1 / 41

POL, jf. Zakariassen (2001)

POL, jf. Zakariassen (2001). POL fra 1.1.01, pluss forskrift av 15.12.00 Erstattet Personregisterloven av 1978

liesel
Download Presentation

POL, jf. Zakariassen (2001)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. POL, jf. Zakariassen (2001) • POL fra 1.1.01, pluss forskrift av 15.12.00 • Erstattet Personregisterloven av 1978 • Formålet å beskytte den enkelte mot at personvernet krenkes ved behandling av personopplysninger, og at en i behandlingen av slike opplysninger respekterer personvernhensyn (behovet for personlig integritet, privatlivets fred, tilstrekkelig kvalitet på personopplysninger) R.Vaagan JBI/HiO

  2. Datatilsynets praktisering av POL, avgjørelsene til Personvernnemda og domstolene vil etter hvert forme loven og gi mer detaljerte retningslinjer R.Vaagan JBI/HiO

  3. Relevant for bibliotek? • Ja - alle virksomheter, også bibliotek, som behandler personopplysninger må sette seg inn i POL • Låneregistre, utlånsregistre, bokbaser, billedbaser, klippsamlinger fra aviser, lokalhistoriske samlinger etc og vevmateriale som legges ut kan inneholde personopplysninger • TV-overvåking av biblioteklokaler eller området utenfor biblioteket R.Vaagan JBI/HiO

  4. De viktigste punktene å huske • Virksomheten kan bare behandle personopplysninger dersom den har et såkalt ”rettslig grunnlag”, dvs. at formålet med behandlingen må være saklig begrunnet i virksomheten. For bibliotek jf. Lov om folkebibliotek av 1985 og Universitets- og høyskoleloven av 1995 . Det kreves også enten at den registrerte samtykker, at virksomheten har hjemmel R.Vaagan JBI/HiO

  5. eller at behandlingen er nødvendig for å behandle nærmere angitte forhold i §8 • Biblioteket må ha en tilfredsstillende informasjonssikkerhet i form av planlagte og systematiske tiltak • Biblioteket må ha internkontroll, inkl.dokumentasjon av rutiner for behandling, innsyn, utlevering, samt informasjon til den registrerte. Intern- kontrollen skal omfatte rutinene og tiltakene for å sikre informasjonssikkerhet R.Vaagan JBI/HiO

  6. Dersom POL krever det skal biblioteket melde fra om behandling til Datatilsynet eller søke om konsesjon. • Biblioteket plikter å informere den registrerte om behandlingen og svaret skal gis innen 30 dager uten betaling. • Biblioteket skal gi enhver som krever det innsyn uten betaling, med mindre det er spesielle regler i annen lovgivning om taushetsplikt etc. R.Vaagan JBI/HiO

  7. Når ansatte ved biblioteket oppdager at biblioteket har feilaktige eller unødvendige opplysninger skal biblioteket rette, slette eller supplere opplysninger uavhengig av om noen ber om dette. • Virksomheter som markedsfører direkte til privatpersoner skal vaske sine opplysninger mot det sentrale reservasjonsregisteret R.Vaagan JBI/HiO

  8. Lovens omfang • Fra personregister i PRL > behandling av personopplysninger i POL. POL §3 gjelder: • Behandling av personopplysninger helt/delvis med elektroniske hjelpemidler, for eksempel elektroniske utlånsregistre • Manuell behandling av personopplysninger når disse inngår/skal inngå i et personregister, for eksempel samling av avisutklipp som er søkbar på navn R.Vaagan JBI/HiO

  9. Personopplysninger gjelder enkeltpersoner, ikke grupper med mindre individer kan identifiseres • Behandling av personopplysninger dekker innsamling, registrering, sammenstilling, lagring og utlevering • POL gjelder ikke behandling av personopplysninger for rent private formål (venner og bekjente lagt inn på PC) • Kan også omfatte døde personer dersom opplysningene forteller noe om levende personer, for eksempel info om arvelige sykdommer R.Vaagan JBI/HiO

  10. Arkiv som bedrifter/institusjoner har gitt bibliotek og som inneholder slike personopplysninger faller inn under POL • POL gir delvis unntak for behandling av personopplysninger for kunstneriske, litterære og journalistiske formål av hensyn til ytringsfriheten • Bibliotek kan m.a.o. legge ut info om forfattere og lignende på sine vevsider forutsatt at målet er journalistisk R.Vaagan JBI/HiO

  11. Likeledes må biblioteket kunne innhente og registrere personopplysninger for å lage dokumentarfilm, skuespill, revy og lignende • Definisjonen av akkurat hva som ligger i ”kunstneriske, litterære og journalistiske formål” vil klarlegges av lovpraktiseringen • Dersom bestemmelsen om ytringsfrihet gjelder, er det heller ikke melde- eller konsesjonsplikt. R.Vaagan JBI/HiO

  12. Behandlingsansvarlig (BA) og databehandler (DB) • BA er den som bestemmer formålet med behandlingen av personopplysninger og hjelpemidlene som skal brukes • BA er ansvarlig utad for bibliotekets behandling av personopplysninger • Ved offentlige bibliotek er BA kommunen, i praksis biblioteksjefen (delegert ansvar) • Søksmålsansvaret ligger hos kommunen ved rådmann eller adm.sjef • For off. fag/forskningsbibl. er BA SO som kan delegere ansvaret til institusjonsleder R.Vaagan JBI/HiO

  13. DB utfører oppdrag på vegne av BA. • Passive behandlinger faller også inn under POL, for eksempel ved oppgradering av programmer av systemleverandører som Biblioteksystemer AS, Biblioteksentralen AL eller Norsk Systemutvikling. • BA er ansvarlig for at DB overholder sikkerhetskrav under POL R.Vaagan JBI/HiO

  14. Vilkår for behandling av personopplysninger • Før behandling av personopplysninger kan starte må BA sørge for at ett av grunnkravene i POL §8 er oppfylt: • Samtykke: frivillig, uttrykkelig og informert erklæring, helst skriftlig (BA må ved evt. tvil sannsynliggjøre at samtykke er gitt). Samtykket kan trekkes tilbake når som helst. • Lov: kan være hjemlet i lov R.Vaagan JBI/HiO

  15. 3) Behandling er nødvendig for §8 a-f: • For å oppfylle avtale med den registrerte (eks. låneregistre) • For at BA skal kunne oppfylle rettslig forpliktelse (eks. låneregistre) • For å ivareta den registrertes vitale interesser • For å utføre en oppgave av allmenn interesse (eks. bokbaser) • For å utøve offentlig myndighet f) For at BA eller tredjepersoner som opplysningene gis til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen (eks. bokbaser) R.Vaagan JBI/HiO

  16. Grunnkrav til behandling • POL §11 angir at personopplysninger bare må nyttes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten. Et bibliotek har et saklig behov for et låneregister som viser hva som er lånt ut til hvem. • Har biblioteket samlet inn personopplysninger til et formål kan informasjonen bare brukes til et nytt formål hvis det ikke er uforenelig med det opprinnelige formål. Er den nye behandlingen for historiske, statistiske eller vitenskapelige formål, vil den ikke være uforenelig med det opprinnelige formål. R.Vaagan JBI/HiO

  17. Personopplysningen må være tilstrekkelig og relevante for formålet med behandlingen og samtidig korrekte og oppdaterte. • Personopplysninger må ikke lagres lengre enn nødvendig for formålet med behandlingen. • Uriktige eller overflødige opplysninger må slettes dersom den registrerte ber om det eller bibliotekets ansatte oppdager dette. • Når formålet ikke lenger foreligger (eks. en ansettelse) skal opplysningene slettes (eks CV’er for jobbsøkere) R.Vaagan JBI/HiO

  18. Sikring og internkontroll • BA og DB skal sette i gang planlagte og systematiske tiltak for tilfredsstillende informasjonssikkerhet. • Dette gjelder tekniske og organisatoriske tiltak i biblioteket • Sikkerhetsstandarder som konfidensialitet, integritet og tilgjengelighet er viktig • Konfidensialitet betyr at BA skal sørge for beskyttelse mot uautorisert innsyn – lånere skal for eksempel ikke ha tilgang på informasjon om andre lånere ved å kunne bruke PC’er med låneregistre osv. R.Vaagan JBI/HiO

  19. Internkontroll: • BA skal utarbeide risikoanalyser, mål og strategi for etablering av tilfredstillende informasjonssikkerhet • BA må dokumentere tiltakene og dokumentasjonen skal være tilgjengelige for bibliotekets ansatte. DB, Datatilsynet og Personvernnemnda skal også ha tilgang til dokumentasjonen R.Vaagan JBI/HiO

  20. Melde- og konsesjonsplikt • I stedet for konsesjonsplikten under Personregisterloven innførte POL en omfattende meldeplikt. POL krever konsesjon bare for behandling av sensitive personopplysninger • Ønsker biblioteket å behandle personopplysninger må BA sende melding til Datatilsynet. Meldingen skal være mottatt senest 30 dager før behandlingene tar til. R.Vaagan JBI/HiO

  21. Kravene og grunnvilkårene må være oppfylt når meldingen sendes inn. Datatilsynet gir BA en kvittering – men denne betyr bare at meldeplikten er oppfylt – ikke at Datatilsynet godkjenner at grunnvilkårene er oppfylt. • Hvert 3.år skal BA sende inn ny melding • Generelt unntak fra meldeplikten for kunde- abonnement- og leverandøropplysninger, og bare dersom opplysningene er ledd i administrasjon og kontraktsforpliktelser R.Vaagan JBI/HiO

  22. Sensitive personopplysninger. Behandles sjelden i bibliotek; omfatter informasjon om • Rase/etnisk bakgrunn el. politisk/religiøs/filosofisk orientering • At en har vært mistenkt, siktet, tiltalt eller dømt • Helseforhold • Seksuelle forhold • Medlemskap i fagforeninger R.Vaagan JBI/HiO

  23. Behandling av sensitive personopplysninger krever konsesjon, med mindre • registrerte har gitt slike opplysninger frivillig og på eget initiativ • Ved behandling av personopplysninger i organ for stat/kommune • Når det er hjemmel i lov • Hvis det er gjort unntak for konsesjonsplikten ved forskrift R.Vaagan JBI/HiO

  24. Overgangsregler PRL > POL : Har biblioteket konsesjon i medhold av Personregisterloven, må BA sørge for å sende melding eller få konsesjon innen 1.januar 2003 R.Vaagan JBI/HiO

  25. Innsyn og opplysningsplikt • Enhver som ber om det har rett til innsyn i bibliotekets behandling av personopplysninger uavhengig om vedkommende er registrert • Er den som ber om innsyn registrert for eksempel som låner ved biblioteket, skal BA opplyse hvilke opplysninger om den registrerte som behandles og om sikkerhetstiltakene, så langt siste ikke svekker sikkerheten • Hvis den som ber om innsyn ikke vet at han/hun er registrert må BA informere om dette R.Vaagan JBI/HiO

  26. I tillegg til reglene om innsyn kommer også reglene under Offentlighetsloven, Forvaltningsloven og andre særlover • Når biblioteket samler personopplysninger fra den registrerte, for eksempel som låner, må BA oppgi hvem som er BA, formålet med behandlingen, om opplysningene vil bli utlevert, evt. mottaker, at det er frivillig å gi fra seg opplysningene, retten til å kreve innsyn R.Vaagan JBI/HiO

  27. Det gis unntak fra informasjonsplikten hvis det er på det rene at den registrerte alt kjenner informasjonen det er snakk om. Dette gjelder trolig ved registrering av låntaker, med mindre biblioteket benytter opplysningene til noe den registrerte ikke kjenner til, for eksempel utlevering til ande bibliotek • Det er også informasjonsplikt når det samles inn personopplysninger fra andre enn registrerte R.Vaagan JBI/HiO

  28. Plikten til gi informasjon og rett til innsyn er begrenset mht informasjon som kan skade riktes sikkerhet, lovbestemt taushetsplikt, når informasjonen kun finnes i tekst laget for intern saksforberedelse og som ikke er utlevert til andre. Biblioteket er underlagt Forvaltningslovens bestemmelser om taushetsplikt. I slike tilfeller må BA gi skriftlig begrunnelse. • Informasjon må gis skriftlig hvis den som ber om det krever dette. BA må svare på henvendelser om innsyn uten ugrunnet opphold og senest innen 30 dager. R.Vaagan JBI/HiO

  29. Retting og sletting • Den registrerte kan krev at BA retter eller sletter feilaktige eller ufullstendige personopplysninger, eller informasjon som ikke gis adgang til å behandle . • Datatilsynet kan bestemme at retting må skje ved sletting eller sperring hvis tungtveiende hensyn taler for det. • Slettes uriktige opplysninger skal de hvis mulig suppleres med riktige opplysninger R.Vaagan JBI/HiO

  30. Hvis ikke skal hele dokumentet slettes, dersom det som gjenstår gir et åpenbart misvisende bilde. • Med mindre oppbevaring er lovfestet må ikke biblioteket lagre opplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. • Biblioteket kan likevel lagre person- opplysninger for historiske, statistiske eller vitenskapelige formål dersom samfunnets interesse overstiger ulempene for den enkelte registrerte. R.Vaagan JBI/HiO

  31. Andre bestemmelser • Håndheving og sanksjoner • Datatilsynet kan krev adgang til steder med personregistre, overvåkingsutstyr og billedopptak, personopplysninger som behandles elektronisk og hjelpemidler, uten hensyn til taushetsplikt • Datatilsynet kan ilegge tvangsmulkt • BA kan på sin side innklage Datatilsynets avgjørelser for Personvernnemnda som er klageinstans R.Vaagan JBI/HiO

  32. BA må erstatte skade som fastslås å ha oppstått ved behandling av personopplysninger hvis det skyldes BAs feil eller forsømmelse • BA kan pådra seg bøter og eller fengsel i inntil 1 år ved forsettelig eller grov uaktsom handling i strid med POL • Hvem som er rettslig ansvarlig avgjøres av delegering – normalt kommunen, rådmann eller adm.sjef • Personvernnemnda er en selvstendig instans som har myndighet til å omgjøre Datatilsynets avgjørelser R.Vaagan JBI/HiO

  33. Personvernnemndas avgjørelser kan klages videre til Regjeringen • BA kan bringe Datatilsynets og Personvernnemndas vedtak inn for domstolene R.Vaagan JBI/HiO

  34. Spesielt for bibliotek • Bruk av fødselsnumre • Ny i POL og kan bare brukes ved saklig behov for sikker identifisering • Bare hvis andre og mindre sikre ID-midler som navn, adresse og lånenummer ikke er nok • Noen kommuner med mange innbyggere har ønsket å bruke fødselsnummer pga lånere som stadig flytter. Dermed kan adresseopplysninger skaffes fra Folkeregisteret • Biblioteket må melde fra til Datatilsynet om registrering av fødselsnumre R.Vaagan JBI/HiO

  35. Politiets innsyn • Av og til vil politiet ha innsyn i bibliotekets låneregister. Kan skyldes at politiet ved beslag har funnet bøker som kan være stjålet • Biblioteket kan kreve rettslig kjennelse før de avgir slik informasjon. En rettslig kjennelse kan ankes • Felles bibliotekkort • Kan være aktuelt for flere bibliotek Alle bibliotek som da dekkes vil ha tilgang til informasjon om låner R.Vaagan JBI/HiO

  36. Ved interkommunalt samarbeid bør dette koordineres ved at en felles BA utpekes • Dette vil være en ny behandling under POL som krever oppfylling av vilkår og grunnkrav i §8-11 • BA må bl.a. informere låneren om hvilke bibliotek som får opplysningene • Lokalhistoriske samlinger • Kan omfatte skjønnlitteratur, biografisk stoff om lokalpersoner, lokal periodika og aviser, grå litteratur (brosjyrer, reklametrykk, foreningbslad, bedriftaviser, hovedoppgaver, forskningsrapporter, offentlige utredninger R.Vaagan JBI/HiO

  37. Kart, fotosamlinger, lokalmusikk og film, manuskripter, privatarkiver m.m. • Mye av dette omhandler døde personer og omfattes ikke av POL med mindre det inneholder opplysninger om levende personer • Manuelle registre med personopplysninger som ønskes lånt ut faller inn under POL. • Biblioteket har ingen plikt til å slette historisk materiale når det bevares av nettopp historiske grunner forutsatt at vilkårene i §28 er oppfylt (historiske, statistiske eller vitenskaplige formål) R.Vaagan JBI/HiO

  38. Elektronisk materiale som fulltekstdatabaser (selv om det ikke utgjør et register søkbart på navn), omfattes av POL dersom de inneholder personopplysninger • Oppsøkende virksomhet • Kan være greitt å beholde informasjon om hva vedkommende har lånt før for å slippe tilbud om samme titler. Hvis låner samtykker kan biblioteket beholde lånehistorien, men BA må melde fra til Datatilsynet R.Vaagan JBI/HiO

  39. Forskningen • Forskere har hevdet at sletting av låneopplysninger er uheldig. En kan da ikke finne ut hva som inspirerte kunstnere i sin tid. Hva Ibsen leste mens han skrev sine dramaer kan være viktig for en litteraturforsker å klarlegge. Men POL avhjelper ikke denne konsekvensen. • Fjernsynsovervåking • Er meldepliktig. Ønsker biblioteket å fjernsynsovervåke lokalene må kravene i §8 og 9 oppfylles, likeledes kravene i §11. R.Vaagan JBI/HiO

  40. Materialet kan bare utleveres til andre enn BA dersom den avbildete samtykker eller det følger av lov. Opptak kan utleveres til politiet ved etterforskning av straffbar handling eller ulykker, med mindre taushetsplikt hindrer dette. Ellers må politiet ha rettslig kjennelse for utlevering av slike opptak. • Opptak skal slettes senest 7 dager etter at det er gjort, men kan beholdes i inntil 30 dager hvis det er sannsynlig at det må utleveres til politiet, jf. ovenfor R.Vaagan JBI/HiO

  41. Aktuelle øvelser for bibliotek:http://www.jbi.hio.no/bibin/BoS31/bibled/OPPG_POL.HTM R.Vaagan JBI/HiO

More Related