Behandling av personuppgifter hos rekryteringsföretag

Transkript

1 Behandling av personuppgifter hos rekryteringsföretag DATAINSPEKTIONENS RAPPORT 2002:3

2 Innehållsförteckning Inledning...2 Sammanfattning...3 Hur samlas uppgifterna in? Hur lagras uppgifterna? Vilken information får den registrerade? Vad gäller om känsliga personuppgifter? Uppgifter om brott m.m Vad gäller om personnummer? Hur länge får uppgifter sparas? Särskilt om personlighetstester Vad gäller om referenspersoner? Kreditupplysningar Överlåtelse av kandidatdatabasen En framtida branschöverenskommelse Allmänt om personuppgiftslagen (1998:204) Definitioner Bilaga Tillsynsobjekten

3 Inledning Sedan slutet på 1980-talet har en ny bransch vuxit fram i Sverige. I det som till vardags brukar kallas rekryteringsbranschen ingår både renodlade rekryteringsföretag och s.k. bemanningsföretag (som kan syssla både med uthyrning och rekrytering av personal). Ofta är företagen verksamma inom särskilda sektorer, t.ex. IT eller sjukvård. Huvuduppdraget för företagen är att förmedla personal för kortare tid eller för anställning. Det kan ske på olika sätt, bl.a. genom uthyrning av personal eller genom att företaget åtar sig att rekrytera personer till vissa tjänster. Under hösten 2001 genomförde Datainspektionen ett projekt för att kontrollera vilka behandlingar av personuppgifter som rekryteringsföretag utför. Med rekryteringsföretag avses i denna rapport företag som åtar sig att förmedla personal för anställning. Den personuppgiftsbehandling som sker vid uthyrning av personal har inte kontrollerats i detta projekt. Tio rekryteringsföretag av varierande storlek inspekterades på plats, sex i Stockholm och fyra i Malmö (se bilaga). Nio av de tio företagen valdes ut slumpmässigt. Det företag som inte utvaldes slumpmässigt inspekterades på grund av klagomål som kommit in till Datainspektionen. Inspektionerna avsåg kontroll av efterlevnaden av personuppgiftslagens (PuL) regler. Någon kontroll av IT-säkerheten gjordes inte. Flera av de inspekterade rekryteringsföretagen eller de hos rekryteringsföretagen verksamma rekryteringskonsulterna är medlemmar i branschorganisationerna Sveriges Branschförening för Human Resources Konsulter (HRK) och Föreningen Sveriges Executive Search Konsulter (ESK). Några av företagen är medlemmar i Svenska Personaluthyrnings- och Rekryteringsförbundet (SPUR). Samtliga tre intresseorganisationer har antagit övergripande etiska värderingar/regler för sina medlemmar. Stockholm i december

4 Sammanfattning Rekryteringsföretagen utförde i stort sett likartade behandlingar av personuppgifter. Ändamålen med behandlingarna av personuppgifter hos företagen var att ombesörja anställningsförfaranden åt uppdragsgivare. En brist hos de inspekterade företagen var den otillräckliga informationen till den registrerade om behandlingen av personuppgifter. De flesta företagen lämnade ingen information. En del av företagen lämnade viss information som dock inte uppfyllde personuppgiftslagens (PuL) krav. Information till den registrerade är en viktig del i den enskildes integritetsskydd. PuL ställer därför stora krav på att den registrerade informeras om den personuppgiftsbehandling som utförs. När en arbetssökande skickar in en intresseanmälan ska information lämnas i anslutning till insamlingen, t.ex. på företagets webbplats. Det finns vissa undantag från informationskravet. Information behöver exempelvis inte lämnas om de behandlingar som den registrerade får anses känna till. Om den registrerade lämnar uppgifter i samband med att han söker en anställning, får han anses känna till vad uppgifterna ska användas till. Detta gäller dock under förutsättning att det är fråga om sedvanlig behandling i samband med en rekrytering. En annan brist var att drygt hälften av de tio rekryteringsföretagen behöll uppgifterna längre än ändamålen med behandlingen krävde. Några av företagen gallrade inte alls de insamlade uppgifterna. Hos några av företagen hade de arbetssökande själva möjlighet att gå in och uppdatera sina lämnade uppgifter. Uppgifterna får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Rekryteringsföretagen måste se till att det finns rutiner för uppdatering och gallring av uppgifter om de arbetssökande, dvs. rutiner för att ta bort uppgifter som inte längre behövs i verksamheten. Personuppgifter som lämnas vid en ansökan om anställning bör normalt gallras kort tid efter att anställningsförfarandet har avslutats. Om företagen vill behålla uppgifterna en längre tid för nya rekryteringsuppdrag, måste de arbetssökande informeras om detta och samtycka till fortsatt behandling. PuL:s bestämmelser gäller för databaser och även för pappersakterna om dessa utgör ett manuellt register enligt särskilda kriterier i PuL. Samtliga inspekterade företag hade databaser som innehöll uppgifter om de arbetssökande. De personuppgifter som behandlades och lagrades i databaserna var sådana uppgifter som efterfrågas i en rekryteringsprocess, dvs. uppgifter om namn, adress, personnummer/födelsedata, civilstånd, utbildning, nuvarande arbetsgivare och lön, tidigare anställningar och befattningar, språkkunskaper samt intressen. Andra uppgifter om personer lagrades som regel i pappersakter. I akterna förvarades ansökningshandlingar med meritförteckningar, intervjuanteckningar, omdömen samt resultat från personlighetstester. 3

5 Det är enligt PuL i huvudsak förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Om det finns ett samtycke från den registrerade kan dock i många fall dessa uppgifter behandlas. Det finns undantag från kravet på samtycke, men de är inte tillämpliga i denna verksamhet. Vidare får känsliga personuppgifter behandlas när den arbetssökande på ett tydligt sätt själv offentliggjort uppgiften eller uppgifterna, exempelvis genom ett aktivt medlemskap i en fackförening. Känsliga personuppgifter behandlades som regel inte hos de undersökta företagen. Vid de tillfällen känsliga personuppgifter behandlades gällde det hälsouppgifter. En uppgift om medborgarskap kan i vissa fall avslöja ras eller etniskt ursprung, och kan därför utgöra en känslig personuppgift i PuL:s mening. Samtycke kan därför behöva inhämtas. Någon möjlighet för rekryteringsföretagen att med stöd av PuL eller andra bestämmelser behandla uppgifter om lagöverträdelser finns inte. Hos de undersökta företagen förekom inte heller någon sådan behandling. Uppgift om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Om ett rekryteringsföretag ska inhämta den arbetssökandes personnummer är huvudregeln att det ska ske med samtycke från honom eller henne. Samtycke anses föreligga om den arbetssökande själv lämnar ifrån sig sitt personnummer. För det fall personnummer inhämtas från annan än den registrerade krävs att ett av undantagen i PuL är tillämpligt för att behandlingen ska vara tillåten. I normal-fallet är inte något av undantagen tillämpligt i den verksamhet som rekryteringsföretagen bedriver. Ett fåtal av företagen inhämtade och behandlade de arbetssökandes personnummer. De flesta av företagen inhämtade och behandlade endast de arbetssökandes födelsedatum eller födelseår. Om en arbetssökande lämnar uppgifter om referenspersoner, får det anses vara berättigat att företaget hämtar in personuppgifter från referenspersonerna. Frågor om och insamling av känsliga personuppgifter, t.ex. angående sjukfrånvaro, får emellertid endast inhämtas med uttryckligt samtycke från den arbetssökande. 4

6 Hur samlas uppgifterna in? Vid undersökningarna framkom att det vanligaste sättet för arbetssökande att anmäla sig till rekryteringsföretagen eller att söka en viss utannonserad tjänst var att registrera sig på företagens webbplatser på Internet eller att skicka e-brev. Intresseanmälningar skickades i huvudsak på elektronisk väg. Mindre än hälften av företagen fick in handlingar brevledes, främst vid annonsrekrytering. Drygt hälften av rekryteringsföretagen uppgav att de sysslade med s.k. headhunting eller search, vilket innebär att företagen aktivt söker upp tänkbara kandidater utan att personerna själva har anmält intresse. Tänkbara kandidater hittades bl.a. genom rekommendationer, egna sökningar på Internet, artiklar i massmedia eller genom att inhämta universitetens kurslistor över studenter. Kandidater som rekryteringsföretagen ville värva kontaktades i samtliga fall utifrån dessa uppgifter. Om en kandidat inte ville ha uppgifter om sig i databasen togs uppgifterna bort. Företagen uppgav att de tillfrågade vanligtvis väljer att finnas kvar då det kan leda till goda karriärmöjligheter. När en arbetssökande, som har fått information om vad uppgifterna ska användas till, lämnar sina personuppgifter anses han eller hon ha samtyckt till företagets aktuella behandling av personuppgifterna. För att undvika eventuella tvister om samtycket rekommenderas att samtycket inhämtas skriftligen. En person kan inte samtycka generellt till behandling av personuppgifter, t.ex. till eventuella behandlingar i framtiden, utan att känna till vilka dessa är. Rekryteringsföretaget måste informera om en eller flera planerade behandlingar och samtycket avser då dessa. Det avgörande är att den arbetssökande vet vilka behandlingar han eller hon samtycker till. Om uppgifter hämtas in till ett headhuntingregister från annan än den arbetssökande får uppgifterna inte databehandlas utan att den som avses registreras samtycker därtill. Inte heller s.k. tyst samtycke, dvs. där den registrerade informeras om en tilltänkt behandling och ges en viss frist för att motsätta sig behandlingen, kan godtas, eftersom samtycket ska vara en otvetydig viljeyttring. 5

7 Hur lagras uppgifterna? Rekryteringsföretagen genomförde i stort sett likartade behandlingar av personuppgifter. Ändamålen med behandlingarna av personuppgifter hos rekryteringsföretagen var att ombesörja anställningsförfaranden åt uppdragsgivare. Samtliga inspekterade rekryteringsföretag hade databaser som innehöll uppgifter om de arbetssökande. De personuppgifter som behandlades och lagrades i databaserna var uppgifter som efterfrågas i en rekryteringsprocess. Det var fråga om uppgifter som namn, adress, personnummer/födelsedata, civilstånd, utbildning, nuvarande arbetsgivare och lön, tidigare anställningar och befattningar, språkkunskaper samt intressen. Hos några av företagen hade de arbetssökande själva möjlighet att gå in och uppdatera sina lämnade uppgifter. De flesta av företagen hade utöver en databas en pappersakt som hörde till varje arbetssökande. I akten förvarades uppgifter som t.ex. ansökningshandlingar med meritförteckningar, intervjuanteckningar, omdömen samt resultat från personlighetstester. PuL är tillämplig för den behandling som utförs med hjälp av IT. Detta gäller även delvis automatiserad behandling av personuppgifter. Det innebär bl.a. att lagen gäller redan när någon samlar in personuppgifter för hand, t.ex. via enkäter, med syfte att senare registrera uppgifterna i datorn. PuL är även tillämplig på pappersakterna om personuppgifterna handhas på sådant sätt att ett manuellt register uppkommer. Detta sker när uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning enligt särskilda kriterier. I PuL anges att all behandling av personuppgifter ska ske lagligt, på ett korrekt sätt och i enlighet med god sed. Vidare får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifter som samlas in för ett visst ändamål får sedan inte behandlas för något ändamål som är oförenligt med det ursprungliga. Den personuppgiftsansvarige får endast behandla uppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler uppgifter än de som är nödvändiga med hänsyn till ändamålen får inte behandlas. Ett rekryteringsföretag får således endast behandla de personuppgifter om en arbetssökande som är nödvändiga för att bedöma arbetssökandens lämplighet för den sökta tjänsten eller dennes karriärmöjligheter. Uppgifter om betyg, omdömen, eller andra värderande 6

8 upplysningar, som inhämtas t.ex. vid en anställningsintervju, får behandlas om det behövs för anställningsförhållandet. Vid inspektionerna framkom inget som tydde på att rekryteringsföretagen behandlade fler uppgifter än vad som var nödvändigt. Vilken information får den registrerade? De flesta av de inspekterade företagen lämnade ingen information till de registrerade om den behandling av personuppgifter som utfördes. En del av företagen lämnade viss information som dock inte uppfyllde PuL:s krav. Informationen till den registrerade är en viktig del i den enskildes integritetsskydd. PuL ställer därför stora krav på att den registrerade informeras om den personuppgiftsbehandling som utförs. Vissa undantag från informationskravet finns dock. Information behöver exempelvis inte lämnas om de behandlingar som den registrerade får anses känna till. Om den registrerade lämnar uppgifter i samband med att han söker en anställning, får han anses känna till vad uppgifterna ska användas till. Detta gäller dock under förutsättning att det är fråga om sedvanlig behandling i samband med en rekrytering. När uppgifter inhämtas från annan än den registrerade, t.ex. en referensperson, ska den arbetssökande informeras om vad som finns registrerat om honom. Den information som ska lämnas omfattar gäller: vem som är personuppgiftsansvarig ändamålen med behandlingen av personuppgifterna all övrig information som behövs för att den registrerade ska kunna tillvarata sina rättigheter i samband med behandlingen, t.ex. vilka som är mottagare av personuppgifterna, skyldighet (för den enskilde) att lämna uppgifter, rätten att ansöka om information och att få rättelse av eventuellt felaktiga uppgifter. Det finns inga bestämmelser om hur informationen ska lämnas. Det kan ske muntligen eller skriftligen. Rekryteringsföretaget bör inom den egna organisationen utforma klara rutiner för hur och när informationen ska lämnas både när personuppgifter samlas in från den arbetssökande själv och när uppgifter samlas in från någon annan. Det är den personuppgiftsansvarige som har ansvaret för att den registrerade har fått den information som krävs och det är därför också i den person- 7

9 uppgiftsansvariges intresse att den information som lämnas är tydlig och begriplig för den registrerade. Om uppgifterna samlas in från någon annan än den arbetssökande, t.ex. en referensperson, ska företaget informera den arbetssökande om vilka uppgifter som samlas in och för vilket ändamål. När personuppgifter samlas in via företagets webbplats på Internet kan nödvändig information lämnas i anslutning till att den registrerade lämnar sina uppgifter. Om personuppgifter samlas in skriftligen, exempelvis genom en ansökan om anställning som inkommer per brev, kan nödvändig informationen lämnas i bekräftelsebrevet. Ytterligare vägledning kan fås i Datainspektionens allmänna råd om information till registrerade, som finns på Vad gäller om känsliga personuppgifter? Känsliga personuppgifter behandlades som regel inte av rekryteringsföretagen. Vid de tillfällen känsliga personuppgifter behandlades gällde det hälsouppgifter. I PuL finns särskilda bestämmelser när det gäller behandling av känsliga personuppgifter. Det är i huvudsak förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Om det finns ett samtycke från den registrerade kan dock i många fall dessa uppgifter behandlas. Det finns undantag från kravet på samtycke som inte är tillämpligt i denna verksamhet. Vidare får känsliga personuppgifter behandlas när den arbetssökande på ett tydligt sätt själv har offentliggjort uppgiften eller uppgifterna, exempelvis genom ett aktivt medlemskap i en fackförening. Det är viktigt att tänka på att en uppgift om medborgarskap i vissa fall kan avslöja ras eller etniskt ursprung, och därför kan utgöra en känslig personuppgift i PuL:s mening. Uppgifter om brott m.m. Rekryteringsföretagen behandlade inte uppgifter om lagöverträdelser. Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, dvs. uppgifter om brott, domar i brottmål, straffprocessuella tvångsmedel (t.ex. häktning) eller administrativa frihetsberövanden (olika former av tvångsingripanden med stöd av lag). Någon möjlighet för rekry- 8

10 teringsföretag att med stöd av PuL eller andra bestämmelser behandla uppgifter om lagöverträdelser föreligger därför inte. Vad gäller om personnummer? Ett fåtal av företagen inhämtade och behandlade de arbetssökandes personnummer. Majoriteten av de inspekterade företagen inhämtade och behandlade endast de arbetssökandes födelsedatum eller födelseår. Uppgift om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Om ett rekryteringsföretag ska inhämta de arbetssökandens personnummer är huvudregeln att det ska ske med samtycke från den registrerade. Samtycke anses föreligga om den arbetssökande själv lämnar ifrån sig sitt personnummer. För det fall personnummer inhämtas från annan än den registrerade krävs att ett av undantagen i PuL är tillämpligt för att behandlingen ska vara tillåten. I normalfallet är inte något av undantagen tillämpligt i den verksamhet som rekryteringsföretagen bedriver. Hur länge får uppgifter sparas? Drygt hälften av de tio rekryteringsföretagen behöll uppgifterna längre än ändamålen med behandlingen krävde. Några av företagen gallrade inte alls. Ett av företagen gallrade personuppgifter var tredje år. Ett annat gallrade endast personuppgifter i pappersakterna och inte i databasen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Rekryteringsföretagen måste se till att det finns rutiner för gallring av uppgifter om de arbetssökande, dvs. rutiner för att ta bort uppgifter som inte längre behövs i verksamheten. Personuppgifter som lämnas vid en ansökan om anställning bör normalt gallras kort tid efter att anställningsförfarandet har avslutats. Vill rekryteringsföretagen behålla uppgifterna en längre tid för nya rekryteringsuppdrag, måste de arbetssökande ha fått information om detta redan när uppgifterna samlades in, annars måste ett nytt samtycke inhämtas. 9

11 Särskilt om personlighetstester Rekryteringsföretagen använde som regel personlighetstester som hjälpmedel i rekryteringsprocessen. Personlighetstesterna såg olika ut och hade olika resultatredovisning. De dokumenterades vanligtvis i pappersform, men det förekom även att testerna var internetbaserade. Flera av företagen använde sig av samarbetspartners som genomförde testerna. En del av rekryteringsföretagen var osäkra på om det var företaget eller samarbetspartnern som var personuppgiftsansvarig för behandlingen av uppgifterna. Majoriteten av rekryteringsföretagen sparade testresultaten i de arbetssökandes akter. De grundläggande krav som ställs på all behandling av personuppgifter ska iakttas även vad avser resultat från personlighetstester. Uppgift om resultat från personlighetstester, profiler eller liknande får endast behandlas med den arbetssökandes samtycke. Om den arbetssökande själv har medverkat i ett test får denne anses ha samtyckt till behandlingen. Samtycket ska föregås av information om den behandling av personuppgifter som sker genom testet. I de fall personlighetstesten utförs med hjälp av samarbetspartners ska rekryteringsföretaget utreda vem som är personuppgiftsansvarig för behandlingen av personuppgifter, eftersom rättigheter och skyldigheter enligt PuL är kopplade till personuppgiftsansvaret. I många fall torde dock den som beställer testet vara att anse som personuppgiftsansvarig. Vad gäller om referenspersoner? Några av rekryteringsföretagen behandlade uppgifter om eller från referenspersoner. De uppgifter som behandlades var namn- och kontaktuppgifter samt uppgifter som referenspersoner lämnade om de arbetssökande. Om en arbetssökande lämnar uppgifter om referenspersoner, får det anses vara berättigat att företaget hämtar in personuppgifter från referenspersonerna. Frågor om och insamling av känsliga personuppgifter, t.ex. angående sjukfrånvaro, får emellertid endast inhämtas med uttryckligt samtycke från den arbetssökande. 10

12 Kreditupplysningar Flera av företagen tog kreditupplysningar på arbetssökande, framför allt i slutrekryteringsprocessen. Den som begär en kreditupplysning (personupplysning) om en privatperson ska enligt 9 kreditupplysningslagen (1973:1173) ha ett s.k. legitimt behov av den. För att ett rekryteringsföretag ska anses ha ett legitimt behov av en kreditupplysning angående en arbetssökande krävs att den sökta tjänsten medför ekonomiskt ansvar. Överlåtelse av kandidatdatabasen Inget av de inspekterade rekryteringsföretagen hade överlåtit sin kandidatdatabas. Ett rekryteringsföretags kandidatdatabas innehåller personuppgifter. Rekryteringsföretag kan enligt Datainspektionens uppfattning endast överlåta sin databas med samtycke från alla som är registrerade i databasen. I annat fall är denna behandling av personuppgifter inte tillåten enligt PuL. En framtida branschöverenskommelse Enligt PuL finns möjlighet för en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller inom ett visst område att träffa överenskommelse vad avser behandling av personuppgifter inom branschen eller området (branschöverenskommelse). Om Datainspektionen har yttrat sig över överenskommelsens förenlighet med PuL och den personuppgiftsansvarige själv för en förteckning över de personuppgiftsbehandlingar som utförs enligt en sådan överenskommelse behöver någon anmälan om behandling av personuppgifter inte göras till inspektionen. Initiativet till denna självreglering ligger på organisationen. Datainspektionen ska på begäran av en organisation avge yttrande över förslag till branschöverenskommelse. Inspektionen kan i samband med framtagandet av ett sådant förslag bistå med råd och vägledning. 11

13 Allmänt om personuppgiftslagen (1998:204) PuL trädde i kraft den 1 oktober Lagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL gäller för all behandling av personuppgifter som är helt eller delvis automatiserad. Därutöver gäller den för vissa manuella register. PuL gäller inte för sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur. Lagen tillämpas inte heller på sådant som omfattas av tryck- och yttrandefrihetsgrundlagarna. Vidare framgår av PuL att om det i annan lag eller förordning finns bestämmelser som avviker från PuL, gäller de avvikande bestämmelserna. Den personuppgiftsansvarige är enligt 36 PuL skyldig att anmäla sin behandling av personuppgifter till Datainspektionen. Det gäller behandlingar som är helt eller delvis automatiserade. Som huvudregel ska varje enskild behandling av personuppgifter anmälas till Datainspektionen. Från denna bestämmelse finns dock vissa undantag. Anmälan behöver inte göras om den personuppgiftsansvarige i enlighet med 37 PuL har utsett och anmält ett personuppgiftsombud till Datainspektionen. Ett annat undantag gäller i de fall personuppgifter behandlas i enlighet med en branschöverenskommelse som har bedömts av Datainspektionen. Anmälan ersätts av en förteckning som den personuppgiftsansvarige själv upprättar och för. PuL innehåller bestämmelser om straff, böter eller fängelse i högst sex månader, för den som bryter mot vissa bestämmelser i lagen. Är brottet grovt är straffet fängelse i högst två år. I ringa fall döms inte till straff. Vidare kan den personuppgiftsansvarige som behandlar personuppgifter i strid med PuL bli skadeståndsskyldig gentemot den registrerade och dömas att ersätta denne för skada och kränkning av den personliga integriteten som den olagliga behandlingen orsakat. Definitioner Personuppgifter - all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Känsliga personuppgifter - personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Behandling av personuppgifter - varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. 12

14 insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstörning. Personuppgiftsansvarig - den som ensam eller tillsammans med andra bestämmer ändamålen, dvs. syftet med, och medlen för behandlingen av personuppgifter. Det är den personuppgiftsansvarige som ska se till att PuL följs. Rättigheter och skyldigheter enligt PuL är kopplade till den personuppgiftsansvarige. Den registrerade - den som en personuppgift avser. Personuppgiftsombud - den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Samtycke - varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. 13

15 Bilaga Tillsynsobjekten Stockholm Bonitor AB (diarienummer ) Boss Rekrytering AB (diarienummer ) Compass Human Resources Group (diarienummer ) Creative Search Sweden HB (diarienummer ) Manpower AB (diarienummer ) Privata Arbetsförmedlingen Tjänstemannakompetens AB (diarienummer ) Malmö Alumni AB (diarienummer ) Capita Urval AB (diarienummer ) Recruitment International AB (diarienummer ) Thulin Rekrytering AB (diarienummer ) 14

16 Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, Stockholm Beställningar: (telefonsvarare) Webbplats: E-post: datainspektionen@datainspektionen.se Fax: Tel: