BOOK-IT OCH GDPR Magdalena Olofsson

Transkript

1 BOOK-IT OCH GDPR Magdalena Olofsson 1

2 VÅRA ROLLER Biblioteket alt kommunen är personuppgiftsansvarig Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Axiell är personuppgiftsbiträde Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 2

3 PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER Laglighet, korrekthet och öppenhet Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen. Samtycke Avtal - BOOK-IT Accept Rättslig förpliktelse Skydd för grundläggande intressen Uppgift av allmänt intresse och myndighetsutövning Efter en intresseavvägning Ändamålsbegränsning: Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. 3

4 PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER Uppgiftsminimering Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. BOOK-IT 10.0 (hösten 2018): Möjlighet att konfigurera vilka attribut man ska kunna ge en låntagare (grupp, organisation, klass, skola, språk, extra1, extra2) Korrekthet Personuppgifterna ska vara korrekta och uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om det krävs för ändamålen ska personuppgifterna dessutom vara uppdaterade. Personal kan ändra alla låntagaruppgifter på låntagarens begäran, låntagaren kan själv ändra mycket via webben API:et/Arena: möjlighet att skicka ut information om när en låntagares uppgifter senast uppdaterats i syfte att uppmana låntagaren att se över informationen. Lagringsminimering Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Mängd låntagare : gallra inaktiva låntagare När en låntagare tas bort ur BOOK-IT ligger kopplingar till transaktioner kvar i databasens loggar i 30 dagar i supportsyfte, därefter tas de bort. Statistik lagras utan koppling till personuppgifter 4

5 PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER Integritet och konfidentialitet Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Både Axiells och bibliotekens ansvar. Axiell ansvarar för den tekniska miljön samt den egna personalens åtkomst till bibliotekens personuppgifter (policy finns), biblioteken för att inte obehöriga personer får åtkomst till låntagarregistret. BOOK-IT idag: BOOK-IT 10.0: fler möjligheter att begränsa åtkomsten till uppgifter som kopplar ihop en låntagare med dess lån. Exempel: restriktion för visning av reservationskö i Expertsök, restriktion för visning av låntagarinformation i Exemplarinformation. Möjlighet att begränsa t ex lärarbibliotekarier till att endast se information om elever på den skolan man arbetar på. Ansvarsskyldighet Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. 5

6 DE REGISTRERADES RÄTTIGHETER Artikel 15: Den registrerades rätt till tillgång Merparten av informationen som finns i låntagarregistret om en låntagare kan en låntagare se själv via webben. Övrig information som te x låntagarkategori får erhållas av personalen. I API:et/Arena har vi gjort anpassningar så vi kan skicka ut mer information än ni visar idag. Artikel 16: Den registrerades rätt till rättelse Merparten av informationen som finns i låntagarregistret om en låntagare kan en låntagare ändra själv via webben. Övrig information ändras av personalen. Artikel 17: Den registrerades rätt till radering När en låntagare tas bort ur BOOK-IT ligger kopplingar till transaktioner kvar i databasens loggar i 30 dagar i supportsyfte, därefter tas de bort. Statistik lagras utan koppling till personuppgifter Artikel 18: Den registrerades rätt begränsning av behandling Finns idag inget sätt att pausa en låntagare på det sätt som beskrivs i lagen, men det går att göra en utskrift som låntagaren kan få, radera låntagaren och sedan lägga in hen på nytt. Artikel 20: Den registrerades rätt till dataportabilitet Utskrift av alla uppgifter som finns registrerade på en person kan göras av personalen. Axiell kan på beställning göra uttag ur låntagarregistret i ett digitalt format. 6