Automatiserade bakgrundskontroller - GDPR

Jag har en idé om att utföra automatiserade bakgrundskontroller via div. egenutvecklade och licensstyrda verktyg.

Tanken är att jag ska rikta mig mot företag, där klient A vill kontrollera sin anställd, B. Jag tar in personnummer mm via en mall som automatiserar en process för kontroll, allt avvikande noteras och skickas till företaget som gör själva bedömningen. Detta sker via "öppna" källor på internet.

Min fråga är om jag faktiskt besitter själva ansvaret för GDPR eller inte. På ett sätt så hanterar min server personuppgifterna, spar dem tillfälligt i ett dokument som sedan skickas till kunden men raderas på min server, ungefär som på en cloud-server. Själva destrueringen sker via en vanligt "delete" och ingen överskrivning. Jag personligen hanterar eller ser aldrig uppgifterna förutom när kunden specifikt ber om en personlig bedömning, vilket jag då givetvis måste följa de regler som gäller.

Så, är detta tillåtet? Måste jag behandla personuppgifterna i enlighet med GDPR och spara dessa på ett annat sätt än tillfälligt på servern? Finns det några andra regelverk jag måste ta hänsyn för?

Vissa arbetsgivare, ofta vårdinrättningar av olika slag har rätt att begära ut belastningsregister direkt från polisen medan "vanliga" arbetsgivare måste be arbetstagaren att visa upp det, denna kan sedan neka till att göra detta.

MrKoll, Lexbase och allt vad det heter är väl en möjlig gråzon, vet inte huruvida det finns några regler kring användandet av dessa från ett arbetsgivarperspektiv.

Du får nog kolla med en jurist, finns en risk att det inte är tillåtet beroende på arbetsgivarens kärnverksamhet.

1. Det finns inga öppna källor för bakgrundskontroller i den formen du vill göra gällande.
2. Du behandlar personuppgifter så fort du sammanställer sökta personuppgifter och du bryter mot GDPR och allsköns andra lagar när du sedan publicerar sammanställda personuppgifter till kunden.

Termen behandling av personuppgifter handlar inte om teknikaliteter som om du har en fil på en disk eller inte. Det handlar om att du processar uppgifterna, dvs du tar uppgifter från A, B, C och sedan sammanställer dem.


Sedan;
Nej, ingen vårdenhet kan direkt hämta ut ett belastningsregister från Polismyndigheten. Det lagarna stadgar är att den anställda är skyldig att visa upp ett belastningsregister för anställning kring barn, funktionsnedsatta och andra skyddsvärda grupper.
Det är enkom vid en säkerhetsprövning som länsstyrelsen eller polisiära myndigheter direkt kan dra ut register för prövning.

1. Det hade varit en väldigt dålig affärsidé om den ska grunda sig på öppna källor som inte finns. Du får helt enkelt lita på mig i detta avseendet eller inte, det spelar inte så stor roll för min fråga.
2. Vart går gränsen för sammanställa och förmedla? Som bouncingwiththat44 sa, det finns ju uppenbarligen en gråzon, har du någon insikt i vart den gråzonen tar vid eller vart man kan hitta sådan information?
3. Ingen aning vad du får vårdenheter eller polisen från, tekniken bygger inte på några sådana register.

EDIT: mittåt, såg att du menade buncing på nr 3.

1. Det finns inga öppna källor som du kan få reda på en persons bakgrund från. En semi-öppen källa är kyrkböckerna. Det folk och fä gör är att begära ut personuppgifter hos myndigheters stängda register genom offentlighetsprincipen. Men bara för att du kan knalla in till tingsrätten och begära ut en dom betyder inte att deras register över domar är öppen.

2. Sammanställa är just sammanställa, dvs lista eller i löpande skrift redovisa de uppgifter du har fått från ett flertal källor. Förmedla är just förmedla, dvs att du publicerar eller ger uppgifterna till tredjepart. Att behandla (sammanställa) domar är som exempel strikt förbjudet enligt 10 artikeln GDPR. Du kan givetvis som privatperson, för eget bruk, sammanställa uppgifterna utan att sprida dem.

Den gråzon som det talas om är att vissa sökmotorer och tjänster använder sig av Tryckfrihetsförordningens utgivningsbevis för att gå runt den svenska tolkningen av GDPR, således går de runt förbudet i artikel 10 och en del andra artiklar. De missbrukar således medias ställning genom att gå runt olika förbud och lagar. För Tryckfrihetsförordningen kom till för att skydda media och dess rätt att publicera information som behövs för en samhällsviktig diskussion mot statens förbud mot det samma. Den kom inte till för att envar eller företag skulle kunna gå runt lagstadgade förbud för sitt eget nöje skull.

3. Den sista paragrafen var inte riktat till dig, men du läser tydligen inte din tråd.

Du verkar inte ha så bra koll på vad man kan få ut för information och vilken information som är sk. sluten, bara för att du inte vet innebär det inte att andra inte gör det.

Men givetvis, ser vad du menar angående sammanställning av information.

Ett tips i framtiden, försök att citera personen du pratar med, risken är annars att du framstår som korkad.

Den publika och "öppna" information som du triumpferar över kommer från andra sekundärkällor som i sin tur har begärt ut dem från primärkällor. Det finns inga öppna källor som hanterar personuppgifter av vikt mer än källor där personerna själva har klantat sig (se forum, facebook etc.) eller semi-öppna som gamla folkbokföringsarkiv på Riksarkivet.

Men en bakgrundskoll har inga publika källor med, utan däri hittar du enkom saker som du inte finner på Facebook. Och jo, jag har bra koll på vad för information jag kan få tag på kring dig, dina eventuella barn, hela din släkt osv. Allt från offentliga domar till vad som står i socialjournalerna. Jag kan med lätthet utröna om din farfars farfars far var en utböling, migrant, tiggare eller buse. På några sekunder kan man utläsa hela din mormors mödravårdsjournal och huruvida din mor var äkta, oäkta, adopterad, frisk vid födsel, omhändertaget på institution osv.

En kommentar till din sista infantila mening: Läser man tråden i sin helhet ser man tydligt vilket inlägg som jag menade, det utan att citera det inlägget.

OM vi lägger åt sidan vilken information som det går att samla ihop.

Ja, du omfattas av GDPR. Det finns i lagstiftningen två roller som du kan ha: Controller eller Processor. Min alldeles ovetenskapliga killgissning är att du enligt GDPR minst har rollen som Processor. Det innebär att du har ett antal ansvar gentemot personen enligt Art 15 . Se även artikel 28. Men eftersom det är du som styr hur data samlas in och vilka källor som används finns en risk att du enligt lagens mening blir Controller, vilket då ställer ännu större krav på dig.

Jag tycker att GDPR är underbart svår att förstå för den som hanterar information, syftet är ju att skydda personerna inte företagen.

Skaffa utgivningsbevis så slipper du bekymra dig om GDPR.

Ett Utgivningsbevis Får man inte använda hur som helst!
Järvanytt anklagar Avarn Security för att dom har för många Nazister Anställa, så här svarade dom på det!

Järvanytt
– Vi får inte göra vissa efterforskningar på vår personal, så som media får göra. Vi får inte dokumentera och inte heller söka viss information.
Vi har gjort en begäran till Integritetsmyndigheten om dispens för att få göra bakgrundskontroller, men fått avslag.-
https://www.nyhetsbyranjarva.se/nazi...rdningsvakter/

Fanns det någon med utgivningsbevis som får göra bakgrundskontroller, så skulle inte Avarn ha detta problem!

Controller och Processor är engelska, Dom heter i Sverige; Den Personuppgiftsansvarige och dennes Personuppgiftsbiträde!

Det finns inga gråzoner, Arbetsgivaren får endast titta på utdraget från Belastningsregistret, och prata med den arbetssökande om det, dom får inte ens göra en notering att registret är uppvisat, såvida inte det är bundet i Lag!

Integritetsskyddsmyndigheten
Om arbetsgivaren endast registrerar att ett registerutdrag har uppvisats, utan att information om innehållet framgår, är det inte en uppgift om lagöverträdelser. Däremot är det en behandling av personuppgifter. För att den ska vara tillåten ska den uppfylla grundläggande dataskydds principer och ha stöd i en rättslig grund. Det kan regelmässigt inte anses vara en adekvat och relevant uppgift i samband med rekrytering.

Det finns förslag om att införa ett generellt förbud mot registerkontroll, det vill säga oavsett om dataskydds förordningen gäller. Förslaget innebär att det ska krävas särskilt författningsstöd för att få begära att en arbetstagare eller arbetssökande ska visa eller överlämna ett utdrag ur belastningsregistret.

Sådant författningsstöd finns när det gäller vissa verksamheter, till exempel i skollagen och i lagen om registerkontroll av personer som ska arbeta med barn. Närmare regler om kontrollen, till exempel om den är obligatorisk eller frivillig för arbetsgivaren och vad som får dokumenteras i samband med kontrollen finns i respektive författning.
https://www.imy.se/verksamhet/datask...ottsuppgifter/

Polisen
Utdrag för arbete med barn i annan verksamhet än skola och barnomsorg
Utdraget är giltigt 1 år. Du ska själv behålla originalet.
Arbetsgivaren eller uppdragsgivaren får enbart göra en notering om att du visat utdraget. Du kan visa utdraget för flera arbetsgivare.
https://polisen.se/tjanster-tillstan...takt-med-barn/

Utdrag för arbete på HVB-hem
Utdraget är giltigt i 6 månader.
Du ska behålla originalet själv. Arbetsgivaren får ta en kopia av utdraget.
Du kan visa utdraget för flera arbetsgivare.
Utdraget innefattar även misstankeregistret.
https://polisen.se/tjanster-tillstan...stret/hvb-hem/

Arbetsgivaren har rätt att själv vända sig direkt till polisen och begära ett utdrag från belastningsregistret om du ska arbeta med eller inom följande yrkeskategorier:
psykiatrisk sjukvård
vård av personer med intellektuell funktionsnedsättning
vård av barn och ungdomar
tvångsvård av missbrukare
företag som installerar larm
https://polisen.se/tjanster-tillstan...arbetssokande/

Jag förmodar att man skriver på ett medgivande att arbetsgivaren får inhämta registret direkt från polisen om man söker jobb på ett Mentalsjukhus, precis som man får skriva på ett Medgivande att Länsstyrelsen får inhämta misstanke, och Belastningsregister från polisen och skicka det på Remis till Säpo om man söker jobb som Väktare, eller skyddsvakt!
Det medgivandet finns här!
https://www.lansstyrelsen.se/stockho...gsforetag.html