Skjemaer
Innholdsfortegnelse
Meldeskjema
Veiledning til utfylling av meldeskjema
Konsesjonsskjema
Veileder for utfylling av konsesjonsskjema
Rettleiar for utfylling konsesjonsskjema
Melding eller konsesjon?
(15.11.2004) Datatilsynet
Meldeskjema gjeld melding om behandling av personopplysningar etter personopplysningslova og helseregisterlova.
Meldeskjema
Datatilsynet har laga eit elektronisk skjema med rettleiiar. Fyll ut skjemaet, og trykk på send! Det er ikkje vanskeligere. Merk at når verksemda melder elektronisk blir felta sjekka slik at det innsende skjemaet blir korrekt utfyld. Kvitteringa kjem dessutan raskere. Dette tek kortare tid for verksemda.
Det elektroniske meldeskjemaet
(nytt vindauge)
Rettleiing til melding om behandling av personopplysningar (nytt vindauge)
- Eigen guide for kameraovervåking
(Nytt vindauge)
Når verksemda har meldt, får ho ei kvittering for at meldinga er motteken. Kvitteringa kjem til e-postadressa som er oppgitt, eller i vanleg post til den oppgitte postadressa for meldingar som Datatilsynet har motteke på papir.
Kvitteringa skal tene som dokumentasjon for at meldeplikta er oppfylt, og må ikkje oppfattast som ei godkjenning av at behandlinga tilfredstiller loven sine andre krav. Meldinga er berre ei orientering frå den behandlingsansvarlege om at behandlinga finn stad.
Verksemder med personvernombod
Dersom verksemda har personvernombod, skal meldinga sendast direkte til ombodet. Det er utvikla eigne meldeskjema for desse verksemdene.
Meldeskjema finn du under personvernombodssidene våre.
Oversikt over verksemder med personvernombod
Papirskjema
Dersom verksemda har personvernombod, eller det av andre grunnar ikkje er mogleg å melde elektronisk, skal papirskjema nyttast. Dette må skrivast ut og sendast til Datatilsynet per telefaks (faksnummer 22 42 23 50) eller i posten.
Last ned papirskjemaet her:
Meldeskjema, bokmål (pdf-format, nytt vindauge)
Meldeskjema, nynorsk (pdf-format, nytt vindauge)
Meldeskjema, engelsk (pdf-format, nytt vindauge)
Verksemda kan eventuelt få skjemaet tilsendt i post ved å kontakte Datatilsynet.
Melding, konsesjon eller fritak?
Dersom du er usikker på om bruken av personopplysningar skal meldast eller ikkje, bør du sjekke dette før du melder.
Les meir om melde- og konsesjonsplikt på rett og plikt-sidane
(19.12.2003) Datatilsynet
All behandling av personopplysninger skal i utgangspunktet meldes til Datatilsynet etter personopplysningsloven § 31 og helseregisterloven § 29. Dersom virksomheten har personvernombud, skal meldingen sendes dit.
Dersom du trenger mer informasjon om meldeplikten, finner du det på Datatilsynets rett- og pliktsider.
1) Meldingen gjelder
a) Personopplysningsloven eller helseregisterloven?
Melding etter personopplysningsloven:
Dette vil gjelde når:
- behandlingen ikke er unntatt meldeplikt
- behandlingen ikke er underlagt konsesjonsplikt etter personopplysningsloven
- pasient- og klientopplysninger behandles av helsepersonell uten autorisasjon.
Du får mer informasjon her:
- Kapittel 7 i forskrift til personopplysningsloven (ny side)
- Datatilsynets side for melding og konsesjon
Melding etter helseregisterloven:
Virksomheter i helsetjenesten/helseforvaltningen skal melde sin bruk av helseopplysninger etter helseregisterloven. Dette vil blant annet gjelde ved:
- pasientjournal - Det sendes bare én melding for journal i virksomheten
- forskningsprosjekter som faller inn under unntaket fra konsesjonsplikt i personopplysningsforskriften § 7-27
- lokale, regionale og sentrale helseregistre som reguleres av helseregisterlovens §§ 7 og 8
b) Førstegangsregistrering eller endring av melding
Endring av melding er kun aktuelt for de som tidligere har sendt inn melding og mottatt kvittering fra Datatilsynet med oppgitt meldingsnøkkel. Denne må i så tilfelle oppgis. Alle andre må sende ny melding.
c) Oppstart for behandlingen
Dersom behandlingen allerede er startet oppgis dagens dato.
2) Sensitive personopplysninger
Sensitive personopplysninger er opplysninger om:
a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
c) helseforhold
d) helseforhold
e) medlemskap i fagforeninger
Manuelt personregister?
Kryss av "ja" dersom opplysningene kun oppbevares i et manuelt personregister. Dersom deler av materialet lagres elektronisk må det krysses av for "nei", uansett hvor få opplysninger det dreier seg om.
3) Kontaktopplysninger
Fyll inn kontaktopplysningene om virksomheten som skal behandle opplysningene. Skriv kun inn tittelen på den som har det daglige ansvaret for behandlingen.
4) Eventuell representant
Kun virksomheter som ikke er etablert i Norge/ EØS-området må oppgi sin representant i Norge eller EØS.
5) Behandler andre virksomheter opplysningene på vegne av den behandlingsansvarlige?
Oppgi eventuelle eksterne databehandlere som på vegne av den behandlingsansvarlige foretar hele eller deler av behandlingen av personopplysninger.
6) Sektor, formål og nærmere beskrivelse
a) Sektor: Kryss av for rett sektor.
b) Formål: Kryss av for formålet til behandlingen av personopplysninger. Det skal kun settes ett kryss. Dersom du derimot krysser av for forskning kan du velge å sette ett kryss til for å antyde hvilket område det forskes på.
c) Nærmere beskrivelse: Her kan du eventuelt utdype formålet med ytterligere opplysninger.
d) Forskning: (Kun dersom forskning ble valgt i b) Oppgi eventuelt samtykke, prosjektavslutning og prosjekttittel.
7) Utlevering av opplysninger til utlandet.
Dersom personopplysninger overføres til utlandet må grunnlaget for overføring oppgis.Her finner du mer informasjon om EUs standardavtale og Safe Harbor-avtaler.
8) E-postadresse
Bruk din egen e-postadresse! Meldingen må bekreftes før den regnes som gyldig. Dersom du velger å oppgi en annen e-postadresse må du sørge for at den som leser e-posten forstår hvorfor han får forespørsel om å bekrefte meldingen.
(10.12.2008) Redaksjonen
Konsesjon er en forhåndsgodjenning av en planlagt bruk av personopplysninger.
Dersom en virksomhet får konsesjon, betyr det at Datatilsynet mener at bruken av personopplysninger som er beskrevet i søknaden oppfyller personopplysningsloven på en tilfredsstillende måte. For å kunne vurdere dette, må Datatilsynet få en forståelse av både virksomheten og den planlagte bruken av personopplysninger.
Skjemaet kan fylles inn elektronisk, men søker må underskrive skjemaet før det sendes til Datatilsynet.
Last ned konsesjonsskjemaet som pdf, bokmålsversjon (åpnes i nytt vindu). For å åpne filen og fylle den inn elektronisk trenger du Acrobat Reader.
Last ned konsesjonsskjemaet som pdf, nynorskversjon (åpnes i nytt vindu)
Last ned konsesjonsskjemaet i word-format, bokmålsversjon (åpnes i nytt vindu)
Last ned konsesjonsskjemaet i word-format, nynorskversjon (åpnes i nytt vindu)
Veileder for utfylling av konsesjonsskjemaet (bokmål)
Rettleiar for utfylling av konsesjonsskjema (nynorsk)
Det finnes egne konsesjonsskjemaer for bank og forsikring:
Bank
Last ned konsesjonsskjema for bank i pdf-format, bokmålsversjon åpnes i nytt vindu) For å åpne filen og fylle den inn elektronisk trenger du Acrobat Reader.
Last ned konsesjonsskjema for bank i pdf-format, nynorskversjon (åpnes i nytt vindu)
Last ned konsesjonsskjema for bank i word-format, bokmålsversjon (åpnes i nytt vindu)
Last ned konsesjonsskjema for bank i word-format, nynorskversjon (åpnes i nytt vindu)
Forsikring
Konsesjonsskjema for forsikring i pdf-format, bokmålsversjon (åpnes i nytt vindu) For å åpne filen og fylle den inn elektronisk trenger du Acrobat Reader.
Konsesjonsskjema for forsikring i pdf-format, nynorskversjon (åpnes i nytt vindu)
Konsesjonsskjema for forsikring i word-format, bokmålsversjon (åpnes i nytt vindu)
Konsesjonsskjema for forsikring i word-format, nynorskversjon (åpnes i nytt vindu)
(10.12.2008) Redaksjonen
Søknad om konsesjon for behandling av personopplysninger i henhold til personopplysningsloven § 33 og personopplysningsforskriften (pof.)
En konsesjon gitt av Datatilsynet betyr at tilsynet har forhåndsgodkjent den behandling av personopplysninger som er regulert i konsesjonen. Hva som regnes som en behandling er definert i personopplysningsloven § 2 nr. 2. En eventuell konsesjon gis før behandlingen iverksettes. Forhåndsgodkjenningen betyr at Datatilsynet mener at behandlingen den behandlingsansvarlige ønsker å iverksette, oppfyller personopplysningsloven på en tilfredsstillende måte. For å kunne foreta en slik vurdering, er det nødvendig for Datatilsynet å få en forståelse både for hva slags virksomhet den behandlingsansvarlige driver, og for selve den behandlingen det søkes konsesjon for. Dette vil konsesjonssøknadsskjemaet hjelpe til med. Definisjonen på en behandlingsansvarlig oppgis i § 2 nr. 4.
Skjemaet er delt inn i tre hoveddeler. Den første delen skal gi Datatilsynet informasjon om den behandlingsansvarliges virksomhet. Del to gir informasjon om selve behandlingen, og del tre består av en egenerklæring om internkontroll og informasjonssikkerhet.
Generelt om å fylle ut skjemaet
Alle punkter i skjemaet må alltid fylles ut, med unntak av punkt B som omhandler den behandlingsansvarliges representant. For de punkter hvor opplysningene skal fylles inn som fritekst, kan søker legge ved et eget ark dersom det ikke er plass på skjemaet. Det henstilles da om at vedlegget merkes med det aktuelle punkt i skjemaet.
Del en: Opplysninger om søkeren
Til punkt A: Behandlingsansvarliges virksomhet
Dette er de administrative opplysningene om den behandlingsansvarlige som Datatilsynet trenger for å kunne administrere konsesjonene. Behandlingsansvarlig er den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes. Som hovedregel er dette virksomheten, representert ved virksomhetens øverste organ.
Dersom skjemaet fylles ut på vegne av den behandlingsansvarlige, for eksempel av et advokatfirma på vegne av en klient, er det likevel den behandlingsansvarliges adresseopplysninger som skal oppgis på skjemaet. Dersom den som fyller inn skjemaet skal motta korrespondansen fra Datatilsynet, må dette presiseres på et eget vedlegg med adresseopplysninger.
Dersom den behandlingsansvarlige er en virksomhet som er etablert i stater utenfor EØS-området, men som benytter seg av hjelpemidler i Norge, skal den behandlingsansvarlige ha en representant her i landet. I så fall må også punkt B fylles ut.
Til punkt B: Behandlingsansvarliges representant
Dette punktet skal bare fylles inn dersom den behandlingsansvarlige er etablert utenfor EØS-området, men benytter seg av hjelpemidler i Norge. I slike tilfeller bestemmer personopplysningsloven at den behandlingsansvarlige må ha en representant som er etablert i Norge.
Dersom den behandlingsansvarlige bare benytter seg av hjelpemidler i Norge for å kunne overføre personopplysninger via Norge til et annet land, så gjelder ikke denne regelen.
Til punkt C: Daglig ansvar for å oppfylle den behandlingsansvarliges plikter er tillagt
Den behandlingsansvarlige vil, i lovens forstand, i utgangspunktet være selve virksomheten, ved virksomhetens øverste organ. Ansvaret vil imidlertid i praksis ligge hos en fysisk person, via delegasjon fra dette organet. Det er kun stillingsbetegnelsen til den som er pålagt det daglige behandleransvaret som skal oppgis, ikke vedkommendes navn. I regelen vil ansvaret ligge hos daglig leder for den behandlingsansvarliges virksomhet.
Til punkt D: Benyttes databehandler?
En databehandler er en virksomhet som behandler personopplysninger på vegne av den behandlingsansvarlige. Personopplysningsloven pålegger den behandlingsansvarlige å inngå en skriftlig avtale med databehandleren, se personopplysningsloven § 15 for spesifikasjon av hva avtalen skal inneholde. Benyttes databehandler, må punkt D fylles inn, og kopi av avtalen skal legges ved søknaden.
Til punkt E: Gi en beskrivelse av hva slags virksomhet den behandlingsansvarlige driver
Informasjonen som gis under dette punktet skal gi Datatilsynet en forståelse av hva slags virksomhet den behandlingsansvarlige driver.
Del to: 1. Om behandlingen
Til punkt 1.1: Behandlingen omfatter følgende typer opplysninger
Den behandlingsansvarlige skal krysse av for det som passer best. En behandling kan godt omfatte flere opplysningstyper. Punkt 1.1.1 omhandler ikke-sensitive personopplysninger og punkt 1.1.2 omhandler sensitive personopplysninger.
Til punkt 1.2: Behandlingen omfatter opplysninger om
Den behandlingsansvarlige skal krysse av for det som passer best, og ellers gi utfyllende beskrivelse av hvilke andre typer registrerte personer som behandles.
Til punkt 1.3: Hva er formålet med behandlingen?
I personopplysningsloven § 2, nr. 2, defineres en behandling som enhver bruk av personopplysninger – det nevnes også flere eksempler. All bruk skjer for å oppfylle et formål, og i personopplysningsloven stilles det krav om at dette formålet skal være klart definert og beskrevet før behandlingen tar til.
I tillegg stiller loven krav om at formålet må være uttrykkelig beskrevet. Dette betyr at beskrivelsen skal være så presis at den registrerte forstår nøyaktig hva opplysningene skal brukes til. En klar formålsangivelse er dessuten nødvendig for å kunne vurdere om de personopplysninger som behandles er relevante for den behandlingsansvarlige.
Det er verdt å merke seg at det ikke holder å beskrive formålet som en form for administrasjon av forholdet til den registrerte. Begrepet ”administrasjon” kan i forskjellige sammenhenger inneholde flere mer presise formål. For eksempel vil administrasjon av et kundeforhold kunne dreie seg om så forskjellige ting som levering av varer og fakturering, og oppfølging av kunden (markedsføring) basert på kompliserte personprofiler. Dersom dette er tilfelle, skal slike underformål beskrives. Disse formålene vil kunne avgrense én behandling fra en annen.
Til punkt 1.4: Hvordan skal opplysningene brukes?
I personopplysningsloven § 2 nr. 2 er behandling av personopplysninger definert som enhver bruk av personopplysninger. Datatilsynet ønsker informasjon om hva slags bruksmåter som skal skje i søkers virksomhet. Bruksmåtene må være i samsvar med det oppgitte formål. Dersom opplysningene skal kobles opp mot andre registre må det spesifiseres hvilket eller hvilke registre opplysningene skal kobles mot.
Dersom opplysningene skal utleveres må det spesifiseres til hvem de skal utleveres og det rettslige grunnlaget for utleveringen (i henhold til § 8 og/eller § 9). Grunnlagene står beskrevet i punkt 1.8 Eventuelle nye bruksmåter som ikke er angitt i denne søknaden, vil kunne utløse krav om ny konsesjon.
Til punkt 1.5: Sletting
Opplysninger som ikke lenger er nødvendige for å gjennomføre formålet med behandlingen skal som hovedregel slettes. I noen tilfeller blir imidlertid sletteplikten begrenset av annen lovgivning som pålegger den behandlingsansvarlige å oppbevare opplysningene, for eksempel arkivloven eller regnskapsloven.
I medhold av § 14 skal den behandlingsansvarlige planlegge og dokumentere tiltak som gjør han i stand til å oppfylle lovens krav. Datatilsynet ber derfor om en kopi av sletterutinene.
Til punkt 1.6: Overføring av personopplysninger til utlandet
Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har implementert EUs personverndirektiv oppfyller kravet til forsvarlig behandling. Til andre land kan overføring bare skje dersom en konkret vurdering av behandlingens forsvarlighetsnivå tilsier dette, eller dersom et av de alternative vilkårene i personopplysningsloven § 30 er oppfylt.
Dersom opplysningene overføres til land utenfor EU/EØS skal 1.6.1 fylles inn. Denne omhandler grunnlaget for overføringen
Til punkt 1.7: Informasjonsplikten
Personopplysningsloven §§ 19 og 20 pålegger den behandlingsansvarlige å informere den registrerte om behandlingen. Informasjon skal gis av eget tiltak, uten at den registrerte krever det, og uten kostnader for den registrerte, jf. personopplysningsloven § 17. Når det gjelder det nærmere innholdet i informasjonsplikten vises det til loven.
Til punkt 1.8: Rettslig grunnlag for behandlingen
Personopplysningsloven stiller krav om at ingen kan behandle personopplysninger uten å ha et rettslig grunnlag for at behandlingen skal være tillatt, jf. lovens § 8 og § 9. Bestemmelsene gir en uttømmende liste over hvilke rettslige grunnlag som kan gi hjemmel for behandling av henholdsvis ikke-sensitive og sensitive opplysninger. I tillegg må behandlingen oppfylle grunnkravene i § 11.
Under punkt 1.8 skal behandlingsansvarlig krysse av for hva som er grunnlaget for behandlingen. For behandling av ikke-sensitive personopplysninger er det tilstrekkelig at det foreligger ett grunnlag. Behandling av sensitive opplysninger må oppfylle ett av vilkårene i § 8 og et av vilkårene i § 9.
Samtykke (jf. punkt 1.8.1 og 1.8.2)
Behandling av personopplysninger bør i størst mulig utstrekning basere seg på samtykke fra den registrerte. Samtykket må være frivillig, uttrykkelig og informert, jf. § 2 nr. 7. Loven stiller ingen formkrav til samtykket, men Datatilsynet anbefaler at det innhentes skriftlig i den grad det er praktisk mulig. Skriftlighet vil lette bevisproblemer i situasjoner hvor det reises tvil om hva den registrerte har samtykket til. Det bes om at eventuelt informasjonsskriv som blant annet forklarer behandlingens innhold og varighet, og samtykkeerklæring, vedlegges konsesjonssøknaden.
Andre rettslige grunnlag (jf. punkt 1.8.1 og 1.8.2)
Uavhengig av om den registrerte har samtykket, kan behandling skje dersom den er hjemlet i lov. Vi ber om at aktuell lovhjemmel(er) oppgis.
Videre kan personopplysninger behandles dersom det er nødvendig, og et av vilkårene i § 8 bokstav a-f er oppfylt. (jf. punkt 1.8.1)
Krav om særlig hjemmel i § 9 ved behandling av sensitive opplysninger
I tillegg til at ett av vilkårene i § 8 må være oppfylt, må behandlingen også oppfylle ett av vilkårene i § 9.
Del tre: Egenerklæring om internkontroll og informasjonssikkerhet.
Til punkt 2.1: Internkontroll
Personopplysningsloven § 14 pålegger den behandlingsansvarlige å utarbeide et internkontrollsystem. Utarbeidelse av et internkontrollsystem innebærer at den behandlingsansvarlige skal planlegge og dokumentere tiltak som gjør ham i stand til å oppfylle lovens krav, herunder rutiner i forhold til krav fra den registrerte om innsyn, retting eller sletting.
Dersom den behandlingsansvarlige ikke har utarbeidet et internkontrollsystem, kan Datatilsynet vanskelig utstede en konsesjon.
Virksomheten er plikter å ha dokumentasjon på internkontrollsystemet tilgjengelig i virksomheten (jf. § 14)
Til punkt 2.2: Informasjonssikkerhet
Personopplysningsloven § 13 pålegger den behandlingsansvarlige gjennom planlagte og systematiske tiltak å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For at konsesjon skal kunne gis må virksomheten erklære at behandlingen av personopplysninger er sikret i samsvar med personopplysningsloven § 13 og at forholdsmessig sikring er dokumentert i virksomheten i form av en risikovurdering.
Konsesjonsskjemaet må sendes Datatilsynet i underskrevet stand.
(28.01.2009) Datatilsynet
Søknad om konsesjon for behandling av personopplysingar i samsvar med personopplysingslova § 33 og personopplysingsføreskrifta.
Ein konsesjon gjeven av Datatilsynet tyder at tilsynet har førehandsgodkjent behandlinga av dei personopplysingane som er regulert i konsesjonen. Kva som vert rekna som behandling er definert i personopplysingslova § 2 nr. 2. Ein eventuell konsesjon blir godkjent før ein set i gang behandlinga. Førehandsgodkjenninga betyr at Datatilsynet meiner at den behandlinga som den ansvarlege parten ynskjer å gå i gang med oppfyller personopplysingslova på ein tilfredsstillande måte. For å kunne ta ei slik vurdering er det nødvendig for Datatilsynet å få kjennskap til kva verksemd den ansvarlege for behandlinga driv, og den planlagde bruken av personopplysingar, altså sjølve behandlinga ein søkjer konsesjon for. Dette vil konsesjonssøknadsskjemaet hjelpe til med. Definisjon på ein behandlingsansvarleg finn ein i personopplysningslova § 2 nr. 4.
Skjemaet er delt i tre hovuddelar. Den første delen skal gje Datatilsynet informasjon om verksemda. Del to gjev informasjon om sjølve behandlinga, og del tre er ei eigenerklæring om internkontroll og informasjonstryggleik.
Generelt om å fylle ut skjemaet
Alle punkt i skjemaet må alltid fyllast rett ut, men unntak av punkt B som handlar om den representanten som er behandlingsansvarleg. Der punkta skal fyllast inn som fritekst kan søkjar legge ved eit eige ark dersom det ikkje er nok plass på skjemaet. Om dette vert gjort må vedlegget merkast med det aktuelle punktet i skjemaet.
DEL EIN: OPPLYSINGAR OM SØKJAREN
Til punkt A: Behandlingsansvarlege si verksemd
Dette er dei administrative opplysingane om den behandlingsansvarlege som Datatilsynet treng for å kunne administrere konsesjonane. Behandlingsansvarleg er den som avgjer formålet med behandlinga og kva hjelpemiddel som brukast. Som hovudregel er dette verksemda, representert av verksemda sitt øvste organ.
Dersom skjemaet vert fylt ut på vegne av den behandlingsansvarlege, til dømes av eit advokatfirma på vegne av ein klient, er det likevel den behandlingsansvarlege sine adresseopplysingar som skal stå på skjemaet. Dersom den som fyller inn skjemaet skal ta i mot korrespondansen frå Datatilsynet, må dette presiserast i eit eige vedlegg med adresseopplysingar.
Dersom den behandlingsansvarlege er ei verksemd etablert i statar utanfor EØS-området, men som nyttar seg av hjelpemiddel i Noreg, skal den behandlingsansvarlege ha ein representant her i landet. I så fall må også punkt B fyllast ut.
Til punkt B: Behandlingsansvarlege sin representant
Dette punktet skal berre fyllast inn dersom den behandlingsansvarlege er etablert utanfor EØS-området, men nyttar seg av hjelpemiddel i Noreg. I slike tilfelle avgjer personopplysingslova at den behandlingsansvarlege må ha ein representant som er etablert i Noreg.
Dersom den behandlingsansvarlege berre nyttar seg av hjelpemiddel i Noreg for å kunne overføre personopplysingar via Noreg til eit anna land, gjeld ikkje den regelen.
Til punkt C: Dagleg ansvar for å oppfylle den behandlingsansvarlege sine plikter er lagt til
Den behandlingsansvarlege vil, i lovens forstand, i utgangspunktet vere sjølve verksemda, ved verksemda sitt øvste organ. Ansvaret ligg likevel i praksis hjå ein fysisk person, som er utpeika av dette organet. Det er berre stillingsskildringa til denne personen som skal fyllast inn, ikkje namnet på vedkomande. Som regel vil ansvaret ligge hjå dagleg leiar for den behandlingsansvarlege si verksemd.
Til punkt D: Vert databehandlar brukt?
Ein databehandlar er ei verksemd som handterer personopplysingar på vegne av den behandlingsansvarlege. Personopplysingslova pålegg den behandlingsansvarlege å inngå ei skrifteleg avtale med databehandlaren, sjå personopplysingslova § 15 for spesifikasjon av kva avtala skal innehalde. Om ein nyttar seg av ein databehandlar, må punkt D fyllast inn og kopi av avtala skal leggast ved søknaden.
DEL TO: 1. OM BEHANDLINGA
Til punkt 1.1: Behandlinga omfattar følgjande type opplysingar
Den behandlingsansvarlege skal krysse av for det som passar best. Ei behandling kan godt omfatte fleire opplysingstypar. Punkt 1.1.1 omhandlar ikkje-sensitive personopplysingar og punkt 1.1.2 handlar om sensitive personopplysingar.
Til punkt 1.2: Behandlinga omfattar opplysingar om
Den behandlingsansvarlege skal krysse av for det som passar best, og elles gje utfyllande skildring om kva type registrerte personar som vert behandla.
Til punkt 1.3: Kva er formålet med behandlinga?
I personopplysingslova § 2, nr. 2, vert ei behandling definert som einkvar bruk av personopplysingar – det vert også nemnt fleire eksempel. All bruk skjer for å oppfylle eit formål, og i personopplysingslova vert det stilt krav om at dette formålet skal vere klart definert og skildra før behandlinga tek til.
Lova stiller også krav om at formålet må vere tydeleg skildra. Dette betyr at skildringa skal vere så presis at den som er registrert forstår nøyaktig kva opplysingane skal brukast til. Ein tydeleg formålsspesifikasjon er dessutan nødvendig for å kunne vurdere om dei personopplysingane som vert behandla er relevante for den behandlingsansvarlege.
Det er verdt å merke seg at det ikkje held å skildre formålet som ei form for administrasjon av forholdet til den som er registrert. Omgrepet ”administrasjon” kan i ulike samanhengar innehalde fleire og meir presise formål. Til dømes vil administrasjon av eit kundeforhold kunne dreie seg om så forskjellege ting som levering av varer og fakturering, og oppfølging av kunden (marknadsføring) basert på kompliserte personprofilar. Dersom dette er tilfelle skal slike underformål skildrast. Desse formåla vil kunne avgrense ei behandling frå ei anna.
Til punkt 1.4: Korleis skal opplysingane brukast
I personopplysingslova § 2 nr. 2 er behandling av personopplysingar definert som einkvar bruk av personopplysingar. Datatilsynet ynskjer informasjon om kva slags bruksmåtar som skal gjerast i søkjaren si verksemd. Bruksmåtane må vere i samsvar med dei føremåla som er oppgjevne. Dersom opplysingane skal koplast opp mot andre register, må det spesifiserast kva register opplysingane skal koplast opp mot.
Dersom opplysingane skal utleverast må det spesifiserast kven dei skal leverast ut til og det rettslege grunnlaget for utleveringa (i samsvar med § 8 og/eller § 9). Grunnlaga er skildra i punkt 1.8. Eventuelle nye bruksmåtar som ikkje er uttrykt i denne søknaden, vil kunne utløyse krav om ny konsesjon.
Til punkt 1.5: Sletting
Opplysingar som ikkje lenger er nødvendige for å gjennomføre formålet med behandlinga skal som hovudregel slettast. I nokre tilfelle er slettingsplikta likevel avgrensa av anna lovgjeving som pålegg den behandlingsansvarlege å behalde opplysingane, til dømes arkivlova eller rekneskapslova.
I samsvar med § 14 skal den behandlingsansvarlege planlegge og dokumentere tiltak som gjer han eller ho i stand til å oppfylle krava som lova stiller. Datatilsynet ber difor om ein kopi av sletterutinane.
Til punkt 1.6: Overføring av personopplysingar til utlandet
Personopplysingar kan berre overførast til statar som sikrar ei forsvarleg handtering av opplysingane. Statar som har implementert EU sitt personverndirektiv oppfyller kravet til forsvarleg handtering. Andre land kan berre få overført opplysingar dersom det ligg føre ei konkret vurdering som gjev uttrykk for at dette er forsvarleg, eller dersom eit av dei alternative vilkåra i personopplysingslova § 30 er oppfylt.
Til punkt 1.7: Informasjonsplikta
Personopplysingslova § 19 og 20 pålegg den behandlingsansvarlege å informere den registrerte om behandlinga. Informasjonen skal gjevast på eige initiativ, utan at den registrerte krev det, og utan kostnadar for den registrerte, jf. Personopplysingslova § 17. Når det gjeld nærare innhald i informasjonsplikta vert det synt til lova.
Til punkt 1.8: Rettsleg grunnlag for behandlinga
Personopplysingslova stiller krav om at ingen skal behandle personopplysingar utan å ha eit rettsleg grunnlag for at behandlinga skal vere lovleg, jf. § 8 og § 9. Reningslinjene i lova gjev ei uttømmande liste over kva rettslege grunnlag som kan gje heimel for behandling av høvesvis ikkje-sensitive og sensitive opplysingar. I tillegg må behandlinga oppfylle grunnkrava i § 11.
Under punkt 1.8 skal den behandlingsansvarlege krysse av for kva som er grunnlaget for behandlinga. For behandling av ikkje-sensitive personopplysingar er det tilstrekkeleg at det føreligg eit grunnlag. Behandling av sensitive opplysingar må oppfylle eit av vilkåra i § 8 og eit av vilkåra i § 9.
Samtykke (jf. punkt 1.8.1 og 1.8.2)
Behandling av personopplysingar bør i størst mogleg grad basere seg på samtykke frå den registrerte. Samtykket må vere frivillig, uttrykkeleg og informert, jf. § 2 nr. 7. Lova stiller ingen formkrav til samtykket, men Datatilsynet tilrår at det vert henta inn skriftleg i den grad dette let seg gjere. Skriftleg samtykke vil lette bevisproblem i situasjonar der det er reist tvil om kva den registrerte har samtykka til. Vi ber om at eventuelle informasjonsskriv som mellom anna forklarar innhald og lengda på behandlinga, samt samtykkeerklæring, vert lagt ved konsesjonssøknaden.
Andre rettslege grunnlag (jf. punkt 1.8.1 og 1.8.2)
Uavhengig av om den registrerte har samtykka, kan behandlinga skje dersom den er heimla i lov. Vi ber om at aktuell(e) lovheimel(ar) vert oppgjevne. Vidare kan personopplysingar behandlast dersom det er nødvendig, og et av vilkåra i § 8 bokstav a-f er oppfylt (jf. Punkt 1.8.1). Det er krav om særleg heimel i § 9 ved behandling av sensitive opplysingar. I tillegg til at eit av vilkåra i § 8 må vere oppfylt, må behandlinga også oppfylle eit av vilkåra i § 9.
DEL TRE: EIGENERKLÆRING OM INTERNKONTROLL OG INFORMASJONSTRYGGLEIK
Til punkt 2.1: Internkontroll
Personopplysingslova § 14 pålegg den behandlingsansvarlege å utarbeide eit internkontrollsystem. Utarbeiding av eit internkontrollsystem inneber at den behandlingsansvarlege skal planlegge og dokumentere tiltak som gjer han/ho i stand til å oppfylle dei krava lova stiller, medrekna rutinar i forhold til krav frå den registrerte om innsyn, retting eller sletting.
Dersom den behandlingsansvarlege ikkje har utarbeida eit internkontrollsystem, kan Datatilsynet vanskeleg skrive ut ein konsesjon. Verksemda er plikting til å ha dokumentasjon på internkontrollsystemet tilgjengeleg i verksemda (jf. § 14).
Til punkt 2.2: Informasjonstryggleik
Personopplysingslova § 13 pålegg den behandlingsansvarlege gjennom planlagde og systematiske tiltak å sørgje for tilfredsstillande informasjonstryggleik med omsyn til konfidensialitet, integritet og tilgang ved behandling av personopplysingar.
For at konsesjonen skal godkjennast, må verksemda stadfeste at behandlinga av personopplysingar er sikra i samsvar med personopplysingslova § 13, og at forholdsmessig sikring er dokumentert i verksemda i form av ei risikovurdering.
Konsesjonsskjemaet må sendast til Datatilsynet i underteikna stand.
Som hovedregel er behandling av personopplysninger meldepliktig, mens behandling av sensitive opplysninger er konsesjonspliktig.
Personvernlovgivningen gir regler med formål å øke muligheten for den enkelte til å ivareta eget personvern. Regelene om samtykke, informasjon og innsyn er innført fordi disse rettighetene direkte berører den enkeltes mulighet til å ha kontroll.
Meldeplikten er en plikt overfor både publikum og tilsynsmyndigheten. Meldingen, som legges ut i en offentlig database, skal gjøre det lettere å finne ut hvordan personopplysninger brukes i virksomhetene. Meldeplikten gjelder hovedsakelig elektronisk behandling av ikke-sensitive personopplysninger, samt ren manuell behandling av sensitive personopplysninger.
Konsesjonsplikten gir tilsynsmyndigheten en rett og plikt til å forhåndskontrollere virksomhets planlagte bruk av personopplysninger. Konsesjonsplikten gjelder hovedsakelig elektronisk behandling av sensitive personopplysninger.
Les mer om melde- og konsesjonsplikten på rett- og pliktsidene