Setter personopplysningsloven og GDPR begrensninger for å gi videre opplysninger til rørleggere, entreprenører mv. som vi har mottatt i sanitærsøknadene, uten å informere søkeren?
30.01.2020
Etter GDPR artikkel 2 og personopplysningsloven § 2 får reglene anvendelse ved «behandling» av «personopplysninger» som inngår eller skal inngå i et «register». Hvis dataene er personopplysninger (se definisjoner i artikkel 4) og opplysningene fremgår av et register, må dere dermed ha samtykke fra søkeren til å kunne levere disse videre.
I følge Datatilsynet gjelder personopplysningsloven når virksomheter etablert i Norge helt eller delvis foretar såkalt automatisk (typisk elektronisk) behandling av personopplysninger. Videre gjelder loven når virksomhetene utfører ikke-automatisk behandling av personopplysninger, men personopplysningene skal inngå i et strukturert register. Se nærmere på datatilsynets nettside. Loven gjelder med andre ord bare hvis dere behandler dataene elektronisk eller dere sammenstiller (strukturerer) dataene i et manuelt register. Se også om personvernprinsippene;https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/
Det er med andre ord ikke bare et spørsmål om hvilke opplysninger dere innhenter (adresse, telefonnummer og epost er personopplysninger), men hvordan dere behandler disse.
Forordningen artikkel 5 nr. 1b krever at personopplysningene skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål». Det heter videre at opplysningene ikke skal «viderebehandles på en måte som er uforenlig med disse formålene». Personopplysninger fra kommunens registre vil derfor bare kunne gis videre til rørleggere, entreprenører mv., hvis de er innhentet med dette som formål.