere som stadig flytter. Dermed kan adresseopplysninger skaffes fra Folkeregisteret –Biblioteket må melde fra til Datatilsynet om registrering av fødselsnumre

POLR.Vaagan JBI/HiO35 Politiets innsyn –Av og til vil politiet ha innsyn i bibliotekets låneregister. Kan skyldes at politiet ved beslag har funnet bøker som kan være stjålet –Biblioteket kan kreve rettslig kjennelse før de avgir slik informasjon. En rettslig kjennelse kan ankes Felles bibliotekkort –Kan være aktuelt for flere bibliotek Alle bibliotek som da dekkes vil ha tilgang til informasjon om låner

POLR.Vaagan JBI/HiO36 –Ved interkommunalt samarbeid bør dette koordineres ved at en felles BA utpekes –Dette vil være en ny behandling under POL som krever oppfylling av vilkår og grunnkrav i §8-11 –BA må bl.a. informere låneren om hvilke bibliotek som får opplysningene Lokalhistoriske samlinger –Kan omfatte skjønnlitteratur, biografisk stoff om lokalpersoner, lokal periodika og aviser, grå litteratur (brosjyrer, reklametrykk, foreningbslad, bedriftaviser, hovedoppgaver, forskningsrapporter, offentlige utredninger

POLR.Vaagan JBI/HiO37 –Kart, fotosamlinger, lokalmusikk og film, manuskripter, privatarkiver m.m. –Mye av dette omhandler døde personer og omfattes ikke av POL med mindre det inneholder opplysninger om levende personer –Manuelle registre med personopplysninger som ønskes lånt ut faller inn under POL. –Biblioteket har ingen plikt til å slette historisk materiale når det bevares av nettopp historiske grunner forutsatt at vilkårene i §28 er oppfylt (historiske, statistiske eller vitenskaplige formål)

POLR.Vaagan JBI/HiO38 –Elektronisk materiale som fulltekstdatabaser (selv om det ikke utgjør et register søkbart på navn), omfattes av POL dersom de inneholder personopplysninger Oppsøkende virksomhet –Kan være greitt å beholde informasjon om hva vedkommende har lånt før for å slippe tilbud om samme titler. Hvis låner samtykker kan biblioteket beholde lånehistorien, men BA må melde fra til Datatilsynet

POLR.Vaagan JBI/HiO39 Forskningen –Forskere har hevdet at sletting av låneopplysninger er uheldig. En kan da ikke finne ut hva som inspirerte kunstnere i sin tid. Hva Ibsen leste mens han skrev sine dramaer kan være viktig for en litteraturforsker å klarlegge. Men POL avhjelper ikke denne konsekvensen. Fjernsynsovervåking –Er meldepliktig. Ønsker biblioteket å fjernsynsovervåke lokalene må kravene i §8 og 9 oppfylles, likeledes kravene i §11.

POLR.Vaagan JBI/HiO40 Materialet kan bare utleveres til andre enn BA dersom den avbildete samtykker eller det følger av lov. Opptak kan utleveres til politiet ved etterforskning av straffbar handling eller ulykker, med mindre taushetsplikt hindrer dette. Ellers må politiet ha rettslig kjennelse for utlevering av slike opptak. Opptak skal slettes senest 7 dager etter at det er gjort, men kan beholdes i inntil 30 dager hvis det er sannsynlig at det må utleveres til politiet, jf. ovenfor

POLR.Vaagan JBI/HiO41 Aktuelle øvelser for bibliotek: