Personvernerklæring for Alma
Denne personvernerklæringa beskriv korleis behandlingsansvarleg handterer personopplysningane dine i biblioteksystemet Alma
Formålet med personvernerklæringa er å informere deg om kva personopplysningar som blir behandla, korleis dei blir behandla, kven som er ansvarleg for behandlinga, kva rettar du har og kven du kan kontakte.
I denne personvernerklæringa kan du lese meir om:
- Kva er personopplysningar?
- Kort om tenesta
- Føremålet med behandling av personopplysningar i tenesta
- Registrerte personopplysningar, rettsleg grunnlag og lagringstid
- Automatisk saksbehandling
- Utlevering av dine personopplysningar til andre
- Sikkerheita rundt dine personopplysningar
- Dine rettar
- Kontakt
Kva er personopplysningar?
Personopplysningar er alle former for data, informasjon, opplysningar og vurderingar som kan knytast til deg som enkeltperson, jf. personopplysningsloven § 2 og GDPR artikkel 5 nr. 1. Det som avgjer om ei opplysning er ei personopplysning er om opplysninga(ne) kan knytast til ein konkret person.
Opplysningar, som åleine ikkje kan knytast til ein enkeltperson, kan vere personopplysning, viss opplysninga i kombinasjon med andre data kan identifisere enkeltpersonar.
Kort om tenesta
Alma er ein applikasjon og ei plattform for digitale bibliotektenester. Alma definerer bibliotekreglar, brukarar og rettar, og støttar prosessar for akkvisisjon, utlån, administrasjon av behaldning og metadata, økonomistyring og rapportering. Alma er integrert med ei rekkje system for utveksling av data relatert til arbeidsprosessane ved biblioteket.
Tenesta tillèt ikkje behandling av personsensitive opplysningar.
Føremålet med behandling av personopplysningar i tenesta
Tenesta behandlar ulike typar persondata med følgjande formål:
| Typar | Beskriving | Formål med behandling |
| Administrative brukarar | Bibliotekarar og administrativt tilsette. Brukarstøtte | Administrasjon, konfigurasjon og daglig drift av tenesta. |
| Lånetakarar | Alle kategoriar låntakarar. Inkluderer studentar, tilsette, mellombels tilsette, "walk-in-users" (mellombelse brukarar og personar utanfor institusjonen). | Bestiller materiell og konsumerer tenester ved biblioteket. |
| Kontaktpersonar | Kontaktpersonar for tenester tilknytta biblioteket, eksempelvis kontaktpunkt for leverandørar (materiell), systemintegrasjonar og brukarstøtte. | Drift av bibliotektenestene. |
| Bibliografiske data - personar refererte i metadata | Personar registrerte i opne bibliografiske data (metadata). Inkluderer opplysningar om forfattar og forfattars kopling til publikasjon. | Bibliografiske metadata er nødvendig for katalogisering og gjenfinning av materiale. |
| Bibliografiske data - personar refererte i innhald | Personopplysningar refererte gjennom innhald, som i biografisk materiale. | Tilby innhald til publikum. |
Registrerte personopplysningar, rettsleg grunnlag og lagringstid
Personopplysningar knytt til brukarkonto i tenesta krev samtykke som rettsleg grunnlag, jamfør Lov om behandling av personopplysningar (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav a.
Registrerte personopplysningar om forfattarar og kontaktpersonar blir dekte av Lov om behandling av personopplysningar (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav f - å utføre ei oppgåve av rettmessig interesse.
Tenesta tillèt ikkje behandling av sensitive personopplysningar. I dei tilfella brukaren sjølv kan leggje inn opplysningar i kommentarfelt og liknande, pliktar brukaren å følgje krav og og retningslinjer for tenesta. Det er ikkje tillate å registrere sensitive opplysningar om seg sjølve eller andre, eller å nytte tenesta til injurierande åtferd.
Behandlingsansvarleg kan lagre opplysningar for statistiske formål, dersom dette er i interessa i samfunnet, jf personopplysningsloven §8 og GDPR artikkel 6 nr. 1 bokstav e.
Følgjande persondata blir behandla i tenesta:
Brukardata
| Type opplysning | Beskriving | Kjelde |
| Grunnleggjande brukardata | Informasjon nødvendig for identifisering og administrasjon av brukarar i Alma. (Fornamn, mellomnamn, etternamn, fødselsdato, utløpsdato, slettedato, avløysar for annan låntakar) | Alma, Feide |
| Beskrivande informasjon | Informasjon for å adressere brukarar i tenesta. Tittel, jobbskildring, kjønn, føretrekt språk. | Alma. Kan òg komme frå andre kjeldesystem hos behandlingsansvarleg. |
| Kontaktinformasjon | Kontaktinformasjon til brukarar E-post (type, adresse, preferert), Telefon (type, nummer, preferert), Preferert SMS-nummer, Adresse (type, detaljar, preferert) | Alma. Kan òg komme frå andre kjeldesystem hos behandlingsansvarleg. |
| Notat | Notat knytt til brukar og lagt inn av bibliotekar, for bistand og oppfølging av bruker ved biblioteket. Skal ikkje innehalde sensitive personopplysningar. | Alma |
| Vedlegg | Systemgenererte og manuelt komponerte meldingar til brukaren, som hentemeldingar og purringar. Blir lagra for å dokumentere dialog med brukaren. Som standard slett ikkje desse automatisk, men kvart enkelt bibliotek skal angi sletting etter ei definert tidsgrense. Meldingane skal ikkje innehalde personsensitiv informasjon. | Alma |
| Statistikk | Aggregert statistikk relatert til bruk av systemet. Anonymisert lån- og søkje-statistikk. | Alma |
| Brukargrupper | Gruppering av brukarar for bruk saman med utlånsreglar eller for tildeling av administrative privilegium. | Alma |
| Informasjon om administrative brukarar | Informasjon om administrative brukarar av tenesta for tilpassing av funksjonalitet og utvida tilgangsstyring. Cataloger level. | Alma |
| Informasjon om låntakar | Informasjon knyttet til låntakaren. Føretrekt fjernlånsbibliotek, preferansar ifbm brev og varsel, | Alma |
| Krav | Aktive bøter og purringar. Historikk.(Fine/Fee type, Comment, Fee owner, Title, Item Barcode, Original Amount) | Alma |
| Bestilling/reservasjon | Bestilling og reservasjon av låneobjekt | Alma |
| Blokkeringar | Bibliotektilsett kan leggje til blokkering på låntakar med årsakskode, kommentar og utløpsdato for å stoppe vidare utlånsmoglegheit. Kan overstyrast manuelt. Historikk. | Alma |
| Lån, aktiv transaksjon | Aktive lån på låneobjekt. Lånehistorikk blir ikkje lagra. | Alma |
Brukardata av teknisk karakter
| Type opplysning | Beskriving | Kjelde |
| Systemidentitetar | Identitetar i tenesta og i integrerte system. (type, verdi og notefelt). | Alma, Feide og andre integrerte system. |
| Systemroller og tilhøyre til organisasjon | Brukar blir tildelte roller i systemet for å gi tilpassa funksjonalitet og tilgang til tenesta. | Alma. Roller kan tildelast i Alma basert på informasjon frå andre kjeldesystem som Feide. |
| Sesjonsinformasjon og informasjonskapslar | Informasjon knytt til brukars dialog med tenesta. Nødvendig for å tilpasse funksjonalitet i tenesta og for autentisering av brukarar. | Alma. |
| Logg | Logg over bruk av systemet knytt til innlogga brukar og/eller IP-adresse. Formålet med logg er å vareta tryggleik og integritet i systemet, yte brukarstøtte, og dessutan å analysere bruk av tenesta. Opplysningane som blir samla inn inkluderer tidspunkt, brukar-id, IP-adresse, informasjon om nettlesar og maskinvare, sesjonsinformasjon og annan informasjon som nettlesar normalt avleverer. | Alma |
| Informasjon knytt til autentisering av brukarar | Informasjon for sikker autentisering av brukarar. - Passord for brukarar oppretta direkte i Alma. - Pin-kode for bruk saman med lånekort ved bruk av utlånsautomat eller liknande: gir to-faktor autentisering av låntakar. | Alma. Kan òg komme frå andre kjeldesystem hos behandlingsansvarleg. |
Andre persondata
| Type opplysning | Beskriving | Kjelde |
| Kontaktopplysningar | Kontaktpersonar og kontaktpunkt for tenester tilknytta biblioteket, eksempelvis leverandørar av materiell, utstyrsleverandørar, brukarstøtte. | Alma. |
| Bibliografiske data - personar refererte i metadata | Opplysninger om forfattar og forfattars kopling til publikasjon, eventuelt andre bidragsytarar til publikasjon. | Alma, nasjonalt autoritetsregister, eller eksterne kjelder som forlag og andre bibliotek. |
| Bibliografiske data - personar refererte i innhold | Personopplysningar refererte gjennom innhald, eksempelvis i biografisk materiale. | Alma eller eksterne innhaldstenester. |
Informasjonen om aktiviteten din blir lagra for å kunne gi deg brukarstøtte og for å kunne seie noko om den generelle bruken av tenesta.
Persondata blir lagra inntil ein av følgjande hendingar hender:
- Brukarsamtykket blir trekt tilbake
- Formålet med behandling av personopplysningar er oppfylte
- Behandlingsansvarlig vedtek å leggje ned tenesta.
Logg og backup av systemdata blir lagra inntil 1 år.
Automatisk saksbehandling
Personopplysningane dine vil ikkje vere gjenstand for profilering. Bibliotektenesta har automatiserte rutinar for utlån, tilbakelevering, purring av lån og for innkrevjing av gebyr.
Utlevering av personopplysningane dine til andre
Utlevering eller eksport av data blir definert som alle overleveringar av data forutan til eige system/behandling eller til den registrerte sjølv eller nokon som får data på dennes vegner.
Personopplysningane dine blir utleverte til følgjande land utanfor EU/EØS:
- Israel, gjennom underleverandør Clarivate. Israel står på EU-kommisjonens liste over godkjende land med tilstrekkeleg databeskyttelse.
Personopplysningane dine blir utleverte til Sikt, som er leverandør av tenesta, og til underleverandørar av Sikt:
| Underleverandør | Funksjon |
| Clarivate | Skydrift og utvikling av Alma, Oria og relaterte bibliotekstenester. |
| NTNU | Lokale til drift av servarar for Sikts direkte tjenester |
| Blue Safespring AB | Skydrift og backup for Sikts direkte tjenester |
Tilsette hos underleverandørane, som har behov for det i jobben sin, vil ha tilpassa tilgang til persondataa dine for å kunne utføre brukarstøtte og eventuell feilretting i tenesta.
Ta kontakt med behandlingsansvarleg for ei oppdatert oversikt over integrasjonane til tenesta.
Tryggleiken rundt personopplysningane dine
Personopplysningar i tenesta er sikra med fleire tiltak. Alle overføringar til og frå tenesta er krypterte. Sikt utførarregelmessig risiko- og sårbarheitsanalysar, og tester tryggleiken i tenesta for å sikre personopplysningane dine.
Tryggingstiltak hos underleverandør Clarivate er dokumentert her.
Tilsette som behandlar dine persondata er underlagd teieplikt, og dette gjeld òg tilsette hos underleverandørar.
Rettane dine
Rett til informasjon og innsyn
Du har krav på å få informasjon om korleis personopplysningane dine blir behandla i tenesta. Denne personvernerklæringa er meint å innehalde den informasjonen du har rett til å få. Du har òg rett til å sjå/få innsyn i personopplysningane dine som er registrerte i tenesta, og også andre personopplysningar som blir innhenta etter aktiv pålogging frå deg. Du har òg rett til å få utlevert ein kopi av personopplysningar om deg, dersom du ønskjer det.
Retten til innsyn blir oppfylt gjennom sjølvbetening i tenesta, der du etter pålogging får innsyn i eigne opplysningar. Viss tenesta ikkje gir fullstendige opplysningar via sjølvbeteningsløysinga, må du sende ein skriftleg førespurnad til behandlingsansvarleg for å få tilgang til utfyllande opplysningar.
Rett til korrigering
Du har rett til å få feilaktige personopplysningar om deg korrigert. Du har òg rett til å få ufullstendige personopplysningar om deg supplert. Dersom du meiner tenesta viser feil eller mangelfulle personopplysningar, ber vi deg om å ta kontakt med behandlingsansvarleg og at du grunngir kvifor du meiner personopplysningane er feil eller mangelfulle.
Rett til å avgrense behandlinga
I nokre tilfelle kan du ha rett til å krevje behandlinga av personopplysningane dine blir avgrensa. Avgrensa behandling vil seie at personopplysningane framleis blir lagra, men at anna behandling i tenesta blir avgrensa. For å kunne krevje avgrensa behandling av personopplysningar, må vilkåra i personopplysningsloven og GDPR artikkel 18 vere oppfylte.
Du kan krevje avgrensa behandling:
- Fram til behandlingsansvarleg korrigerer feil eller mangelfulle personopplysningar
- Dersom du har fremja ei innvending mot behandlinga (sjå meir om dette under)
- Dersom personopplysningane er nødvendige for å opprette eller forsvare eit rettsleg krav
Om avgrensa behandling blir sett i verk, vil du bli varsla av behandlingsansvarleg før avgrensinga blir oppheva.
Rett til sletting
Du har rett til å krevje at vi slettar personopplysningar om deg. Dersom du ønskjer å få sletta personopplysningane dine, ber vi deg om å ta kontakt med behandlingsansvarleg eller bruke slettefunksjon i tenesta. Ved førespurnad er det viktig at du grunngir kvifor du ønskjer at personopplysningane blir sletta, og om mogleg òg opplyser kva personopplysningar du ønskjer å få sletta.
Ver merksam på at lovverket i nokre tilfelle gir oss høve til å gjere unntak frå retten til sletting. Til dømes vil dette vere tilfelle når vi behandlar personopplysningane for å oppfylle ei lovpålagd oppgåve, eller for å vareta viktige samfunnsinteresser som arkivering, forsking og statistikk.
Rettsleg grunnlag for behandling av personopplysningar er basert på legitime interesser, i allmenn interesse, eller ved utøving av offentleg styresmakt.
Behandling av personopplysningar inneber direkte marknadsføring eller profilering
Behandling av personopplysningar skjer med tanke på vitskapleg/historisk forsking eller statistikk.
Rett til å fremje innvending
Du har rett til å fremje innvending mot behandling av personopplysningane dine under visse vilkår, definert i GDPR artikkel 21. Dette gjeld dersom:
- Rettsleg grunnlag for behandling av personopplysningar er basert på legitime interesser, i allmenn interesse, eller ved utøving av offentleg styresmakt.
- Behandling av personopplysningar inneber direkte marknadsføring eller profilering
- Behandling av personopplysningar skjer med tanke på vitskapleg/historisk forsking eller statistikk.
Tenesta tilfredsstiller generelt ikkje desse vilkåra, med unntak for behandling av forfattaropplysningar og i dei tilfella der personopplysningar blir brukte for statistikk. Ved bruk til statistikk vil persondata vere anonymiserte.
Ver likevel merksam på følgjande:
- Dersom du har eit særskilt behov for å få stansa behandlinga ber vi deg om å ta kontakt med behandlingsansvarleg - eksempelvis viss du har eit vernebehov, fortruleg adresse, eller liknande.
- Når det er gitt samtykke for behandling av personopplysningar, har du rett til å trekkje samtykket.
Rett til å klage over behandlinga
Dersom du meiner vi ikkje har behandla personopplysningane på ein korrekt og lovleg måte, eller viss du meiner at vi ikkje har klart å oppfylle rettane dine, har du høve til å klage over behandlinga. Sjå nedst for informasjon om korleis du kan kontakte oss.
Dersom vi ikkje tek klagen din til følgje, har du høve til å fremje klagen for Datatilsynet. Datatilsynet er ansvarleg for å kontrollere at norske verksemder overheld reglane i personopplysningsloven og GDPR, ved behandling av personopplysningar.
Kontakt
Behandlingsansvarlig
Institusjonen som bruker tenesta er behandlingsansvarleg for personopplysningar i tenesta og er primært kontaktpunkt for sluttbrukarar.
Databehandlar
Sikt utviklar og forvaltar tenesta på vegner av behandlingsansvarleg, og har rolla som databehandlar.
Kontaktinformasjon til Sikt brukarstøtte:
- http://support.bibsys.no
- Telefon +47 73 98 40 40