Forklaring av diverse opplysninger.
Det kommer fra tid til annen spørsmål til RecMan om forhold som gjelder konsesjoner og lover/regler ift. Datatilsynet, f.eks. om RecMan har en databehandleravtale, konsesjoner fra Datatilsynet etc. Det er flere aspekter rundt dette avhengig av hvilken bruk av systemet man tenker seg. Vi skal prøve å oppsummere dette her så godt som mulig:
RecMan er kun en teknisk leverandør av et IT-verktøy som muliggjør å lagre data, f.eks. om personer i kandidatbasen. Da vi kun leverer den tekniske løsningen krever ikke dette noen konsesjon fra vår side. Avtalepunktet om hvordan vi behandler og best mulig sikrer den data som er lagt inn i systemet er regulert i lisensavtalen som en integrert del.
Bedriften som bruker systemet (dvs. f.eks. selskapet / bemannings- eller rekrutteringsbyrået) er derimot på sin side konsesjonspliktig iht. norsk lov dersom de lagrer personsensitiv data.
Dette er i loven definert som:
§ 8) sensitive personopplysninger: opplysninger om
a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
c) helseforhold,
d) seksuelle forhold,
e) medlemskap i fagforeninger.
Se: https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_1#KAPITTEL_1 for mer informasjon.
Dvs. et vanlig bemanningsbyrå eller rekrutteringsbyrå er i svært sjeldne tilfeller konsesjonspliktig. Ønsker man å gjøre dette helt korrekt trenger man da å kun melde til Datatilsynet at man behandler persondata (ikke sensitiv), registrering til Datatilsynet kan gjøres elektronisk her:
https://www.datatilsynet.no/personvern/melding-og-konsesjon/meldeskjema/
Dersom man behandler sensitive personopplysninger som nevnt ovenfor, skal man søke konsesjon, og det gjør man her: https://www.datatilsynet.no/personvern/Melding-og-konsesjon/soke-konsesjon/
Loven sier:
§ 33. Konsesjonsplikt
Det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Dette gjelder likevel ikke for behandling av sensitive personopplysninger som er avgitt uoppfordret.
Datatilsynet kan bestemme at også behandling av annet enn sensitive personopplysninger krever konsesjon, dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. I vurderingen av om konsesjon er nødvendig, skal Datatilsynet bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behandlingen.
Dersom Datatilsynet mener at konsesjon for en behandling vil være åpenbart unødvendig, kan tilsynet bestemme at behandlingen ikke krever konsesjon.
Den behandlingsansvarlige kan kreve at Datatilsynet avgjør om en behandling vil kreve konsesjon. Konsesjonsplikt etter første og annet ledd gjelder ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov.
Kongen kan gi forskrift om at visse behandlingsmåter ikke trenger konsesjon etter første ledd. For behandlingsmåter som unntas fra konsesjon kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.
Spesielle tilfeller
Et bemanningsbyrå som f.eks. driver med BPA (Brukerstyrt personlig assistanse) og som lagrer informasjon i RM om sine brukere sine helsemessige forhold, vil slik vi tolker loven være konsesjonspliktig i de fleste tilfeller. Er man i tvil får man enkelt og raskt svar på dette ved å ringe Datatilsynet på 22 39 69 00 (tastevalg 1).
Et bemanningsbyrå som f.eks. leier ut sykepleiere og leger vil ikke være konsesjonspliktige, så lenge man om vikarene ikke lagrer noe data som faller inn under §8.
Oppsummert
- RecMan er ikke konsesjons- eller meldepliktig, fordi det er ikke vi som behandler dataen (vi leverer kun en teknisk løsning for dette, litt på samme måte som om du bruker Excel til å lagre persondata, er ikke Microsoft konsesjonspliktig for dette, men den som faktisk legger inn data og behandler / har tilgang til å se denne). Vi kan ikke styre eller kontrollere hvilken data den enkelte kunde legger inn i systemet. Vi er kun teknisk leverandør av systemet.
- Vanlige rekrutterings- og bemanningsbyrå bør vurdere å sende et meldeskjema til Datatilsynet https://www.datatilsynet.no/personvern/melding-og-konsesjon/meldeskjema/
- BPA selskaper må slik vi tolker loven sterkt vurdere hvorvidt de bør søke konsesjon dersom de lagrer opplysninger som faller inn under §8. https://www.datatilsynet.no/personvern/Melding-og-konsesjon/soke-konsesjon/
Er man i tvil, ta kontakt med Datatilsynet på 22 39 69 00.