Gjensidige Forsikring ASA endelig kontrollrapport og vedtak

Størrelse: px
Begynne med side:

Download "Gjensidige Forsikring ASA endelig kontrollrapport og vedtak"

Transkript

1 Gjensidige Forsikring ASA Postboks LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /CBR 20. september 2013 Gjensidige Forsikring ASA endelig kontrollrapport og vedtak Det vises til Datatilsynets foreløpige kontrollrapport og varsel om vedtak av 17. juni 2013, og til selskapets tilsvar av 30. juli Dette brevet faller i tre hoveddeler. I del 1 gjennomgås selskapets tilsvar til Datatilsynets varsel om vedtak. Datatilsynet vedtak følger i del 2, og i del 3 gis en orientering om selskapets adgang til å klage på vedtakene. Datatilsynets endelige kontrollrapport følger vedlagt. Del I Selskapets tilsvar og Datatilsynets vurderinger I Datatilsynets varsel om vedtak ble det lagt til grunn at det forelå en rekke mangler ved Gjensidiges etterlevelse av personopplysningslovens bestemmelser om informasjonssikkerhet og internkontroll. Datatilsynet varslet både at det ville gi pålegg for å bringe behandlingen i lovlige former, og at det ville ilegge overtredelsesgebyr for lovbruddene. Tilsynet varsel også at det ville trekke tilbake selskapets konsesjon for behandling av personopplysninger, dersom tilsynets pålegg ikke ble iverksatt innen en nærmere fastsatt frist. 1. Om personopplysningslovens saklige virkeområde I Datatilsynets har lagt til grunn at personopplysningslovens bestemmelser gjelder for selskapets utredningsvirksomhet i sin helhet, jf personopplysningslovens 3 første ledd. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 1.1. Særlig om videofilming I selskapets tilsvar anføres det at «selve gjennomføring av observasjon og videofilming med håndholdt kamera, samt lydopptak, i seg selv faller utenfor personopplysningsloven. Dette er i motsetning til fastmonterte kamera, som er regulert i personopplysningsloven.» 1 Datatilsynet er ikke enig i selskapets lovtolkning. Hvorvidt et kamera er fastmontert eller håndholdt er etter tilsynets oppfatning uten betydning ved vurderingen av om videofilmingen faller innenfor eller utenfor personopplysningslovens virkeområde henhold til personopplysningslovens 3. Dette er først relevant ved vurderingen av om behandlingen omfattes av de skjerpede bestemmelsene i personopplysningslovens kapittel 7 om kameraovervåkning, jf personopplysningslovens 36. At de alminnelige bestemmelsene i personopplysningsloven kan komme til anvendelse for håndholdte kameraer (videofilming) er etter tilsynets vurdering ikke tvilsomt. Det er lagt til grunn i langvarig og fast forvaltningspraksis ved Datatilsynet, og av Justisdepartementet så sent som i Departementet uttalte da at «selv om bruk av mobile/håndholdte kameraer ikke faller inn under reglene for kameraovervåkning, så vil det like fullt kunne være tale om en behandling som er omfattet av personopplysningslovens alminnelige regler» Datatilsynets vurderinger av lovens virkeområde For både videofilming, lydopptak og andre behandlinger, er det avgjørende hvorvidt behandlingen enten «helt eller delvis skjer ved bruk av elektroniske hjelpemidler», eller om opplysningene «inngår eller skal inngå i et personregister», jf personopplysningslovens 3 første ledd Behandlingsbegrepet Datatilsynet vil bemerke at det kan anføres at hele utredningsprosessen er å anse som èn behandling, hvor det endelige formålet er blant annet å avdekke svik. Da Gjensidige benytter elektroniske saksbehandlingssystemer i deler av denne behandlingen, kan det videre anføres at loven derved kommer til anvendelse på alle de andre delbehandlingene (videofilming, nedtegnelser og lydopptak mv), jf 3 første ledd bokstav a Gjennomføring av observasjon - nedtegnelser I forbindelse med en (skjult) observasjon utarbeides det løpende en skriftlig rapport, hvor det nedtegnes personopplysninger (sted, tid, den observertes bevegelser mv). Dersom dette gjøres ved hjelp av for eksempel en laptop, vil nedtegnelsene isolert innebære en behandling av personopplysninger med elektroniske hjelpemidler, som gjør at loven uansett kommer til anvendelse for nedtegnelsene og den videre behandlingen av disse, jf 3 første ledd bokstav a. 1 Tilsvarets pkt Prop 47 L ( ) pkt

3 Dersom nedtegnelsene gjøres uten bruk av elektroniske hjelpemidler, skjer det etter tilsynets vurdering en manuell behandling av opplysninger som senere «skal inngå i et personregister». Det vises til at selskapets saksbehandlingssystemer og arkiver er innrettet slik at enkeltpersoner enkelt kan gjenfinnes, og derved er å anse som personregistre i personopplysningslovens forstand. Det gjør at loven uansett kommer til anvendelse for nedtegnelsene og den videre behandlingen av disse, jf 3 første ledd bokstav a Lydopptak og videofilming Også lydopptak og videofilmer (herunder stillbilder) fra utredningssamtaler og observasjoner blir registrert inn i den aktuelle saken i Gjensidiges elektroniske saksbehandlingssystem. Uavhengig av om hjelpemidlene er elektroniske, og uavhengig av om de er håndholdte, innebærer dette at opplysningene som innhentes «skal inngå i et personregister». Det vises til at selskapets saksbehandlingssystemer og arkiver er innrettet slik at enkeltpersoner enkelt kan gjenfinnes, og derved er å anse som personregistre. Dette gjør at loven uansett kommer til anvendelse for selve filmingen og lydopptaket, og den videre behandlingen av disse, jf 3 første ledd bokstav a Konklusjon Datatilsynet legger fremdeles til grunn at personopplysningslovens bestemmelser kommer til anvendelse fra det øyeblikket det nedtegnes personopplysninger i forbindelse med observasjon, og fra det øyeblikk det iverksettes lydopptak eller videofilming i forbindelse med observasjon eller utredningssamtaler. Foreløpig kontrollrapport blir endelig på dette punktet. Ren visuell observasjon, uten at det registreres opplysninger som beskrevet ovenfor, er ikke omfattet av personopplysningslovens virkeområde. Det at opplysningene som behandles er hentet inn ved bruk av et så inngripende tiltak som skjult observasjon etter forholdene kan være, vil imidlertid få betydning ved vurderingen av om innhentingen og den videre behandlingen er forholdsmessig og nødvendig (jf personopplysningslovens 11). Datatilsynet gjør oppmerksom på at skjult observasjon etter omstendighetene kan rammes av straffelovens 390 a. 2 Om sakens opplysning særlig om systempliktene I henhold til personopplysningsloven 14 skal virksomhetens internkontrolltiltak være dokumentert, og dokumentasjonen skal kunne fremlegges Datatilsynet på forespørsel. Det samme gjelder for selskapets tiltak vedrørende informasjonssikkerhet, jf lovens 13. Det er altså den behandlingsansvarlige som kan sies å ha bevisbyrden for at det foreligger et internkontrollsystem og tilfredsstillende informasjonssikkerhet ved behandlingen. Manglende dokumentasjon gir i seg selv grunnlag for at tilsynsmyndigheten kan konkludere med at disse pliktene er brutt. 3

4 Gjensidige hevder i sitt tilsvar av 30. juli 2013 at det forelå et internkontrollsystem og tilfredsstillende informasjonssikkerhet allerede på kontrolltidspunktet, knyttet både til utredningsvirksomheten og selskapets øvrige behandling av personopplysninger i forbindelse med forsikringsvirksomhet. Selskapet hevder imidlertid at Datatilsynets kontroll ble mer omfattende enn hva tilsynet hadde forhåndsvarslet, og at selskapet derfor ikke var forberedt på å dokumentere internkontrollsystemet og informasjonssikkerheten for sin behandling av personopplysninger i sin helhet. Dette skal ha vanskeliggjort kontrollen for selskapets del, og ha medført at saken er dårlig opplyst. I forlengelse av dette anfører Gjensidige at Datatilsynet mangler grunnlag for å generalisere de funn som er gjort vedrørende undersøkelsesvirksomheten til å gjelde hele forsikringsvirksomheten. Til dette vil Datatilsynet først bemerke at dets skriftlige varsel om kontroll av 17. april 2013 ikke avgrenset kontrollen til kun å gjelde utredningsvirksomhet. Det vises særlig til følgende avsnitt: «Formålet med kontrollen er å vurdere virksomhetens behandling av personopplysninger i forhold til de krav som personopplysningsloven med forskrifter oppstiller, særlig slik behandling som skjer i forbindelse med at virksomheten foretar undersøkelser for å avdekke forsikringssvindel. Det gjøres imidlertid oppmerksom på at også andre forhold knyttet til virksomhetens behandling av personopplysninger vil kunne bli berørt under kontrollen.» (Vår utheving) Datatilsynet vil også bemerke at kontrollens omfang uansett ble klart under møtet den 14. mai Tilsynet mener at selskapet burde kunne dokumentere at disse pliktene var oppfylt allerede under møtet, eller innen kort tid etter møtet. Det vises til at selskapet var representert med personer som i kraft av sine stillinger burde være særlig godt kjent med selskapets internkontrollsystem og informasjonssikkerhet tilknyttet all behandling av personopplysninger i virksomheten. Det vises også til at et velfungerende internkontrollsystem forutsetter at alle rutiner og øvrig dokumentasjon uansett skal være enkelt tilgjengelig for alle ansatte i virksomheten (typisk gjennom et intranett eller lignende). Endelig vil tilsynet bemerke at selskapet også etter møtet hadde full adgang til å fremlegge ytterligere dokumentasjon og redegjørelser for forhold som eventuelt ikke var forberedt til møtet, jf også Datatilsynets epost til selskapet av 15. mai Datatilsynet mener etter dette at selskapet har hatt god anledning til å dokumentere hele sitt internkontrollsystem og informasjonssikkerheten, før den foreløpige kontrollrapporten ble utarbeidet. Dette gjelder også for de behandlinger som går utover utredningsvirksomheten. Tilsynet mener derved at det var forsvarlig å basere sitt varsel på de dokumenter som ble fremlagt, og de redegjørelsene som ble gitt, i perioden 17. april til 17. juni Etter Datatilsynets varsel om vedtak av 17. juni 2013 har selskapet oversendt ytterligere dokumentasjon og redegjørelser for sin etterlevelse av internkontroll- og informasjonssikkerhetsbestemmelsene for forsikringsvirksomheten som sådan. Slik 4

5 dokumentasjon ble oversendt etter at selskapet mottok tilsynets varsel den 18. juni 2013, og i forbindelse med selskapets endelig tilsvar av 30. juli Samtidig ble en fullstendig oversikt over de relevante dokumentene oversendt. Dersom tilsynet finner det sannsynliggjort at pliktene var tilfredsstillende ivaretatt allerede på kontrolltidspunktet, vil det kunne medføre endringer i tilsynets kontrollrapport og få betydning for spørsmålet om overtredelsesgebyr. Dersom selskapet dokumenterer at pliktene er oppfylt på vedtakstidspunktet, vil det få betydning for tilsynets pålegg om retting og for spørsmålet om tilbaketrekking av selskapets konsesjon (jf også Datatilsynets epost av 15. mai 2013 om dette). 3 Vedrørende de varslede pålegg 3.1 Pålegg om å etablere internkontroll Datatilsynet varslet følgende pålegg: «Virksomheten må etablere og implementere internkontroll i samsvar med personopplysningsloven 14.» I Gjensidiges tilsvar av 31. juli anføres det at Datatilsynet her bygger på et uriktig faktum. Selskapet hevder at det var implementert et tilfredsstillende internkontrollsystem allerede på kontrolltidspunktet, for behandling av personopplysninger i forbindelse med forsikringsvirksomhet generelt og i forbindelse med utredningsvirksomhet særskilt. Selskapet har allikevel gjort enkelte endringer i de rutiner og dokumentasjon som ble fremlagt i forbindelse med tilsynet Nærmere om internkontrollplikten Personopplysningsloven har som (del)formål å ansvarliggjøre virksomheter for dets behandling av personopplysninger. Loven regulerer ikke bare hvem som er behandlingsansvarlig, men gir også nærmere pålegg om hvordan behandlingsansvaret skal ivaretas. Plikten til å etablere internkontroll er et slikt pålegg: Gjennom planlagte og systematiske tiltak skal den behandlingsansvarlige sette seg selv i stand til å sikre, kontrollere og dokumentere at virksomheten til enhver tid etterlever personopplysningslovens øvrige bestemmelser. Et internkontrollsystem skal tilpasses den enkelte virksomhet, utfra dennes art og størrelse og behandlingen(e)s art og omfang, jf personopplysningsforskriftens 3-1. Internkontrollplikten innebærer at den behandlingsansvarlige skal ha kjennskap til gjeldende regler om behandling av personopplysninger, og dokumenterte rutiner for oppfyllelse av plikter og rettigheter etter personopplysningsregelverket. Internkontrollplikten er først overholdt når de dokumenterte rutinene er implementert, slik at de også i praksis ligger til grunn for virksomhetens behandling av personopplysninger. 5

6 For et forsikringsselskap av Gjensidiges art og størrelse må det forventes at det er etablert et omfattende internkontrollsystem for behandling av personopplysninger, og at dokumentasjonen på dette er lett tilgjengelig både for de ansatte i virksomheten og for Datatilsynets medarbeidere På kontrolltidspunktet Datatilsynet finner det ikke dokumentert at selskapet hadde implementert et tilfredsstillende internkontrollsystem på kontrolltidspunktet. Datatilsynet mener at det må kunne forventes at selskapet var i stand til å dokumentere internkontrollen i sin helhet, allerede før kontrollmøtet og senest innen kort tid etter dette møtet. Selskapet beskriver da også selv at «alle medarbeidere har lett tilgang til styrende dokumenter og rutinebeskrivelser på selskapets intranett (VIS)» 3. Da selskapets ansatte (herunder de som representerte ledelsen) allikevel ikke hadde oversikt over alle dokumentene på kontrolltidspunktet, kan det vanskelig legges til grunn at de rutiner som beskrives der var implementert i virksomheten. Det skal opplyses at tilsynets ansatte gjentatte ganger spurte uttrykkelig om det forelå annen dokumentasjon for internkontroll enn de som allerede var fremlagt, og som ble avtalt fremlagt straks setter møtet, og at dette ble besvart avkreftende av selskapets representanter. Det var også bakgrunnen for at Datatilsynets representanter under oppsummeringen av møtet uttrykte at de så svært alvorlig på manglende dokumentasjon, og varslet at det ville kunne få betydning for selskapets konsesjon. Dette måtte uansett ses som en klar oppfordring til selskapet om snarest å legge frem all eksisterende dokumentasjon. At selskapet har gjennomført en kartlegging og utarbeidet en oversikt over all dokumentasjon knyttet til etterlevelse av personopplysningsloven først i forbindelse med sitt tilsvar av 29. juli forsterker inntrykket av at selskapet manglet nødvendig oversikt den 14. mai Det har for øvrig ikke fremkommet merknader til tilsynets vurderinger av de enkeltdokumentene som var fremlagt før varslingstidspunktet, som medfører endringer i tilsynets konklusjoner vedrørende disse. Datatilsynet fastholder etter dette at selskapet internkontrollsystem var mangelfullt på kontrolltidspunktet. Foreløpig kontrollrapport blir derved endelig vedrørende dette På vedtakstidspunktet Flere av de dokumentene som selskapet bygger sitt tilsvar på ble fremlagt først etter at tilsynet oversendte sitt varsel om vedtak (hhv 19. juni og 29. juli 2013). Selskapet har også etablert nye tiltak og endret på enkelte rutiner, i tråd med Datatilsynets varsel om vedtak. Datatilsynet ser det som positivt at selskapet har begynt arbeidet med å forbedre sin internkontroll. Dette er allikevel ikke tilstrekkelig for at Datatilsynet anser at internkontrollplikten nå er oppfylt. 3 Tilsvarets pkt Vedlegg 2 til tilsvaret 6

7 For det første mener Datatilsynet at den dokumentasjonen som er lagt frem for tilsynet ikke tilfredsstillende dokumenterer at personopplysningslovens krav er oppfylt. Her vises det både til at selskapet selv uttaler at dokumentasjonen (fremdeles) ikke er uttømmende 5, og til den fremlagte dokumentasjonens form og innhold. Det er en forutsetning for tilfredsstillende internkontroll at den behandlingsansvarlige identifiserer alle de ulike behandlingene som virksomheten svarer for. En oversikt over behandlingene danner gjerne utgangspunktet for rutinene som skal utarbeides etter personopplysningsforskriftens 3-1 tredje ledd. En slik oversikt mangler i det materialet som er oversendt Datatilsynet. Flere av dokumentene som ble fremlagt den 19. juni 2013 samsvarte med de dokumentene som allerede var fremlagt og vurdert i tilsynets foreløpige kontrollrapport, og er derfor ikke egnet til å kaste nytt lys over saken. Dette gjelder vedleggene 2, 4, 16, og 17. Generelt skal det bemerkes at den oversendte dokumentsamlingen fremstår å være svært fragmentert, og at det mangler en systematikk og en indre sammenheng mellom de ulike dokumentene som normalt forventes av et velfungerende internkontrollsystem. Særlig mener tilsynet at det foreligger manglende dokumentasjon av kontrollerende tiltak og rutiner for avvikshåndtering. Enkelte av dokumentene fremstår helt løsrevet fra en større sammeneheng. Det gjelder særlig: «Håndtering av kunder med fortrolig adresse» (vedlegg 14) Dokumentene benevnt som Rutine 1 4 (vedlegg 18 21) «Rutine for innhenting og skanning av straffesaksdokumenter/politidokumenter» (vedlegg 29). Mange av dokumentene anses å være lite relevante for selskapets etterlevelse av personopplysningsloven. Dette gjelder: «Policy for risikostyring og internkontroll» (vedlegg 3) Dokumentet knytter seg kun til etterlevelse av verdipapirforskriften og kapitalkravsforskriften, og er ikke relevant for etterlevelse av personopplysningsloven «Etiske regler for Gjensidige» (vedlegg 5) Dokumentet inneholder i svært liten grad bestemmelser av betydning for de ansattes behandling av personopplysninger «Kundeombudet Klagehåndtering i Gjensidige» (vedlegg 7) Dokumentet er en del av undervisningsmaterialet for den interne salgsskolen. Her berøres kort enkelte spørsmål knyttet til forsikringsavtalelovens bestemmelser om taushetsplikt. Det gis ingen fullstendig redegjørelse for pliktens innhold og omfang. Datatilsynet vil bemerke at eventuell utlevering av personopplysninger også må vurderes etter personopplysningslovens bestemmelser om behandlingsgrunnlag ( 8 og 9). Dette reflekteres ikke i undervisningsmaterialet. «Etikk og forventninger til medarbeidere» (vedlegg 9) 5 Innholdsfortegnelsen til dokumentasjon oversendt 19. juni 7

8 Dokumentet er en del av undervisningsmaterialet for intern opplæring av nyansatte. Dokumentet berører ikke selskapets konkrete plikter etter personopplysningsloven. Videre mener Datatilsynet at det uansett har formodningen mot seg at Gjensidige har implementert et velfungerende internkontrollsystem, på en slik måte at det ligger til grunn for selskapets faktiske behandling av personopplysninger. Det vises til at de manglene som er beskrevet i tilsynets kontrollrapport er omfattende, at det har gått kort tid siden tilsynets varsel om vedtak, og at Gjensidige er et selskap som etter sin art og størrelse erfaringsmessig vil ha behov for en lengre implementeringsperiode Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av lovens krav til internkontroll på kontrolltidspunktet. På dette punktet blir kontrollrapporten endelig. Datatilsynet tar til etterretning at Gjensidiges etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. Tilsynet vurderer sakens faktum slik at det fremdeles foreligger en rekke alvorlige mangler ved selskapets internkontroll, og at det derved er faktisk grunnlag for å fatte det vedtaket som er varslet. 3.2 Pålegg om rettslig grunnlag Datatilsynet varslet følgende pålegg: «Virksomheten må ikke behandle personopplysninger i større utstrekning eller på annen måte enn det er behandlingsgrunnlag for, jf personopplysningslovens 11a og 8 og 9.» Om samtykke til lydopptak ved utredningssamtaler I sitt tilsvar hevder selskapet at det innhentes samtykke til å ta opptak av utredningssamtalen. Datatilsynet tar dette til etterretning, men vil peke på at selskapets egne rutiner i dag åpner for at lydopptak også kan skje uten samtykke Om hvorvidt behandlingen har hjemmel i lov I Gjensidiges tilsvar anføres det at selskapet har klar hjemmel i lov for sin utredningsvirksomhet, idet det vises til forsikringsavtalelovens bestemmelser om opplysningsplikt for sikrede ( 8-1) og for den som vil fremme et krav ( 18-1). Selskapet legger i den forbindelse til grunn at det er snakk om ikke-sensitive opplysninger, som er offentlig tilgjengelige. Datatilsynet vil første bemerke at opplysninger som er ment å beskrive en persons medisinske funksjonsevne fort vil kunne være å anse som opplysninger om helseforhold, og derved sensitive etter personopplysningslovens 2 nr 8 bokstav c. Dette gjelder selv om den enkelte opplysning i seg selv ikke er å anse som sensitiv. Det er altså omstendighetene rundt 6 Retningslinjer for bruk av lydopptak ved samtaler i forbindelse med utredning av 13. desember 2011, pkt 3. 8

9 innhentingen, og formålet med behandlingen (å belyse noens helseforhold), som gjør at opplysningene blir sensitive. Dette betyr at det må søkes behandlingsgrunnlag både etter 8 og 9 i personopplysningsloven. Ved vurderingen av hvorvidt det foreligger hjemmel i lov må det også tas hensyn til at behandlingen har et kontrollformål. I henhold til det alminnelige legalitetsprinsippet medfører dette et skjerpet lovkrav. Datatilsynet er ikke enig med selskapet i at utredningsvirksomheten i sin helhet er hjemlet i lov. Det må anses åpenbart at nevnte bestemmelser i forsikringsavtaleloven kun regulerer opplysningsplikt, og ikke i seg selv etablerer noen rett for forsikringsselskapene til selv å hente inn og kontrollere opplysninger som er gitt i medhold av bestemmelsen. Til sammenligning viser Datatilsynet til at både Skatteetaten og NAV er gitt særskilt kompetanse til selv å hente inn og kontrollere de opplysningene som er nødvendige for å fastsette riktig oppgjør, jf ligningslovens 6-1 flg og folketrygdloven 21-4 flg. Dette til tross for at det foreligger lovbestemt opplysningsplikt for borgeren Om hvorvidt behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav Datatilsynet legger til grunn at forsikringsselskapers behandling av sensitive personopplysninger med det formål å fastsette korrekt oppgjør i et forsikringstilfelle etter sin art kan omfattes av dette alternativet. Bestemmelsen gir imidlertid anvisning på en skjønnsmessig forholdsmessighetsvurdering av tiltakets art og omfang, jf vilkåret om at behandlingen må være nødvendig. Den gir altså ikke hjemmel for ethvert tiltak som kan tenkes gjennomført for dette formålet. Særlig om selskapenes innhenting av helseopplysninger Forsikringsavtalelovens bestemmelser om innhenting av personopplysninger gir uttrykk for lovgivers avveining av personvernhensyn mot forsikringsselskapenes og forsikringsfellesskapets interesser, herunder behovet for å bekjempe og avdekke svik 7. Loven bygger på en klar forutsetning om at helseforhold skal belyses gjennom medisinske undersøkelser og erklæringer fra medisinskfaglig personell, og baseres på samtykke. Det legges altså opp til en ordning som sørger for at opplysningene som behandles har god kvalitet, at vurderingene som ligger til grunn er objektive, og at den registrerte gis kontroll med behandlingen. Deler av den utredningspraksisen som har utviklet seg i forsikringsbransjen bryter markant med forsikringsavtalelovens utgangspunkt og lovgivers antatt vilje. Datatilsynet vil bemerke at også opplysningenes antatte kvalitet må få betydning ved nødvendighetsvurderingen etter 9 litra e. Datatilsynet mener det er grunn til å stille spørsmål ved den medisinskfaglige kompetansen til selskapenes utredere, og i forlengelsen av dette på kvaliteten på de vurderingene og opplysningene som disse registrerer. Også lyd- og 7 NOU 2000:23 Forsikringsselskapers innhenting, lagring og bruk av helseopplysninger, særlig kapittel 6 9

10 bildeopptak kan etter tilsynets vurdering gi et misvisende bilde av helsetilstanden til den som observeres. Det vises til at selskapene beslutter både hvorvidt det skal gjøres lyd- og bildeopptak, når, hvor og hvordan det skal skje, og over hvor lang tid opptakene skal gjøres. Selskapet står også fritt til å slette opptak som allerede er gjort. Med bakgrunn i at det er den som fremmer et krav som har bevisbyrden for at kravet er rettmessig, og at forsikringsselskapet har hjemler i forsikringsavtaleloven til å innhente opplysninger for å belyse og prøve rettmessigheten av kravet, mener Datatilsynet at terskelen for å hente inn andre opplysninger, eller å hente inn opplysninger på en annen måte enn det forsikringsavtaleloven foreskriver, generelt må være svært høy. Mens bruk av åpne kilder (for eksempel søk på internett) antas å være tillatt i medhold av denne bestemmelsen vil bestemmelsen etter vårt syn ikke tjene som behandlingsgrunnlag for mer inngripende tiltak som skjult observasjon og skjult video- og lydopptak for å belyse helseforhold Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav til behandlingsgrunnlag. På dette punktet blir kontrollrapporten endelig. Datatilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. 3.3 Pålegg om å sikre nødvendighet, relevans og kvalitet Datatilsynet varslet følgende pålegg: «Virksomheten må ikke behandle personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen, eller som ikke har tilfredsstillende kvalitet, jf personopplysningslovens 11d og e». I Gjensidiges tilsvar anføres det at selskapet ikke behandler andre opplysninger enn de som er relevante og nødvendige i den enkelte saken, og som har god kvalitet. Innledningsvis vil Datatilsynet understreke at det ikke har tatt stilling til nødvendigheten og relevansen av de opplysningene som var registrert i de to enkeltsakene som det ble gitt innsyn i, og som har vært referert i pressen. Bakgrunnen for at disse opplysningene ble trukket frem i rapporten, var at tilsynet ønsket å illustrere detaljnivået i selskapets registreringer. Det er relevant i forbindelse med de forholdsmessighetsvurderingene som personopplysningsloven gir anvisning på. For ordens skyld vil Datatilsynet opplyse at det gjennom ordinær saksbehandling og veiledning har fått opplysninger om utredninger i Gjensidiges regi, som i tid og omfang er langt mer omfattende og inngripende enn de to sakene som ble gjennomgått under kontrollen. 10

11 For øvrig vil Datatilsynet vise til forsikringsavtalelovens system for innhenting av personopplysninger i forbindelse med både risikovurdering og tapsfastsettelse. Lovgiver har gjort en vurdering av hvilke opplysninger som er nødvendige og relevante, og hvordan det skal sikres at opplysningene har tilfredsstillende kvalitet for å nå formålet. Dette kan sies å skjerpe kravet til nødvendighet og relevans for enhver innhenting av opplysninger som går utover forsikringsavtalelovens system. I forlengelsen av dette vil Datatilsynet på det sterkeste avvise at selskapets praksis med å dokumentere sine funn ved hjelp av video og lydopptak styrker rettssikkerheten til den som observeres, slik selskapet anfører. Selskapet viser til at bruk av slike metoder medfører at det «ikke foregår noen siling eller fargelegging fra rapportskrivers side». Tilsynet viser her til at det er selskapet som beslutter både hvorvidt det skal gjøres opptak, når, hvor og hvordan det skal skje, og over hvor lang tid. Selskapet står også fritt til å slette opptak som allerede er gjort. Dette er tilstrekkelig til at opptakene kan gi et misvisende bilde av helsetilstanden den som observeres Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav til relevans, nødvendighet og kvalitet. På dette punktet blir kontrollrapporten endelig. Datatilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. 3.4 Sletting Datatilsynet varslet følgende pålegg: Virksomheten må slette personopplysninger når det opprinnelige formålet med behandlingen er oppnådd, dersom det ikke finnes behandlingsgrunnlag for videre oppbevaring, jf personopplysningslovens 11e jf 28. Det samme gjelder for personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen. Gjensidige anfører i sitt tilsvar at de, med noen unntak, hadde implementert sletterutiner på kontrolltidspunktet 14. mai. På kontrolltidspunktet var ikke slettinger i ESS implementert. Sletting i ESS skal håndteres som en konsekvens av sletting i systemet S2000. Dette var ikke implementert og kjent for Gjensidiges medarbeidere på kontrolltidspunktet. Gjensidige har i sitt brev beskrevet den planlagte sletterutinen i ESS. Datatilsynet ønsker å knytte noen kommentarer til denne. Sletting i utredersystemet ESS er basert på opphør av kundeforhold mellom kunde og Gjensidige. Lister med opphørte kundeforhold kommer fra S2000. Det framstår derfor som opplysninger i ESS kun slettes når kundeforholdet til den registrerte avsluttes. Slik Datatilsynet forstår det gjøres det ingen særskilt vurdering av behovet for oppbevaring av personopplysninger i ESS. Dette er ikke tilstrekkelig ut fra 11

12 regelverkets krav om at opplysninger skal slettes når de ikke lenger er nødvendig ut fra formålet, jf. personopplysningsloven 28. I Gjensidiges brev framstår det som sletting i ESS skal gjøres årlig. Lovens krav om at personopplysninger ikke skal oppbevares lenger enn det som er nødvendig, innebærer at det er en viss anledning til å oppbevare opplysninger i noe tid for å praktisk gjennomføre sletting. En rutine som gjennomfører sletting kun en gang i året må sies å gå langt ut over lovens krav om dette området Konklusjon Datatilsynet har gjort mindre endringer i kontrollrapportens beskrivelse av Gjensidiges sletterutiner. Dette har imidlertid ingen påvirkning på rapportens konklusjon. Datatilsynet opprettholder derfor sitt varslede vedtak på dette punktet. 3.5 Informasjon og innsyn Datatilsynet varslet følgende pålegg: Virksomheten må gi informasjon og innsyn i henhold til personopplysningslovens 18 flg Informasjon ved avtaleinngåelse Når det gjelder spørsmål om informasjonsplikt, viser selskapet til det standardiserte egenerklæringsskjemaet som er utarbeidet i et samarbeid mellom Datatilsynet og FNO. Det anføres at eventuelle behov for endringer i skjemaet bør avklares mellom disse. Til det vil Datatilsynet bemerke at informasjonsplikten påhviler det enkelte selskapet. Dersom den standardiserte informasjonen ikke gir et fullstendig bilde av selskapets behandlinger, må det avhjelpes gjennom at selskapet gir utfyllende informasjon på annen måte. Datatilsynet vil selvsagt stille seg til disposisjon for FNO, for å se nærmere på behovet for eventuelle endringer i egenerklæringsskjemaet Informasjon under eller etter en utredning I selskapets tilsvar opplyses det at det gis informasjon og innsyn til de registrerte om funn som er relevante i forbindelse med en sviksinnsigelse 8. Det er selskapet selv som vurderer hvilke opplysninger som er relevante. Datatilsynet leser av dette at det ikke gis informasjon og innsyn i saker hvor det ikke fremmes sviksinnsigeslse, og at det kun gis delvis informasjon og innsyn i saker hvor det fremmes slik innsigelse. Selskapet viser i den forbindelse til personopplysningslovens 23 første ledd litra e, hvoretter opplysninger som utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre, er unntatt fra informasjonsplikt og innsynsrett. 8 Tilsvarets pkt

13 Datatilsynet vil anbefale at selskapet i fremtiden praktisere dette unntaket med stor forsiktighet. For det første vises det til at bestemmelsen gjør unntak fra de mest sentrale personverninteressene, nemlig rett til informasjon og innsyn. Dernest vises det til at dette unntaket ikke er klart forankret i EUs personverndirektiv, jf dennes artikkel Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav om informasjon og innsyn. På dette punktet blir kontrollrapporten endelig. Tilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. 3.6 Databehandleravtaler Datatilsynet varslet følgende pålegg: Virksomheten må inngå databehandleravtaler med eksterne utredere, i tråd med personopplysningslovens 15. Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav om databehandleravtaler. På dette punktet blir kontrollrapporten endelig. Selskapet opplyser at det er inngått databehandleravtaler med alle eksterne utredere, pr 28. juni Datatilsynet legger derfor til grunn at avviket er lukket, og at det ikke er grunnlag for å gi det varslede pålegget. Datatilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre fremtidig etterlevelse av lovens krav Konklusjon Datatilsynet vil ikke fatte vedtak som tidligere varslet. 3.7 Risikovurderinger Datatilsynet varslet følgende pålegg: Virksomheten må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Det vises til tilsynsrapportens pkt Gjensidige anfører i sitt tilsvar at virksomheten har et omfattende rammeverk for gjennomføring av risikovurderinger for blant annet sin behandling av personopplysninger og at dette gjennomføres årlig for alle virksomhetsområder. De risikovurderinger Gjensidige beskriver i sitt tilsvar vurderes som svært overordnet og langt unna de berørte medarbeidere. 13

14 Det faktum at leder for utrederenheten ikke hadde vært involvert i, eller kjente til at det var gjennomført, risikovurderinger de siste 4 ½ år bekrefter at virksomheten ikke på tilfredsstillende måte har implementert lovens krav til risikovurderinger Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav om gjennomføring av risikovurderinger. På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder derfor sitt varslede vedtak på dette punktet. 3.8 Sikkerhetsrevisjon Datatilsynet varslet følgende pålegg: Virksomheten må etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises til tilsynsrapportens pkt I sitt tilsvar anfører Gjensidige at de gjennomfører ulike sikkerhetskontroller regelmessig. Det datatilsynet fikk oversendt i etterkant av kontrollen som eksempel på sikkerhetsrevisjon tilfredsstiller åpenbart ikke lovens krav til sikkerhetsrevisjon (se kontrollrapportens avsnitt 6.3.3). Datatilsynet har ikke mottatt noen dokumenter som gjør at situasjonen i Gjensidige hva gjelder sikkerhetsrevisjoner er annerledes enn slik det er beskrevet i kontrollrapporten. På dette punktet blir dermed kontrollrapporten endelig. Gjensidige anfører at de i etterkant av kontrollen har gjennomført en sikkerhetskontroll av utrederfunksjonen. Datatilsynet kan ikke se å ha mottatt dokumentasjon av denne kontrollen. Enkelte av konklusjonene av kontrollen er referert til i Gjensidiges brev, men dette er ikke tilstrekkelig til å vurdere Gjensidiges praksis på området. Datatilsynet kan derfor ikke konstatere at Gjensidige har lukket avviket i tiden etter den stedlige kontrollen Konklusjon På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder sitt varslede vedtak på dette punktet. 3.9 Avvik Datatilsynet varslet følgende pålegg: Virksomheten må etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-6. Det vises til tilsynsrapportens pkt Gjensidige anfører i sitt tilsvar at det fins bestemmelser om avvikshåndtering i dokumentet Konsernkrav informasjonssikkerhet og i sikkerhetserklæringen som alle ansatte skriver under på. Her framkommer blant annet at avvik skal meldes inn via en intranettside og/ eller en e- 14

15 postadresse (dette framstår som litt uklart for Datatilsynet ut fra Gjensidiges redegjørelse). Etter Datatilsynets syn er dette for overordnet og lite operasjonalisert ut fra hva man kan forvente av en virksomhet av Gjensidiges omfang. Det framkom også under kontrollen at deltakerne på kontrollen ikke kjente til avviksrutinene i virksomheten. Det framstår derfor som lite sannsynlig at avviksrutiner var implementert på kontrolltidspunktet. På dette punktet blir derfor kontrollrapporten endelig. Gjensidige besluttet i april å innføre en instruks for risikohendelser. Denne er ikke implementert. Gjensidige hevder denne er ment å implementere en ny og helhetlig prosess for avvikshåndtering. Datatilsynet stiller seg positiv til dette, men ettersom løsningen fortsatt ikke er implementert vil datatilsynet opprettholde sitt varslede vedtak på punktet Konklusjon På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder sitt varslede vedtak på dette punktet Lagring på filområder Datatilsynet varslet følgende pålegg: Virksomheten må etablere tilstrekkelig informasjonssikkerhet ved behandling av personopplysninger med behov for beskyttelse av konfidensialitet og integritet, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Dette omfatter personopplysninger som i dag lagres på filområde (rapporter, lydfiler, videofiler og annet). Det vises til tilsynsrapportens pkt Gjensidige anfører i sitt svarbrev at Datatilsynets beskrivelse av bruk av filområder gir inntrykk av at alle de omtalte filområdene er allment tilgjengelig i Gjensidige. Datatilsynet er ikke enig i at kontrollrapporten kan tolkes på denne måten. Datatilsynets kontrollrapport påpeker at filmappene mangler tilgangsstyring på et mer finmasket nivå, men har aldri hatt inntrykk av at samtlige ansatte i Gjensidige har hatt tilgang til opplysningene. Datatilsynet har likevel presisert dette punktet i kontrollrapporten. Gjensidige anfører også at ny løsning som er under etablering skal heve sikkerheten for opplysningene som behandles på disse filmappene ed hjelp av logging, kryptering og overvåkning. Datatilsynet er positive til disse tiltakene, men da kun i tillegg til en tilfredsstillende tilgangsstyring, ikke som erstatning for det Konklusjon På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder sitt varslede vedtak på dette punktet. 15

16 4 Varsel om tilbaketrekking av konsesjon Datatilsynet varslet om at tilsynet vil trekke tilbake sin konsesjon til forsikringsvirksomhet, gitt Gjensidige den 25. juli 2005, dersom ikke virksomheten innen fastsatt frist etterlever ovenstående pålegg. Datatilsynet viste til at konsesjonen ble gitt under forutsetning av at Gjensidige hadde implementert et internkontrollsystem i tråd med personopplysningslovens 14. Tilsynets kontroll viser imidlertid at det foreligger omfattende mangler ved internkontrollsystemet, og at konsesjonen derved bygger på uriktige, eventuelt bristende, faktiske forutsetninger. 4.1 Har Datatilsynet kompetanse til å trekke tilbake konsesjonen? Gjensidige anfører i sitt tilsvar at Datatilsynet ikke har kompetanse til å trekke tilbake en gitt konsesjon. Selskapet anfører i korte trekk at det å trekke konsesjonen er straffesanksjon som krever klar hjemmel i lov, og dernest at Datatilsynet mangler slik lovhjemmel 9. Det anføres at tilbaketrekking uansett er en uforholdsmessig reaksjon. Datatilsynet er enig i at det å trekke en tillatelse, som en reaksjon på lovstridige handlinger, etter omstendighetene kan være å anse som en straffesanksjon som krever hjemmel i lov. I dette tilfellet mener imidlertid Datatilsynet at det foreligger en tilblivelsesmangel ved konsesjonsvedtaket, som medfører at det blir ugyldig og derved kan gjøres om etter forvaltningslovens 35 første ledd litra c. Det vises til at Datatilsynets skjønnsutøvelse bygget på uriktige eller bristende faktiske forutsetninger om at internkontroll- og informasjonssikkehetsbestemmelsene var oppfylt på vedtakstidspunktet. Ved ugyldighetsvurderingen er det lagt til grunn at spørsmålet om hvorvidt det foreligger internkontroll og informasjonssikkerhet har avgjørende betydning for hvorvidt det utstedes en konsesjon eller ikke. Dette er lovhjemlede plikter, som Datatilsynet har svært begrenset kompetanse til å dispensere fra. Ugyldige vedtak kan i prinsippet omgjøres uten hensyn til hvor hardt dette rammer den som er begunstiget. Det er derved ikke relevant å vurdere hvorvidt tilbaketrekking er forholdsmessig i det konkrete tilfellet, slik selskapet anfører. Datatilsynet tillater seg også å peke på at tilsynet har klar hjemmel i personopplysningslovens 46 til å pålegge opphør av en ulovlig behandling - uten hensyn til om det i utgangspunktet foreligger et gyldig konsesjonsvedtak. Et slikt pålegg vil i praksis ha samme rettsvirkning for selskapet som et vedtak om tilbaketrekking av konsesjon. En behandling som finner sted uten at det er etablert internkontroll for behandlingen vil være en ulovlig behandling etter personopplysningsloven, og kan ligge til grunn for et pålegg om opphør dersom det er forholdsmessig. 9 Jf betenkning fra advokat Føyen, vedlagt Gjensidiges tilsvar 16

17 Datatilsynet fastholder etter dette at det har hjemmel til å trekke tilbake sin konsesjon av 25. juli Varsel om overtredelsesgebyr Datatilsynet varslet følgende vedtak: «Gjensidige Forsikring pålegges å betale et overtredelsesgebyr til statskassen, pålydende kr kroner seks hundre tusen, for å ha behandlet personopplysninger uten å etablere tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen.» I Gjensidiges tilsvar av 30. juli 2013 anføres det at Datatilsynet ikke kan ilegge overtredelsesgebyr for ved brudd på personopplysningslovens bestemmelser om internkontroll og informasjonssikkerhet (systempliktene). Det anføres videre at selskapet uansett har handlet i aktsomt god tro med hensyn til at de har opptrådt i tråd med personopplysningslovens bestemmelser. Endelig anføres det at gebyret er uforholdsmessig høyt. 5.1 Kan det ilegges overtredelsesgebyr for brudd på lovens systemplikter? I Gjensidiges tilsvar vises det til at Datatilsynets kontroll ikke avdekket at personopplysninger har kommet på avveier eller blitt misbrukt. Det anføres videre anfører at brudd på personopplysningslovens systemplikter ikke i seg medfører en krenkelse av de interessene som loven er satt til å verne. Internkontroll og informasjonssikkerhet er ifølge selskapet bare hjelpemidler som reduserer risikoen for at disse interessene krenkes. Innledningsvis vil Datatilsynet bemerke at det etter vår oppfatning ikke er grunnlag for å trekke en slutning om at Gjensidige ikke har krenket noens personverninteresser gjennom sin behandling av personopplysninger. Det vises til at det foreligger vesentlige mangler ved selskapets internkontroll, hvilket gjør det svært vanskelig å avdekke eventuelle andre lovbrudd i virksomheten også for Datatilsynet. Det kan i forlengelsen av dette anføres at internkontrollplikten medfører en omvendt bevisbyrde: det er den behandlingsansvarlige som gjennom en velfungerende internkontroll sannsynliggjør at virksomheten for øvrig opptrer i tråd med lovens bestemmelser. Dersom man legger til grunn Gjensidiges lovforståelse, vil den behandlingsansvarlige få et incitament til å la være å etablere internkontroll. Det må anses åpenbart at det ikke kan være lovgivers intensjon. Datatilsynet kan ikke se at adgangen til å ilegge overtredelsesgebyr etter personopplysningslovens 46 første ledd er begrenset til å gjelde brudd på lovens behandlingsregler, slik selskapet anfører. Det vises til at bestemmelsens første ledd etter sin ordlyd omfatter ethvert lov- og forskriftsbrudd, som ikke skyldes forhold utenfor foretakets kontroll. Dette omfatter også bestemmelsene om internkontroll og informasjonssikkerhet. At personvernkrenkelsens alvorlighetsgrad er uttrykkelig angitt å være et relevant moment ved 17

18 Datatilsynets skjønnsutøvelse, kan ikke forstås som et absolutt krav om at slike krenkelser må dokumenteres i det enkelte tilfellet. Manglende internkontroll medfører en økt risiko for at lovens øvrige bestemmelser brytes, på en slik måte at den enkeltes personvern krenkes, uten at dette enkelt avdekkes av virksomheten selv eller tilsynsmyndigheten. Datatilsynet mener derved at manglende internkontroll i seg selv er straffverdig, og etter omstendighetene kan resultere i et overtredelsesgebyr 10. Datatilsynet fastholder etter dette at det er adgang til å ilegge overtredelsesgebyr for brudd på personopplysningslovens bestemmelser om internkontroll og informasjonssikkerhet. 5.2 Datatilsynets vurderinger Skyldspørsmålet I Datatilsynets varsel om vedtak ble det lagt til grunn at selskapet opptrådte uaktsomt, idet det behandlet store mengder sensitive personopplysninger, uten å ha tilfredsstillende internkontroll. Gjensidige anfører i sitt tilsvar at selskapet var i aktsomt godt tro, idet det vises til Datatilsynets vurderinger i forbindelse med en kontroll som ble gjennomført i Datatilsynet vil bemerke at det i sitt varsel om vedtak har tatt høyde for eventuelle misforståelser som kan tilskrives tilsynets uttalelser i forbindelse med den forrige kontrollen, idet tilsynet konstaterte simpel uaktsomhet i dette tilfellet. Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger. Tilsynet fastholder at det må legges til grunn en svært streng aktsomhetsnorm for Gjensidige, og at selskapet i dette tilfellet har opptrådt uaktsomt Beviskrav Datatilsynet legger til grunn at et overtredelsesgebyr er å anse som straff etter den europeiske menneskerettighetskonvensjon artikkel 6. I tråd med Høyesteretts praksis (Rt 2012 s 1556 med videre henvisninger) legger tilsynet videre til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge overtredelsesgebyr. Saksforholdet og spørsmålet om overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet Utmåling Dette er det høyeste gebyret Datatilsynet har ilagt noen virksomhet, siden tilsynet ble gitt slik kompetanse i Gebyret er et uttrykk for hvor alvorlig Datatilsynet ser på de lovbruddene som er avdekket - herunder avvikenes størrelse, opplysningenes art og omfang, og det antall personer som rammes av lovbruddene. 10 I de tilfeller hvor manglende etterlevelse av lovens systemplikter beviselig har medført brudd på lovens øvrige bestemmelser (for eksempel utilsiktet utlevering av personopplysninger) har denne følgen i tilsynet praksis blitt ansett å være en skjerpende omstendighet. 18

19 Selv om gebyret er høyt, ligger det mer enn kroner under maksimumsbeløpet. Dette skyldes at tilsynet har tatt hensyn til at skyldgraden er simpel uaktsomhet, jf over. Det er også lagt vekt på at det ikke er avdekket at opplysninger har kommet på avveier eller blitt misbrukt. Sistnevnte vil gjerne være å anse som en skjerpende omstendighet ved utmålingen. Datatilsynet har endelig sett hen til virksomhetens økonomiske bæreevne, herunder at selskapet kan pulverisere det tapet som overtredelsesgebyret påfører dem. 5.3 Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av om det skal ilegges overtredelsesgebyr, og ved utmålingen av gebyret. Del II Datatilsynets vedtak Under henvisning til Datatilsynets varsel om vedtak av 17. juni 2013 og ovenstående kommentarer, og med hjemmel i personopplysningslovens 46 treffer Datatilsynet følgende vedtak: 1. Virksomheten må etablere og implementere internkontroll i samsvar med personopplysningsloven 14. Det vises til tilsynsrapportens pkt Virksomheten må ikke behandle personopplysninger i større utstrekning eller på annen måte enn det er behandlingsgrunnlag for, jf personopplysningslovens 11a og 8 og 9. Det vises til kontrollrapportens pkt Virksomheten må ikke behandle personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen, eller som ikke har tilfredsstillende kvalitet, jf personopplysningslovens 11d og e. Det vises til kontrollrapportens pkt Virksomheten må slette personopplysninger når det opprinnelige formålet med behandlingen er oppnådd, dersom det ikke finnes behandlingsgrunnlag for videre oppbevaring, jf personopplysningslovens 11e jf 28. Det samme gjelder for personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen. Det vises til kontrollrapporten pkt Virksomheten må gi informasjon og innsyn i henhold til personopplysningslovens 18 flg. Det vises til tilsynsrapportens pkt Virksomheten må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Det vises til tilsynsrapportens pkt

20 7. Virksomheten må etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises til tilsynsrapportens pkt Virksomheten må etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-6. Det vises til tilsynsrapportens pkt Virksomheten må etablere tilstrekkelig informasjonssikkerhet ved behandling av personopplysninger med behov for beskyttelse av konfidensialitet og integritet, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Dette omfatter personopplysninger som i dag lagres på filområde (rapporter, lydfiler, videofiler og annet). Det vises til tilsynsrapportens pkt Selskapet må innen 1. mars 2014 bekrefte skriftlig overfor Datatilsynet at påleggene som nevnt i punkt 1-9 er gjennomført. Manglende bekreftelse vil medføre at Datatilsynets konsesjon av 25. juli 2005 ikke lenger kan anses å være gyldig. 11. Selskapet pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner seks hundre tusen, for å ha behandlet personopplysninger uten å etablere tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens 47a. Del III Klageadgang Dette er et enkeltvedtak som kan påklages i henhold til forvaltningslovens bestemmelser om klage på enkeltvedtak. Eventuell klage må fremsettes for Datatilsynet innen tre uker etter mottak av dette brev. Med vennlig hilsen Bjørn Erik Thon direktør Cecilie Rønnevik fagdirektør Vedlegg: endelig kontrollrapport 20

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012 Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om

Detaljer

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Vardø kommune Postboks 292 9951 VARDØ Deres referanse Vår referanse Dato 08/11 14/00490-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Den 27.

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge Datatilsynet Se mottakerliste Unntatt ofientlighet: om 13jfr Fvl 13 nr 1 Deres referanse Vår referanse Dato 2016/1 l434/hesk 16/00824-8/TJU 24.10.2016 Pålegg om overtredelsesgebyr - Misbruk av kamerasystem

Detaljer

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar) 12/ /CBR Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig

Detaljer

Vedtak om pålegg - endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring ASA

Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring ASA Gjensidige Forsikring ASA Postboks 276 1326 LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00328-6/CBR 17. juni 2013 Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring

Detaljer

Forsikringselskaper adgang til etterforskning

Forsikringselskaper adgang til etterforskning Forsikringselskaper adgang til etterforskning Forum rettsinformatikk Foreningen for jus & EDB 03.09.2015 2 Saksbehandling / utredning Saksbehandling vs. Utredning 3 Tiltak Samtaler med kunder og andre

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune Askvoll kommune Postboks 174 6988 ASKVOLL Deres referanse Vår referanse Dato 16/00364-4/KBK 16.06.2016 Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune Det

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett Harstad kommune c/o Postmottak, Postboks 1000 9479 HARSTAD Deres referanse Vår referanse Dato 2016/143 / 041 16/00061-6/EOL 17.06.2016 Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013

Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013 Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013 Personvern Vern mot uforholdsmessige inngrep i den enkeltes private sfære, balansere

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG Miljøpartiet De Grønne Hausmannsgate 19 0182 OSLO Deres referanse Vår referanse Dato 16/01118-3/KBK 02.11.2016 Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013. Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr Protector Forsikring ASA Postboks 1351 Vika 0113 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00060-8/MHN 24. mai 2012 Endelig kontrollrapport for Protector Forsikring ASA - Vedtak

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter. SV - Sosialistisk Venstreparti - Personvernombudet Hagegata 22 0653 OSLO Deres referanse Vår referanse Dato 16/01248-3/KBK 02.11.2016 Varsel om vedtak om overtredelsesgebyr - Melding om avvik - Datainnbrudd

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning

Detaljer

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven Skattedirektoratet Postboks 9200 Grønland 0134 OSLO Deres ref Vår ref Dato 14/1258 SL JGA/MAV 04.02.2015 Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven Departementet

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR ) PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig

Detaljer

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken OSLO UNIVERSITETSSYKEHUS HF Postboks 4956 Nydalen 0424 OSLO Deres referanse Vår referanse Dato 2016/10950 15/01357-15/CGN 11.12.2017 Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger

Detaljer

Bransjenorm. Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel

Bransjenorm. Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel Bransjenorm Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel Finans Norge Enhet økonomisk kriminalitet 12.12.2014 Innholdsfortegnelse Om forsikringsselskapenes

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00328 Dato for kontroll: 14.05.2013 Rapportdato: 20.09.2013 Endelig kontrollrapport Kontrollobjekt: Gjensidige Forsikring ASA Sted: Lysaker Utarbeidet av: Marius Engh Pellerud Cecilie Rønnevik

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger

Detaljer

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Prosedyre for personvern

Prosedyre for personvern Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune

Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune Årdal kommune Statsråd Evensensveg 4 6885 ÅRDALSTANGEN Deres referanse Vår referanse Dato 16/189-23 16/00366-5/KBK 16.06.2016 Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger

Detaljer

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne

Detaljer

Webversjon av uttalelse i sak om trukket jobbtilbud grunnet alder

Webversjon av uttalelse i sak om trukket jobbtilbud grunnet alder Webversjon av uttalelse i sak om trukket jobbtilbud grunnet alder Likestillings- og diskrimineringsombudet viser til klage av 21. august 2007 fra A. A mener X AS (Selskapet) trakk tilbake et tilbud om

Detaljer

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger. Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

likestillings- og inkluderingsdepartementet

likestillings- og inkluderingsdepartementet Barne- likestillings- og inkluderingsdepartementet Postboks 8036 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/3288 12/00849-2/DIJ 15. november 2012 Dato Høring - Forslag til endringer

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR HVA ER VIKTIG FOR HR- DATA GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming

Detaljer

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Kommentarer til bestemmelser og temaer i vernepliktsforskriften Forsvarsdepartementet Postboks 8126 Dep 0032 OSLO Deres referanse Vår referanse Dato 2015/3350-7 16/01335-3/SDK 28.11.2016 Høringsuttalelse - Forslag til tre nye forskrifter til lov om verneplikt og tjeneste

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

ENDELIG TILSYNSRAPPORT

ENDELIG TILSYNSRAPPORT Kautokeino kommune ved rådmann Bredbuktsnesveien 6 9520 Kautokeino FYLKESMANNEN I FINNMARK FINNMÁRKKU FYLKKAMÁNNI ENDELIG TILSYNSRAPPORT Forvaltningskompetanse avgjørelser om særskilt tilrettelegging Kautokeino

Detaljer

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten Side 1 Innledning Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten 2018-10-22 Advokatfirmaet Judicium/Båtadvokaten behandler dine opplysninger når vi utfører oppdrag for deg. Alle opplysninger

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer