Rekrutteringsbyrå, offentlige informasjon og Personopplysningsloven

[nahojp]

Puh, dette ble langt. Jeg har uthevet de konkrete spørsmålene jeg stiller.

 

Det har vært noen medieoppslag i det siste om at et rekrutteringfirma benytter Offentlighetsloven til å få ut oversikt over studenter ved landets universiteter, for så å bygge opp en database over kandidater de kan rekruttere. Se for eksempel denne artikkelen: http://www.aftenposten.no/jobb/Bygger-opp-database-med-alle-landets-studenter-6737534.html

 

Jeg forstår ikke (les: jeg er uenig i) det som antydes omkring lovligheten av dette, og ønsker noen andre oppfatninger omkring temaet.

 

Slik jeg ser det er det to ulike problemstillinger her: Det ene er om det er rett at Offentlighetsloven gir universitetenes plikt til å utlevere informasjonen når Rekruttering AS spør. Det andre er om Personopplysningsloven gir Rekruttering AS rett til å bygge opp denne basen, og hvilke begrensninger som eventuelt gjelder.

 

Informasjonsdirektør Ove Skåra i Datatilsynet er intervjuet av Aftenposten. Han sier bare at Datatilsynet ikke liker praksisen, men at Offentlighetsloven gir universitetene plikt til å levere ut informasjonen, og da er det ikke noe mer Datatilsynet kan gjøre. Han nevner ikke Personopplysningsloven i det hele tatt.

 

Etter min oppfatning er det ingen automatisk sammenheng mellom at Offentlighetsloven definerer studentlister som offentlig informasjon og at Rekruttering AS har lov til å samle inn dette i en egen database. Det vil ikke være unaturlig at en lov pålegger universitetene å utlevere listene, mens en annen lov begrenser hva Rekruttering AS kan gjøre med listene - eller til og med forbyr dem å ta i mot listene overhodet. Og den andre loven vil i så fall være Personopplysningsloven.

 

For å ta definisjonene først:

- Studentlistene er åpenbart "personopplysninger" etter lovens §2 1. punkt.

- Rekruttering AS "behandler" personopplysninger etter lovens §2 2. punkt - de driver både innsamling, registrering, sammenstilling og lagring, og tilfredstiller dermed de fleste bruksmåtene som er nevnt.

- Databasen til Rekruttering AS er et "personregister" etter §2 3. punkt - den er et systematisk register der opplysningene kan finnes igjen.

- Studentlistene er ikke "sensitive personopplysninger" - så der slipper Rekruttering AS unna en del.

 

Dermed tilfredstiller virksomheten til Rekruttering AS kravene i §3 første ledd om lovens virkeområde - Rekruttering AS bruker med 99% sikkerhet elektroniske hjelpemidler, (§3 første ledd bokstavpunkt a) og om de mot formodning fører et rent papirarkiv faller de uansett inn under bokstavpunkt b. Jeg kan ikke se at Rekruttering AS er dekket av noen av unntakene i §3 andre, tredje eller fjerde ledd.

 

Har jeg rett i at Peronsopplysningsloven kommer til anvendelse? Eller har jeg oversett noe viktig?

 

Hvis jeg har rett så langt, så må Rekruttering AS tilfredsstille lovens §8 for å få lov til å gjøre det de gjør. Rekruttering AS har ikke samtykke, de har ikke hjemmel i annen lov, og av bokstavpunktene er det vel bare punkt f) som eventuelt kommer til anvendelse: Man kan behandle personopplysninger dersom behandlingen er nødvendig for "f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen."

 

Men er det virkelig en "berettighet interesse" at Rekruttering AS skal drive business? Det gir vel i praksis tilnærmet fritt leide for veldig mange andre?

Det er også en masse regler om datasikkerhet og slikt som Rekruttering AS må forholde seg til. Mer interessant er §18, om rett til innsyn. Såvidt jeg forstår denne paragrafen kan egentlig hvem som helst kontakte Rekruttering AS, be dem utdype hva de driver med, samt spørre hvilke opplysninger som er registrert om en selv. Stemmer det?

 

Og til slutt: Slik jeg tolker §20 skal Rekruttering AS varsle alle som står på de listene som de mottar fra universitetene. Datatilsynets mann sier ingenting om det i intervjuet med Aftenposten - derimot sier han at Datatilsynet har oppfordret universitetene til å varsle de registrerte om at opplysningene er utlevert. Jeg synes det er urimelig å forvente at universitetene skal bære kostnaden med det, så jeg synes heller Datatilsynet burde håndhevet §20 strengere. Har Rekruttering AS plikt til å varsle de studentene de får tilsendt, eller tolker jeg paragrafen helt feil?

[hvafaen]

Håper du drar denne tråden inn i politik og samfund etterhvert! Jeg er helt enig i deg at dette er urimelig.

 

Hadde selskapet ikke bedt om å få opplysningne om studentene utlevert, hadde dette vert greiere.

Da har man plutselig en sak der en lykkesmed har klekket en buissnes av å systematisere tilgjengelig informasjon og data.

Men det er vel en grunn til at disse listene ikke ligger ute på internett?

[nahojp]

I første omgang ønsker jeg å få klarlagt gjeldende jus. Om det blir en politisk diskusjon om lovene trenger å endre får vi ta etterhvert.