Foreløpig kontrollrapport



Like dokumenter
Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Adressemekling. Innhold INNLEDNING AKTØRENE

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Lydopptak og personopplysningsloven

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

BEHANDLING AV PERSONOPPLYSNINGER

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Vår referanse (bes oppgitt ved svar)

Endelig Kontrollrapport

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Personvernerklæring for Eurofins norske selskaper

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtaler

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Bilag 14 Databehandleravtale

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Endelig kontrollrapport

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Internkontroll og informasjonssikkerhet lover og standarder

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig kontrollrapport

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Deres ref Vår ref (bes oppgitt ved svar) Dato

Personvern-rett H2016

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Forte Fondsforvaltning AS personvernerklæring

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Endelig kontrollrapport

PERSONVERNERKLÆRING. Innledning

1. Hvilke personopplysninger behandler YMI Norge?

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvernerklæring for Kong Arthur Admin (KA Admin)

Endelig kontrollrapport

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Personvernerklæring for Edvarda (Consortia Manager)

NINAs personverndokument

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

GDPR Prosjektgjennomføring Sjekkliste

Databehandleravtale. Denne avtalen er inngått mellom

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvernerklæring for Vesterålsprodukter AS

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Foreløpig kontrollrapport

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Personvernerklæring for Søknadsweb

Transkript:

Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas J. Hofstad Renate Thoreid 1 Innledning Datatilsynet gjennomførte en kontroll hos Rekruttering AS den 2. februar 2012. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger i forbindelse med bruk av lister over uteksaminerte studenter. Rekruttering AS har fått utlevert listene fra en rekke universitet og høyskoler i medhold av offentleglova. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Kjell F. Klynderud 2.2 Fra Datatilsynet: - Renate Thoreid, senioringeniør - Maria Bakke, rådgiver - Andreas J. Hofstad, førstekonsulent 3 Generelt Rekruttering AS driver med rekruttering og karrierebistand. Aksjeselskapet eies av Kjell F. Klynderud. Selskapet ble stiftet i 1996 og ble gjort til et aksjeselskap i 2005. Det er ingen ansatte i selskapet. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Rekruttering AS er et selskap som driver med rekruttering og karrierebistand. Virksomheten (Klynderud) kontakter kandidater per telefon og stiller spørsmål om hva de jobber med i dag, om de er fornøyd og tilbyr bistand til å finne andre jobber eller riktigere karrierer. Kandidaten bes så om å sende inn CV, bilde, og svare på ulike spørsmål. Dersom Rekruttering AS finner stillinger eller virksomheter som tilfredsstiller tiller kandidatens krav, tar Klynderud kontakt. Det er virksomhetene som leter etter nye ansatte som faktureres for den jobben som Rekruttering AS gjør. 1 av 8

Tidligere ble eventuelle kandidater til stillinger kontaktet på bakgrunn av Klynderuds nettverk, og tips fra kandidater som allerede hadde fått bistand fra selskapet. I 2011 innhentet Rekruttering AS lister over uteksaminerte studenter fra flere universitet og høyskoler. Listene brukes og er tiltenkt brukt for lettere å kunne finne frem til riktige kandidater ut fra geografisk tilhørighet, gjennomførte studier og antatt mengde år i arbeidslivet. Klynderud anslår at virksomheten har lister med 30 000 40 000 uteksaminerte studenter, de fleste fra NTNUs Institutt for bygg, anlegg og transport, juridisk fakultet ved Universitetet i Bergen og noen høyskoler. Listene inneholder navn, adresse, studieretning og eksaminasjonsåret. Noen av listene inneholder også telefonnummer og informasjon om hvorvidt studenten tok en bachelor- eller mastergrad. Listene oversendes fra universitetene og høyskolene i hovedsak per e-post i excel-format. Et av studiestedene sendte en liste på papir. Opplysninger oppbevares på en PC som ikke er tilkoblet Internett. Klynderud benytter listene til å slå opp på de kandidatene som er aktuelle for en gitt stilling. Dersom telefonnummeret ikke er oppført på listen fra universitetet, slår han dette opp på telefonkatalogen.no. Det hentes ikke inn opplysninger om potensielle kandidater fra andre steder enn listene fra lærestedene, telefonkatalogen, og den informasjonen som kandidatene eventuelt sender inn selv for å få karrierebistand. I de tilfellene hvor kandidatene selv sender inn CV m.m. opprettes det en mappe på hver enkelt kandidat. Opplysningene i mappen oppdateres eller slettes ved henvendelse fra kandidaten selv. Virksomheten benytter seg ikke av databehandlere. Personopplysninger utleveres ikke til tredjeparter uten at kandidater er gjort kjent med dette, ved at de selv har bedt om, eller blitt tilbudt bistand til å finne en ny jobb. Datatilsynet konsentrerte seg under kontrollen primært om å undersøke hvordan listene utlevert fra studiestedene over uteksaminerte kandidater ble behandlet i virksomheten. Tilsynet kom ved noen anledninger inn på temaet om hvordan opplysninger om virksomhetens kunder (de kandidatene som hadde takket ja til karriereveiledning og selv hadde sendt inn CV m.m.) ble behandlet, men dette vil ikke være fokuset i rapporten. 5 Generelle krav til behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningslovens 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette etter personopplysningslovens 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningslovens 11 bokstav b). Videre stilles det i personopplysningslovens 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal 2 av 8

oppbevares i henhold til arkivloven eller annen lovgivning. Ved opphør av for eksempel et kundeforhold skal opplysningene slettes. 6 Funn og vurderinger opp mot krav til behandling av personopplysninger 6.1 Behandlingsgrunnlag 6.1.1 Krav i regelverket Etter personopplysningslovens 11 jf 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Behandlingen kan baseres på et samtykke fra den registrerte, hjemmel i lov eller forskrift, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål, jf. bokstav a-f. 6.1.2 Funn Rekruttering AS har fått utlevert listene over uteksaminerte kandidater ved diverse læresteder med hjemmel i offentleglova 9, som gir rett til innsyn i sammenstillinger fra databaser. I henhold til offentleglova 7 kan informasjon innhentet i medhold av loven brukes til ethvert formål, så fremt annen lovgivning eller en tredjepersons rettigheter ikke står i veien for dette. Det vises videre til lovens 1 som bl.a. beskriver formålet med offentleglova til: Lova skal leggje til rette for vidarebruk av offentleg informasjon. Virksomheten gjør ikke endringer eller sammenstilling av de mottatte listene før de gjennomgås i en konkret rekrutteringsprosess. Det rettslige grunnlaget for innhenting, lagring og lesing av listene vil være hjemmel i offentleglova 9, jf. 7. Rekruttering AS opplyser at formålet med å hente inn opplysingene er å benytte de til rekrutteringsvirksomhet. Det legges til grunn at dette faller inn under den viderebruk offentleglova legger opp til. Datatilsynet har tidligere konkludert med at bruk av grunndata (kontaktinformasjon) i forbindelse med adressemekling og direkte markedsføring kan ha behandlingsgrunnlag i personopplysningslovens 8 bokstav f), da dette er offentlig tilgjengelige opplysninger. 1 Det å ringe opp potensielle kandidater med tilbud om tjenester fra virksomheten anses som markedsføring mot forbrukere. Øvrige krav til hvordan direkte markedsføring mot forbrukere kan gjennomføres finnes i markedsføringsloven, som ikke forvaltes av Datatilsynet. Virksomhetens behandlingsgrunnlag for ytterligere opplysninger om de kandidatene som samtykker til karrierebistand og sender inn CV m.m., vil være at behandling er nødvendig for 1 Se notatet om adressemekling på Datatilsynets nettsider, www.datatilsynet.no/global/04_veiledere/adressemekling_20111031.pdf Se spesielt notatets punkt 1.2 der det fremkommer at også der adresselister som brukes til direkte markedsføring inneholder opplysninger utover grunndata (navn, adresse, telefonnummer, fødselsdato), vil dette kunne ha et behandlingsgrunnlag i personopplysningslovens 8 bokstav f). Slike ekstra-opplysninger vil alltid hefte med en adresseliste som er basert på at man har vært medlem i en organisasjon, klubb, eller lignende. For Rekruttering AS del er dette opplysningen om studiretning/eksaminasjonsår ettersom listene kommer fra studiestedet den registrerte har vært tilknyttet. 3 av 8

å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, jf. personopplysningslovens 8 bokstav a. 6.1.3 Konklusjon Virksomheten har behandlingsgrunnlag for den behandling av personopplysninger som foretas, jf. personopplysningslovens 8 (1), hjemmel i lov for innhenting og lagring, bokstav f), interesseavveining i forbindelse med direkte markedsføring mot potensielle kandidater, og bokstav a), avtale med den registrerte for den videre behandling av personopplysningene. Det bemerkes at det her er lagt til grunn at virksomheten ikke systematiserer og gjør verdiøkende arbeid på de mottatte listene før de gjennomgås i følge med en rekrutteringsprosess. En slik behandling må eventuelt vurderes etter personopplysningslovens 8 f). 6.2 Sletting 6.2.1 Krav i regelverket I henhold til personopplysningsloven 28 jf 11 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. 6.2.2 Funn Rekruttering AS har mottatt noen (ca 3) henvendelser fra registrerte på listene utlevert fra studiestedene som har ønsket å bli slettet. I ett av tilfellene ønsket ikke den registrerte å bli slettet likevel etter å ha fått vite hvor lite informasjon om ham som fremkom av listene. De resterende to registrerte nektet å oppgi tilstrekkelig informasjon til å kunne bli gjenfunnet på listene. Det fremkom under kontrollen at virksomheten på ingen måte så seg tjent med å ha noen registrert som ikke ønsker å være registrert, og at virksomheten derfor alltid ville imøtekomme henvendelser om sletting. Når det gjelder videre bruk av opplysningene til rekrutteringsformål sammen med opplysninger som kandidatene/kundene selv sender inn, har virksomheten foretatt en vurdering om at formålet med behandlingen av opplysningene består inntil kunden selv tar kontakt med virksomheten og ønsker å avslutte kundeforholdet. Inntil da består formålet med behandlingen det er nødvendig for å yte karrierebistand til den registrerte. 6.2.3 Konklusjon Virksomheten har praksis for å slette opplysninger ved henvendelse fra de registrerte, jf. personopplysningslovens 28, jf. 11. Det ble ikke funnet noen avvik i henhold til disse bestemmelsene under kontrollen. I henhold til personopplysningslovens 28 jf. 11 skal virksomheten også på eget initiativ vurdere sletting av personopplysninger når formålet med disse er oppfylt. Det kan ikke anses å foreligge en plikt til på eget initiativ å slette opplysninger i de listene som er utlevert fra studiestedene: formålet med listene er utøvelse av innsyn i offentlige 4 av 8

opplysninger, og dette formålet består over tid. På et eller annet tidspunkt vil formålet med å ha listene lagret være rekrutteringsformålet. Det er her ikke mulig å tidfeste når formålet endrer seg, og det er heller ikke avgjørende da sletteplikten etter tilsynets oppfatning ikke vil inntreffe på forskjellige tidspunkter for de to formålene. Formålet som kommer til uttrykk i 1 i offentleglova og den intensjon som ligger bak viser at det skal være mulig å benytte offentlig informasjon videre enn mer kortvarig besittelse etter utleveringen fra den offentlige institusjon. Det vil være Rekruttering AS som må vurdere hvor lenge opplysingene er relevante for rekrutteringsformålet. Når det gjelder videre bruk av opplysninger til rekrutteringsformål sammen med opplysninger som kandidatene/kundene selv sender inn, har virksomheten vurdert at opplysningene kan oppbevares inntil den registrerte tar kontakt og ønsker å avslutte kundeforholdet. Datatilsynet har forståelse for at kundeforhold i følge med rekrutteringstjenester kan ha relativt lang løpetid. Datatilsynet legger til grunn at videre behandling av opplysningene reguleres i avtalen med den registrerte. Tilsynet legger videre til grunn at virksomheten har krav på seg til jevnlig å vurdere om formålet tilsier fortsatt lagring av personopplysinger, og at det etableres rutiner for dette. 6.3 Innsyn for den registrerte 6.3.1 Krav i regelverket Den registrerte har i henhold til personopplysningslovens 18 (2) rett til innsyn i hvilke opplysninger som behandles om han eller henne. 6.3.2 Funn Virksomheten oppga at det per i dag ikke hadde foreligget noen krav om innsyn. Blant de registrerte som kun fremkommer på listene fra studiestedene, hadde en henvendelse om sletting resultert i at vedkommende ikke lenger ønsket sletting etter å ha fått vite omfanget av opplysningene som var registrert om han. Virksomheten gjorde det klart at det ikke ble behandlet andre opplysninger enn listene fra studiestedene samt informasjon de registrerte selv hadde gitt fra seg på frivillig basis. Dersom noen ønsket innsyn, ville et slikt ønske bli imøtekommet. 6.3.3 Konklusjon Det ble ikke funnet avvik med hensyn til personopplysningslovens 18 under kontrollen. 6.4 Informasjonsplikt 6.4.1 Krav i regelverket Personopplysningslovens 19 slår fast at den registrerte skal informeres om en rekke forhold når det samles inn opplysninger fra den registrerte selv. Dette gjelder bl.a. formålet med behandlingen og om opplysningene blir utlevert til andre. Personopplysningslovens 20 krever at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv av eget tiltak skal informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i 5 av 8

19. Det er i 20 gjort enkelte unntak fra informasjonsplikten, herunder dersom: a) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov, b) varsling er umulig eller uforholdsmessig vanskelig, eller c) det er på det rene at den registrerte allerede kjenner til informasjonen varselet skal inneholde. I bestemmelsens tredje ledd står det at når varslingen unnlates med hjemmel i bokstav b), skal informasjon likevel gis senest når det gjøres henvendelse til den registrerte på grunnlag av opplysningene. I henhold til forarbeidene til personopplysningslovens 20 (Ot.prp. nr.92, side 120) og kommentarutgaven til personopplysningsloven (s.167) er det forutsatt at bestemmelsen er anvendelig i tilfeller der en liste over mange personer skal brukes til markedsføringsformål. I slike tilfeller skal markedsføreren gi informasjon til den registrerte først når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene, jf. personopplysningslovens 20 tredje ledd. 6.4.2 Funn Virksomheten informerer de registrerte først dersom det tas kontakt med den registrerte for rekrutteringsformål. Virksomheten har ikke gjort tilgjengelig informasjon om behandlinger av personopplysninger for allmennheten. Selve innhentingen av lister over uteksaminerte studenter fra studiestedene er hjemlet i offentleglova 9. Innsynet og innhentingen i seg selv vil derfor være unntatt fra informasjonsplikten i henhold til personopplysningslovens 20 bokstav a). Når det gjelder den videre bruken av opplysningene til markedsføring mot enkelte av de registrerte rekrutteringsformålet, vil bruken av listene være unntatt fra informasjonsplikten overfor de registrerte i henhold til personopplysningslovens 20 b). Når virksomheten tar kontakt med utvalgte kandidater, informeres de om at opplysninger om dem finnes på listene utlevert fra lærestedene. 6.4.3 Konklusjon Virksomheten har ikke informasjonsplikt overfor samtlige av de registrerte som finnes på listene utlevert fra lærerstedene verken på tidspunktet for mottak av listene fra lærestedene eller i forbindelse med den senere lagringen av listene. Informasjonsplikten trer imidlertid inn når virksomheten tar kontakt med de registrerte per telefon, jf. personopplysningslovens 20 tredje ledd. Ut fra det som fremkom under kontrollen, oppfyller virksomheten denne delen av informasjonsplikten. 6 av 8

6.5 Melde- og konsesjonsplikt 6.5.1 Krav i regelverket Personopplysningslovens 31 oppstiller en meldeplikt ved behandling av personopplysninger med elektroniske hjelpemiddel. Personopplysningsforskriftens kapittel 7 II oppstiller unntak fra meldeplikten, herunder unntak for opplysninger om kunde- abonnent-, og leverandøropplysninger. 6.5.2 Funn Virksomheten har ikke inngitt melding. 6.5.3 Konklusjon Det legges her til grunn at selve innsynet i listene over uteksaminerte studenter ikke i seg selv er meldepliktig. Dersom en utlevering av informasjon i henhold til offentleglova ville forutsette at den som ba om innsyn i hvert tilfelle ville ha meldeplikt i henhold til personopplysningsloven, ville dette uthule rettigheten enhver har i medhold av offentleglova. Dette ville gjøre et innsyn uforholdsmessig vanskelig og virke i strid med offentleglovas formål. Den videre behandling av personopplysninger om virksomhetens kunder, altså de kandidatene som samtykker til å få karrierebistand og selv sender inn informasjon om seg selv, er unntatt fra meldeplikt i henhold til personopplysningsforskriftens 7-7. 6.6 Internkontroll og informasjonssikkerhet 6.6.1 Krav i regelverket I henhold til personopplysningslovens 14 skal virksomheten etablere internkontroll. Virksomheten skal dokumentere tiltakene i henhold til internkontrollen og dokumentasjonen skal være tilgjengelig for medarbeiderne. Kravene til internkontroll er utdypet i personopplysningsforskriftens kapittel 3. I henhold til personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 skal den behandlingsansvarlige gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. 6.6.2 Funn Virksomheten består av en person som jobber fra et hjemmekontor. Listene over uteksaminerte studenter er lagret på separate excel-ark på en PC som ikke er tilknyttet Internett. Virksomheten hadde ikke dokumenterte vurderinger eller rutiner knyttet til behandlingen av personopplysninger utover de svar som er kommunisert til Datatilsynet i følge med denne kontrollen. 6.6.3 Konklusjon Kravene til dokumentasjon for internkontroll, jf personopplysningslovens 14, må tilpasses opplysningens karakter og virksomhetens organisering. I dette tilfellet har ikke virksomheten 7 av 8

noen ansatte. Daglig leder er, som vist tidligere i rapporten, klar over hvilke plikter selskapet har i henhold til personopplysningsloven. Datatilsynet ser det likevel som nødvendig at virksomheten dokumenterer vurderinger, som for eksempel knyttet til behandlingsgrunnlag som omtalt i denne rapporten, samt at virksomheten har en oppdatert oversikt over de plikter som skal ivaretas ved behandlingen av personopplysninger. Rutinenes detaljeringsgrad kan imidlertid tilpasses virksomhetens art og størrelse. Det vises for øvrig til rapportens 6.2.3 om behov for rutiner for sletting som eksempel. Datatilsynet leggere til grunn at foreliggende rapport sammen med Datatilsynets veiledingsmateriale 2 setter virksomheten i stand til å utarbeide internkontroll. Manglede internkontroll er et avvik fra personopplysningslovens 14, jf personopplysningsforskriftens 3-1. Når det gjelder kravene til informasjonssikkerhet, jf. personopplysningslovens 13 og personopplysningsforskriftens kapittel 2, må disse vurderes ut fra hva slags personopplysninger som blir behandlet. I henhold til personopplysningsforskriftens 2-11 skal det treffes tiltak mot uautorisert innsyn i opplysningene der hvor konfidensialitet er nødvendig. Virksomheten behandler lister over uteksaminerte studenter, og disse listene er offentlig tilgjengelige for enhver som henvender seg til et offentlig studiested, jf offentleglova 9. Det kan derfor ikke knyttes noen særlige krav til konfidensialitet med hensyn til behandlingen av disse opplysningene. Datatilsynet minner om at virksomheten må kunne etablere forholdmessig sikring av opplysningene som behandles bl.a. ved en risikovurdering. 2 Se www.datatilsynet.no og veilederen internkontroll i mindre virksomheter 8 av 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding