Slik fyller du ut konsesjonsskjema (nynorsk)

Alle punkt i skjemaet må alltid fyllast rett ut, men unntak av punkt B som handlar om den representanten som er behandlingsansvarleg. Der punkta skal fyllast inn som fritekst kan søkjar legge ved eit eige ark dersom det ikkje er nok plass på skjemaet.

1: Opplysingar om søkjaren

Til punkt A: Behandlingsansvarlege si verksemd

Behandlingsansvarleg er den som avgjer formålet med behandlinga og kva hjelpemiddel som brukast. Som hovudregel er dette verksemda, representert av verksemda sitt øvste organ. Dette er dei administrative opplysingane om den behandlingsansvarlege som Datatilsynet treng for å kunne administrere konsesjonane.

Dersom skjemaet vert fylt ut på vegner av den behandlingsansvarlege, til dømes av eit advokatfirma på vegner av ein klient, er det likevel den behandlingsansvarlege sine adresseopplysingar som skal stå på skjemaet. Dersom den som fyller inn skjemaet skal ta i mot brev frå Datatilsynet, må han eller ho oppgi dette i eit eige vedlegg med adresseopplysingar.

Dersom den behandlingsansvarlege er ei verksemd etablert i statar utanfor EØS-området, men som nyttar seg av hjelpemiddel i Noreg, skal den behandlingsansvarlege ha ein representant her i landet. I så fall må også punkt B fyllast ut.

Til punkt B: Behandlingsansvarlege sin representant

Dette punktet skal berre fyllast inn dersom den behandlingsansvarlege er etablert utanfor EØS-området, men nyttar seg av hjelpemiddel i Noreg. I slike tilfelle avgjer personopplysingslova at den behandlingsansvarlege må ha ein representant som er etablert i Noreg.

Dersom den behandlingsansvarlege berre nyttar seg av hjelpemiddel i Noreg for å kunne overføre personopplysingar via Noreg til eit anna land, gjeld ikkje den regelen.

Til punkt C: Ansvaret for å oppfylle behandlingsansvarlege sine plikter

Den behandlingsansvarlege vil, i lovens forstand, i utgangspunktet vere sjølve verksemda, ved verksemda sitt øvste organ. Ansvaret ligg likevel i praksis hjå ein fysisk person, som er utpeika av dette organet. Det er berre stillingsskildringa til denne personen som skal fyllast inn, ikkje namnet på vedkomande. Som regel vil ansvaret ligge hjå dagleg leiar for den behandlingsansvarlege si verksemd.

Til punkt D: Vert databehandlar brukt?

Ein databehandlar er ei verksemd som handterer personopplysingar på vegne av den behandlingsansvarlege. Personopplysingslova pålegg den behandlingsansvarlege å inngå ei skrifteleg avtale med databehandlaren, sjå personopplysingslova § 15 for spesifikasjon av kva avtala skal innehalde. Om ein nyttar seg av ein databehandlar, må punkt D fyllast inn og kopi av avtala skal leggast ved søknaden.

2: Om behandlinga

Til punkt 1.1: Behandlinga omfattar følgjande type opplysingar

Den behandlingsansvarlege skal krysse av for det som passar best. Ei behandling kan godt omfatte fleire opplysingstypar. Punkt 1.1.1 omhandlar ikkje-sensitive personopplysingar og punkt 1.1.2 handlar om sensitive personopplysingar.

Til punkt 1.2: Behandlinga omfattar opplysingar om

Den behandlingsansvarlege skal krysse av for det som passar best, og elles gje utfyllande skildring om kva type registrerte personar som vert behandla.

Til punkt 1.3: Kva er formålet med behandlinga?

I personopplysingslova § 2, nr. 2, vert ei behandling definert som einkvar bruk av personopplysingar – det vert også nemnt fleire eksempel. All bruk skjer for å oppfylle eit formål, og i personopplysingslova vert det stilt krav om at dette formålet skal vere klart definert og skildra før behandlinga tek til.

Lova stiller også krav om at formålet må vere tydeleg skildra. Dette betyr at skildringa skal vere så presis at den som er registrert forstår nøyaktig kva opplysingane skal brukast til. Ein tydeleg formålsspesifikasjon er dessutan nødvendig for å kunne vurdere om dei personopplysingane som vert behandla er relevante for den behandlingsansvarlege.

Det er verdt å merke seg at det ikkje held å skildre formålet som ei form for administrasjon av forholdet til den som er registrert. Omgrepet ”administrasjon” kan i ulike samanhengar innehalde fleire og meir presise formål. Til dømes vil administrasjon av eit kundeforhold kunne dreie seg om så forskjellege ting som levering av varer og fakturering, og oppfølging av kunden (marknadsføring) basert på kompliserte personprofilar. Dersom dette er tilfelle skal slike underformål skildrast. Desse formåla vil kunne avgrense ei behandling frå ei anna.

Til punkt 1.4: Korleis skal opplysingane brukast

I personopplysingslova § 2 nr. 2 er behandling av personopplysingar definert som einkvar bruk av personopplysingar. Datatilsynet ynskjer informasjon om kva slags bruksmåtar som skal gjerast i søkjaren si verksemd. Bruksmåtane må vere i samsvar med dei føremåla som er oppgjevne. Dersom opplysingane skal koplast opp mot andre register, må det spesifiserast kva register opplysingane skal koplast opp mot.

Dersom opplysingane skal utleverast må det spesifiserast kven dei skal leverast ut til og det rettslege grunnlaget for utleveringa (i samsvar med § 8 og/eller § 9). Grunnlaga er skildra i punkt 1.8. Eventuelle nye bruksmåtar som ikkje er uttrykt i denne søknaden, vil kunne utløyse krav om ny konsesjon.

Til punkt 1.5: Sletting

Opplysingar som ikkje lenger er nødvendige for å gjennomføre formålet med behandlinga skal som hovudregel slettast. I nokre tilfelle er slettingsplikta likevel avgrensa av anna lovgjeving som pålegg den behandlingsansvarlege å behalde opplysingane, til dømes arkivlova eller rekneskapslova.

I samsvar med § 14 skal den behandlingsansvarlege planlegge og dokumentere tiltak som gjer han eller ho i stand til å oppfylle krava som lova stiller. Datatilsynet ber difor om ein kopi av sletterutinane.

Til punkt 1.6: Overføring av personopplysingar til utlandet  

Personopplysingar kan berre overførast til statar som sikrar ei forsvarleg handtering av opplysingane. Statar som har implementert EU sitt personverndirektiv oppfyller kravet til forsvarleg handtering. Andre land kan berre få overført opplysingar dersom det ligg føre ei konkret vurdering som gjev uttrykk for at dette er forsvarleg, eller dersom eit av dei alternative vilkåra i personopplysingslova § 30 er oppfylt.

Til punkt 1.7: Informasjonsplikta

Personopplysingslova § 19 og 20 pålegg den behandlingsansvarlege å informere den registrerte om behandlinga. Informasjonen skal gjevast på eige initiativ, utan at den registrerte krev det, og utan kostnadar for den registrerte, jf. Personopplysingslova § 17. Når det gjeld nærare innhald i informasjonsplikta vert det synt til lova.

Til punkt 1.8: Rettsleg grunnlag for behandlinga

Personopplysingslova stiller krav om at ingen skal behandle personopplysingar utan å ha eit rettsleg grunnlag for at behandlinga skal vere lovleg, jf. § 8 og § 9. Reningslinjene i lova gjev ei uttømmande liste over kva rettslege grunnlag som kan gje heimel for behandling av høvesvis ikkje-sensitive og sensitive opplysingar. I tillegg må behandlinga oppfylle grunnkrava i § 11.

Under punkt 1.8 skal den behandlingsansvarlege krysse av for kva som er grunnlaget for behandlinga. For behandling av ikkje-sensitive personopplysingar er det tilstrekkeleg at det føreligg eit grunnlag. Behandling av sensitive opplysingar må oppfylle eit av vilkåra i § 8 og eit av vilkåra i § 9.

Samtykke (jf. punkt 1.8.1 og 1.8.2)

Behandling av personopplysingar bør i størst mogleg grad basere seg på samtykke frå den registrerte. Samtykket må vere frivillig, uttrykkeleg og informert, jf. § 2 nr. 7. Lova stiller ingen formkrav til samtykket, men Datatilsynet tilrår at det vert henta inn skriftleg i den grad dette let seg gjere. Skriftleg samtykke vil lette bevisproblem i situasjonar der det er reist tvil om kva den registrerte har samtykka til. Vi ber om at eventuelle informasjonsskriv som mellom anna forklarar innhald og lengda på behandlinga, samt samtykkeerklæring, vert lagt ved konsesjonssøknaden.

Andre rettslege grunnlag (jf. punkt 1.8.1 og 1.8.2)

Uavhengig av om den registrerte har samtykka, kan behandlinga skje dersom den er heimla i lov. Vi ber om at aktuell(e) lovheimel(ar) vert oppgjevne. Vidare kan personopplysingar behandlast dersom det er nødvendig, og et av vilkåra i § 8 bokstav a-f er oppfylt (jf. Punkt 1.8.1). Det er krav om særleg heimel i § 9 ved behandling av sensitive opplysingar. I tillegg til at eit av vilkåra i § 8 må vere oppfylt, må behandlinga også oppfylle eit av vilkåra i § 9.

3: Eigenerklæring om internkontroll og informasjonstryggleik

Til punkt 2.1: Internkontroll

Personopplysingslova § 14 pålegg den behandlingsansvarlege å utarbeide eit internkontrollsystem. Utarbeiding av eit internkontrollsystem inneber at den behandlingsansvarlege skal planlegge og dokumentere tiltak som gjer han/ho i stand til å oppfylle dei krava lova stiller, medrekna rutinar i forhold til krav frå den registrerte om innsyn, retting eller sletting.

Dersom den behandlingsansvarlege ikkje har utarbeida eit internkontrollsystem, kan Datatilsynet vanskeleg skrive ut ein konsesjon. Verksemda er plikting til å ha dokumentasjon på internkontrollsystemet tilgjengeleg i verksemda (jf. § 14).

Til punkt 2.2: Informasjonstryggleik

Personopplysingslova § 13 pålegg den behandlingsansvarlege gjennom planlagde og systematiske tiltak å sørgje for tilfredsstillande informasjonstryggleik med omsyn til konfidensialitet, integritet og tilgang ved behandling av personopplysingar.

For at konsesjonen skal godkjennast, må verksemda stadfeste at behandlinga av personopplysingar er sikra i samsvar med personopplysingslova § 13, og at forholdsmessig sikring er dokumentert i verksemda i form av ei risikovurdering.

Konsesjonsskjemaet må sendast til Datatilsynet i underteikna stand.