Framsida » Avgöranden » Behandling av kundens personbeteckning i ett bibliotek

Behandling av kundens personbeteckning i ett bibliotek

2005

Ärende

Person A berättade att av användare av datorer i bibliotek bes för den tid datorn används ett bibliotekskort eller identitetskort. A frågade om biblioteket kan anteckna i datorns tidsbeställningsbok kunddatorernas användares personbeteckning, om kunden inte hade ett bibliotekskort. Ovan nämnda bok hade bibliotekets personal tillgång till. Praxisen underlättade utredning i efterhand av möjligt missbruk av datorerna, t.ex. dataintrång.

Dataombudsmannens svar

Vid bedömningen av lagenligheten vid behandling av personuppgifter är det väsentligt att definiera personuppgifternas behandlingsändamål. Dessutom skall man bedöma personuppgifternas olika behandlingsfaser samt förfarandet vid förverkligandet av den registrerades rättigheter. I personuppgiftslagens 8 § stadgas om förutsättningarna för samlande och sparande av personuppgifter. Personuppgifternas behandling skall även enligt lagens 6 § vara sakligt motiverad med hänsyn till den registeransvariges verksamhet.

Enligt dataombudsmannens uppfattning kan en tjänst i vilken en kundterminal erbjuds i bibliotekets utrymmen till kundernas användning, höra till bibliotekets verksamhet. Vid bedömning av huruvida man i biblioteket kan samla personuppgifter av datorernas användare bör man först utreda ifall det skulle ha funnits andra möjliga sätt att avgöra problem i samband med missbruk.

Ifall andra sätt har sökts och prövats och de inte objektivt bedömt kan anses vara tillräckliga med hänsyn till problemet, anser dataombudsmannen det vara möjligt att användarnas uppgifter kan antecknas på det sätt som A berättade. Då kan man med beaktande av personuppgiftslagens 9 § spara endast sådana uppgifter som är behövliga med hänsyn till användningsändamålet. Ärendet kan påverkas av att med stöd av vilken skyldighet och princip kommunen ordnar ifrågavarande verksamhet.

Behandling av personbeteckning är möjligt endast på de grunder som nämns i lagens 13 §. Personbeteckning kan enligt paragrafens 1 moment 2 punkt behandlas om det är viktigt att entydigt identifiera den registrerade för att trygga den registeransvariges rättigheter och skyldigheter. Enligt dataombudsmannens uppfattning skulle behandlingen av personbeteckningen för de användare av datorer som inte har ett bibliotekskort kunna grunda sig på denna lagpunkt, om det anses vara bibliotekets uppgift att förhindra användning av de datorer som är i kundernas bruk, till kriminell verksamhet och vid behov erbjuda tillräckliga uppgifter för att utreda brott. För detta förutsätts att den registrerades entydiga identifiering är viktigt för att fullgöra denna uppgift och att det inte finns några alternativa förfaringssätt till förfogande.

Det är även väsentligt att personuppgifterna inte sparas längre än vad deras användningsändamål förutsätter. Enligt personuppgiftslagen är det en central fråga på vilket sätt sådana personers uppgifter behandlas och behövs sparas vilka har gjort sig skyldiga till missbruk. Delegationen för informationsförvaltning inom den offentliga förvaltningen JUHTA gav 17.12.2004 en rekommendation "Asiakaspäätteet julkishallinnossa" (JHS 157) (endast på finska). Den gäller alla organisationer i den offentliga förvaltningen som erbjuder kunddatorer åt sina kunder. I rekommendationen konstateras att i kunddatorernas närhet bör finnas datorernas villkor för användning synligt. I villkoren kan enligt dataombudsmannens uppfattning inkluderas ett skäligt villkor om att sådana som gör sig skyldiga till förfarande i strid med bruksanvisningarna inte har rätt att använda maskinen under en viss tid. Något separat register över missbrukare får inte bildas.

I rekommendationen JHS 157 konstateras vidare att ifall det finns en motiverad anledning att anta att datorn har använts i kriminell verksamhet är det polisens uppgift att utreda ärendet. Personalen som svarar för datorerna får inte följa med på skärmen eller genom att använda nätövervakningsverktyg enskilda användares verksamhet vid datorn. Enligt 4 § i lagen om dataskydd vid elektronisk kommunikation är identifieringsuppgifterna som samlas vid bläddring av nätsidor konfidentiella om inte lagen stadgar annat. Frågor gällande behandling och skydd av identifieringsuppgifter hör inte till dataombudsmannens behörighet.

Lagens 32 § förpliktar den registeransvariga till att genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst. Lagens 5 § ålägger däremot den registeransvariga en aktsamhetsplikt och 7 § ett krav på ändamålsbundenhet.

Med beaktande av dessa skyldigheter skall en persons, som inte har ett bibliotekskort, personuppgifter antecknas på ett sådant sätt att de är skyddade. Skyddet är särskilt viktigt eftersom kunduppgifter i praktiken möjliggör åtkomst till sådana identifieringsuppgifter som är konfidentiella enligt lagen om dataskydd vid elektronisk kommunikation, vilket är möjligt endast på de grunder som nämns i lagen. Också JHS 157 framhäver att ifall användning av en offentlig tjänst inte förutsätter identifiering av användaren, bör man kunna använda tjänsten anonymt.

Informering av kunden

Ett krav för registrering av besökaruppgifterna är att adb-maskinernas bruksprinciper och till dem anknutna villkor och sanktioner är definierade och användarna känner till dem. Användarna skall informeras om behandlingen av personuppgifter, vilket sker i verksamheten på det sätt som personuppgiftslagens 24 § stadgar. Till klienten skall således berättas bl.a. om personuppgifternas behandlingsändamål. Kunden skall veta under vilka förutsättningar användningen av datorn är möjlig.

Tillämpade lagbestämmelser:

Personuppgiftslagen: 5-9 §, 13 §, 24 §, 32 § och 38 §
Lagen om dataskydd vid elektronisk kommunikation: 4 §

 
Publicerad 6.2.2014