Slik fyller du ut konsesjonsskjema (bokmål)

Alle punkter i skjemaet skal fylles ut, med unntak av punkt B. For punkter hvor opplysningene fylles inn som fritekst, kan søker legge ved et eget ark dersom det ikke er plass på skjemaet. Vi ber da om at vedlegget merkes med det aktuelle punkt i skjemae

Del en: Opplysninger om søkeren

A: Behandlingsansvarliges virksomhet
Dette er de administrative opplysningene om den behandlingsansvarlige som Datatilsynet trenger for å kunne administrere konsesjonene. Behandlingsansvarlig er den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes. Som hovedregel er dette virksomheten, representert ved virksomhetens øverste organ.

Dersom skjemaet fylles ut på vegne av den behandlingsansvarlige, for eksempel av et advokatfirma på vegne av en klient, er det likevel den behandlingsansvarliges adresseopplysninger som skal oppgis på skjemaet. Dersom den som fyller inn skjemaet skal motta korrespondansen fra Datatilsynet, må dette presiseres på et eget vedlegg med adresseopplysninger.
Dersom den behandlingsansvarlige er en virksomhet som er etablert i stater utenfor EØS-området, men som benytter seg av hjelpemidler i Norge, skal den behandlingsansvarlige ha en representant her i landet. I så fall må også punkt B fylles ut.

B: Behandlingsansvarliges representant
Dette punktet skal bare fylles inn dersom den behandlingsansvarlige er etablert utenfor EØS-området, men benytter seg av hjelpemidler i Norge. I slike tilfeller bestemmer personopplysningsloven at den behandlingsansvarlige må ha en representant som er etablert i Norge.

Dersom den behandlingsansvarlige bare benytter seg av hjelpemidler i Norge for å kunne overføre personopplysninger via Norge til et annet land, så gjelder ikke denne regelen.

C: Daglig ansvar for å oppfylle den behandlingsansvarliges plikter er tillagt
Den behandlingsansvarlige vil, i lovens forstand, i utgangspunktet være selve virksomheten, ved virksomhetens øverste organ. Ansvaret vil imidlertid i praksis ligge hos en fysisk person, via delegasjon fra dette organet. Det er kun stillingsbetegnelsen til den som er pålagt det daglige behandleransvaret som skal oppgis, ikke vedkommendes navn. I regelen vil ansvaret ligge hos daglig leder for den behandlingsansvarliges virksomhet.

D: Benyttes databehandler?
En databehandler er en virksomhet som behandler personopplysninger på vegne av den behandlingsansvarlige. Personopplysningsloven pålegger den behandlingsansvarlige å inngå en skriftlig avtale med databehandleren, se personopplysningsloven § 15 for spesifikasjon av hva avtalen skal inneholde. Benyttes databehandler, må punkt D fylles inn, og kopi av avtalen skal legges ved søknaden.

E: Gi en beskrivelse av hva slags virksomhet den behandlingsansvarlige driver
Informasjonen som gis under dette punktet skal gi Datatilsynet en forståelse av hva slags virksomhet den behandlingsansvarlige driver.

Del to: 1. Om behandlingen


1.1: Behandlingen omfatter følgende typer opplysninger
Den behandlingsansvarlige skal krysse av for det som passer best. En behandling kan godt omfatte flere opplysningstyper. Punkt 1.1.1 omhandler ikke-sensitive personopplysninger og punkt 1.1.2 omhandler sensitive personopplysninger.

1.2: Behandlingen omfatter opplysninger om
Den behandlingsansvarlige skal krysse av for det som passer best, og ellers gi utfyllende beskrivelse av hvilke andre typer registrerte personer som behandles.

1.3: Hva er formålet med behandlingen?
I personopplysningsloven § 2, nr. 2, defineres en behandling som enhver bruk av personopplysninger – det nevnes også flere eksempler. All bruk skjer for å oppfylle et formål, og i personopplysningsloven stilles det krav om at dette formålet skal være klart definert og beskrevet før behandlingen tar til.
I tillegg stiller loven krav om at formålet må være uttrykkelig beskrevet. Dette betyr at beskrivelsen skal være så presis at den registrerte forstår nøyaktig hva opplysningene skal brukes til. En klar formålsangivelse er dessuten nødvendig for å kunne vurdere om de personopplysninger som behandles er relevante for den behandlingsansvarlige.

Det er verdt å merke seg at det ikke holder å beskrive formålet som en form for administrasjon av forholdet til den registrerte. Begrepet ”administrasjon” kan i forskjellige sammenhenger inneholde flere mer presise formål. For eksempel vil administrasjon av et kundeforhold kunne dreie seg om så forskjellige ting som levering av varer og fakturering, og oppfølging av kunden (markedsføring) basert på kompliserte personprofiler. Dersom dette er tilfelle, skal slike underformål beskrives. Disse formålene vil kunne avgrense én behandling fra en annen.

1.4: Hvordan skal opplysningene brukes?
I personopplysningsloven § 2 nr. 2 er behandling av personopplysninger definert som enhver bruk av personopplysninger. Datatilsynet ønsker informasjon om hva slags bruksmåter som skal skje i søkers virksomhet. Bruksmåtene må være i samsvar med det oppgitte formål. Dersom opplysningene skal kobles opp mot andre registre må det spesifiseres hvilket eller hvilke registre opplysningene skal kobles mot.

Dersom opplysningene skal utleveres må det spesifiseres til hvem de skal utleveres og det rettslige grunnlaget for utleveringen (i henhold til § 8 og/eller § 9). Grunnlagene står beskrevet i punkt 1.8 Eventuelle nye bruksmåter som ikke er angitt i denne søknaden, vil kunne utløse krav om ny konsesjon.

1.5: Sletting
Opplysninger som ikke lenger er nødvendige for å gjennomføre formålet med behandlingen skal som hovedregel slettes. I noen tilfeller blir imidlertid sletteplikten begrenset av annen lovgivning som pålegger den behandlingsansvarlige å oppbevare opplysningene, for eksempel arkivloven eller regnskapsloven.

I medhold av § 14 skal den behandlingsansvarlige planlegge og dokumentere tiltak som gjør han i stand til å oppfylle lovens krav. Datatilsynet ber derfor om en kopi av sletterutinene.

1.6: Overføring av personopplysninger til utlandet
Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har implementert EUs personverndirektiv oppfyller kravet til forsvarlig behandling. Til andre land kan overføring bare skje dersom en konkret vurdering av behandlingens forsvarlighetsnivå tilsier dette, eller dersom et av de alternative vilkårene i personopplysningsloven § 30 er oppfylt.

Dersom opplysningene overføres til land utenfor EU/EØS skal 1.6.1 fylles inn. Denne omhandler grunnlaget for overføringen

1.7: Informasjonsplikten
Personopplysningsloven §§ 19 og 20 pålegger den behandlingsansvarlige å informere den registrerte om behandlingen. Informasjon skal gis av eget tiltak, uten at den registrerte krever det, og uten kostnader for den registrerte, jf. personopplysningsloven § 17. Når det gjelder det nærmere innholdet i informasjonsplikten vises det til loven.

1.8: Rettslig grunnlag for behandlingen
Personopplysningsloven stiller krav om at ingen kan behandle personopplysninger uten å ha et rettslig grunnlag for at behandlingen skal være tillatt, jf. lovens § 8 og § 9. Bestemmelsene gir en uttømmende liste over hvilke rettslige grunnlag som kan gi hjemmel for behandling av henholdsvis ikke-sensitive og sensitive opplysninger. I tillegg må behandlingen oppfylle grunnkravene i § 11.
Under punkt 1.8 skal behandlingsansvarlig krysse av for hva som er grunnlaget for behandlingen. For behandling av ikke-sensitive personopplysninger er det tilstrekkelig at det foreligger ett grunnlag. Behandling av sensitive opplysninger må oppfylle ett av vilkårene i § 8 og et av vilkårene i § 9. 


Samtykke (jf. punkt 1.8.1 og 1.8.2)
Behandling av personopplysninger bør i størst mulig utstrekning basere seg på samtykke fra den registrerte. Samtykket må være frivillig, uttrykkelig og informert, jf. § 2 nr. 7. Loven stiller ingen formkrav til samtykket, men Datatilsynet anbefaler at det innhentes skriftlig i den grad det er praktisk mulig. Skriftlighet vil lette bevisproblemer i situasjoner hvor det reises tvil om hva den registrerte har samtykket til. Det bes om at eventuelt informasjonsskriv som blant annet forklarer behandlingens innhold og varighet, og samtykkeerklæring, vedlegges konsesjonssøknaden.


Andre rettslige grunnlag (jf. punkt 1.8.1 og 1.8.2)
Uavhengig av om den registrerte har samtykket, kan behandling skje dersom den er hjemlet i lov. Vi ber om at aktuell lovhjemmel(er) oppgis.
Videre kan personopplysninger behandles dersom det er nødvendig, og et av vilkårene i § 8 bokstav a-f er oppfylt. (jf. punkt 1.8.1)        
Krav om særlig hjemmel i § 9 ved behandling av sensitive opplysninger
I tillegg til at ett av vilkårene i § 8 må være oppfylt, må behandlingen også oppfylle ett av vilkårene i § 9.

Del tre: Egenerklæring om internkontroll og informasjonssikkerhet.


2.1: Internkontroll
Personopplysningsloven § 14 pålegger den behandlingsansvarlige å utarbeide et internkontrollsystem. Utarbeidelse av et internkontrollsystem innebærer at den behandlingsansvarlige skal planlegge og dokumentere tiltak som gjør ham i stand til å oppfylle lovens krav, herunder rutiner i forhold til krav fra den registrerte om innsyn, retting eller sletting.

Dersom den behandlingsansvarlige ikke har utarbeidet et internkontrollsystem, kan Datatilsynet vanskelig utstede en konsesjon.
Virksomheten er plikter å ha dokumentasjon på internkontrollsystemet tilgjengelig i virksomheten (jf. § 14)

2.2: Informasjonssikkerhet
Personopplysningsloven § 13 pålegger den behandlingsansvarlige gjennom planlagte og systematiske tiltak å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

For at konsesjon skal kunne gis må virksomheten erklære at behandlingen av personopplysninger er sikret i samsvar med personopplysningsloven § 13 og at forholdsmessig sikring er dokumentert i virksomheten i form av en risikovurdering.

Konsesjonsskjemaet må sendes oss i underskrevet stand.