Dataansvar
BIBLIOTEKET SOM DATAANSVARLIG
Lad os fastslå som det første, at dette ikke er en fyldestgørende, juridisk vejledning.
Det er det enkelte bibliotek (eller institutionen /ejeren af rummet), som har dataansvaret for de data, som de indsamler, opbevarer, behandler og kommunikere om og til borgere, lånere og ansatte.
Formålet med dette afsnit er alene at formidle nogle rammer og udfordringer, som projektet er blevet opmærksom på. Erfaringer er knyttet til forvaltning af regler og praksis i Aarhus Kommune.
Lov om behandling af personoplysninger er fra 2000 og bygger på EU direktiv fra 1995, før internettet blev almindeligt udbredt, før sociale medier, cloud computing etc.
Persondataloven gælder for behandling af oplysninger om identificerbare personer, når denne behandling helt eller delvis foretages ved hjælp af elektronisk databehandling og ved ikke-elektronisk behandling af personoplysninger, der indeholdes i et register. I forhold til persondataloven skal ansatte i kommunen særlig være opmærksomme på: Hvornår en behandling er omfattet af persondataloven, Eventuel anmeldelsespligt, Den registreredes rettigheder (oplysningspligt, indsigtsret, indsigelsesret) og aftaler med eventuelle leverandører.
Udgangspunkt er, at det er ulovligt at indsamle persondata oplysninger, medmindre en række betingelser er opfyldt. I forhold til sporing af borgeres ophold og færden i biblioteksrum er der nogle afgørende kriterier, f.eks. formål og anonymisering. De indsamlede data må ikke kunne henføres til enkeltpersoner: Læs mere om anonymisering her.
LOKALE REGLER
Landets kommuner kan udmønte lovgivningen på forskellig vis via egen IT-sikkerhedsfunktion. I denne sammenhæng betyder det, at indsamling af oplysninger om borgernes/brugernes adfærd også skal opfylde de lokale betingelser.
Aarhus Kommune har etableret en IT sikkerhedsorganisation og alle IT sikkerhedsregler og procedurer for IT sikkerhed er beskrevet i en intern IT håndbog.
Projektet skulle lave en intern anmeldelse af de to test af sporing af besøgende via wifi og bluetooth, som blev lavet i samarbejde med Alexandra Instituttet. Den interne anmeldelse oplyser om formål og om hvordan oplysningspligt for besøgende og medarbejdere håndteres. Der er også beskrivelse af hvordan data indsamles, anonymiseres, behandles og opbevares.
For oplysning af besøgende satte vi skilte ved alle indgange og henviste til mere information på projektets hjemmeside:
I forbindelse med videoovervågning og logning af internet, som er en del af den daglige drift i Dokk1, bliver besøgende oplyst om overvågningen ved alle indgange samt på Dokk1’s webside.
FREMTIDEN
Ny persondataforordning træder i kraft 25. maj 2018: For at styrke datasikkerheden besluttede EU-landene i april 2016 at indføre nye regler om databeskyttelse. Databeskyttelsesforordningen skal være indført i Danmark (og resten af EU) senest den 25. maj 2018. Forslaget til ny Persondatalov ventes fremsat i efteråret 2017.
Justitsministeriets betænkning om hvordan de nye EU-regler påvirker dansk lovgivning udkom i maj 2017. Læs betænkningen via disse links: Tidsplan for vejledninger. Betænkningen: Del I, bind 1 - Del I,bind 2 - Del II.
Overordnet set vil mange af principperne i den nugældende lovgivning fortsætte.
Nogle af de nye elementer er bl.a.:
• Offentlige myndigheder og enkelte private virksomheder skal udpege en databeskyttelsesrådgiver. Rådgiverne bliver kontaktpunkt i forhold til borgere og Datatilsynet.
• Ved brud på sikkerheden, skal virksomheder og myndigheder indberette dem til Datatilsynet indenfor 72 timer.
• Markant forhøjelse af strafferammerne for bøder, hvis virksomheder bryder reglerne. Det er dog uafklaret i forhold til danske, offentlige myndigheder, i flg. Peter Blume)
Mange aktører, bl.a. DDB drøfter, hvordan de nye regler fortolkes i forhold til bibliotekers dataansvar i forhold til hvilke typer persondata, folkebiblioteker arbejder med.
Ville det være fornuftigt at lave en skabelon til ”dataindsigt”; en liste over de persondata, som borgerne kan bede om fra biblioteket.
På Smart Library seminardagen 3. oktober holder Mads Schaarup Andersen oplæg om Persondataforordningen og det smarte bibliotek. Mads vil gennemgå de største udfordringer i persondataforordningen, hvad man bør tænker over i den sammenhæng samt komme med bud på hvordan man skal forholde sig til udfordringerne.