Integritetsundersøkelser, også kalt «Integrity Due Diligence-undersøkelser», er bakgrunnsundersøkelser og informasjonsinnhenting som blant annet skal kunne avdekke korrupsjon og annen kriminalitet. Slike undersøkelser kan være typiske for oppkjøp eller ulike former for samarbeid i næringslivet.
Integritetsundersøkelser vil som regel innebære at det samles inn opplysninger om lovovertredelser og særlige kategorier av personopplysninger. Innsamling og behandling av slike opplysninger er i utgangspunktet forbudt, med mindre man kan vise til et unntak.
Må ha tillatelse fra Datatilsynet
Selv om ordningen med forhåndsgodkjenning (konsesjon) fra Datatilsynet falt bort med den nye personopplysningsloven, gjelder fortsatt ordningen for integritetsundersøkelser. Arbeidsgiveren må altså ha tillatelse fra Datatilsynet for å kunne gjøre slike undersøkelser.
Overgangsregler om behandling av personopplysninger
Ifølge overgangsreglene kan de som allerede har fått tillatelse til gjennomføring av integritetsundersøkelser, fortsette behandlingen på samme vilkår som fastsatt i tillatelsen.
Datatilsynet kan gi tillatelse til gjennomføring av integritetsundersøkelser dersom viktige samfunnsinteresser tilsier det, og dersom det settes i verk tiltak for å sikre den registrertes interesser.
Overgangsregler om behandling av personopplysninger § 6 (Lovdata.no)
Informasjonen som arbeidsgiveren får inn ved en integritetsundersøkelse, er forbeholdt virksomheter med et særlig behov for å avdekke for eksempel korrupsjon. Ettersom det i utgangspunktet er forbudt å behandle disse personopplysningene, er dette kun lov i unntakstilfeller. Det må i utgangspunktet dreie seg om rekruttering til lederstillinger.
I søknaden bør arbeidsgiveren blant annet skrive hva som er formålet med undersøkelsene, hva slags stilling det er snakk om, hvordan undersøkelsene er tenkt gjennomført, om personvernkonsekvensene er vurdert, og hvilke rutiner virksomheten har for å sikre personvernet til arbeidssøkerne.
Arbeidsgiveren må derfor vurdere om virksomheten har plikt til å utrede personvernkonsekvensene av integritetsundersøkelsene, før det sendes søknad til Datatilsynet og før behandlingen settes i gang. I søknaden bør resultatet av en slik vurdering, eller årsaken til at arbeidsgiveren mener en slik vurdering ikke er nødvendig, beskrives.
Vurdering av personvernkonsekvenser (DPIA)
Arbeidsgiveren må vurdere om det er sannsynlig at den nye behandlingen, med hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter.
I slike tilfeller må arbeidsgiveren foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet.
Se personvernforordningen artikkel 35 (Lovdata.no).
Les mer om vurdering av personvernkonsekvenser
Les mer om søknadsprosessen og søk her
Databehandleravtaler
Vi ser også at flere virksomheter setter bort dette arbeidet til eksterne aktører som spesialiserer seg på slike integritetsundersøkelser. Arbeidsgiveren må i så fall sannsynligvis inngå en databehandleravtale med denne eksterne virksomheten. I søknaden til Datatilsynet, bør det i slike tilfeller stå hvem som skal utføre undersøkelsene, og om det foreligger en databehandleravtale.
Les mer om databehandleravtaler her.