Gjensidige Forsikring ASA endelig kontrollrapport og vedtak
|
|
- Vegard Gjerde
- 8 år siden
- Visninger:
Transkript
1 Gjensidige Forsikring ASA Postboks LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /CBR 20. september 2013 Gjensidige Forsikring ASA endelig kontrollrapport og vedtak Det vises til Datatilsynets foreløpige kontrollrapport og varsel om vedtak av 17. juni 2013, og til selskapets tilsvar av 30. juli Dette brevet faller i tre hoveddeler. I del 1 gjennomgås selskapets tilsvar til Datatilsynets varsel om vedtak. Datatilsynet vedtak følger i del 2, og i del 3 gis en orientering om selskapets adgang til å klage på vedtakene. Datatilsynets endelige kontrollrapport følger vedlagt. Del I Selskapets tilsvar og Datatilsynets vurderinger I Datatilsynets varsel om vedtak ble det lagt til grunn at det forelå en rekke mangler ved Gjensidiges etterlevelse av personopplysningslovens bestemmelser om informasjonssikkerhet og internkontroll. Datatilsynet varslet både at det ville gi pålegg for å bringe behandlingen i lovlige former, og at det ville ilegge overtredelsesgebyr for lovbruddene. Tilsynet varsel også at det ville trekke tilbake selskapets konsesjon for behandling av personopplysninger, dersom tilsynets pålegg ikke ble iverksatt innen en nærmere fastsatt frist. 1. Om personopplysningslovens saklige virkeområde I Datatilsynets har lagt til grunn at personopplysningslovens bestemmelser gjelder for selskapets utredningsvirksomhet i sin helhet, jf personopplysningslovens 3 første ledd. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:
2 1.1. Særlig om videofilming I selskapets tilsvar anføres det at «selve gjennomføring av observasjon og videofilming med håndholdt kamera, samt lydopptak, i seg selv faller utenfor personopplysningsloven. Dette er i motsetning til fastmonterte kamera, som er regulert i personopplysningsloven.» 1 Datatilsynet er ikke enig i selskapets lovtolkning. Hvorvidt et kamera er fastmontert eller håndholdt er etter tilsynets oppfatning uten betydning ved vurderingen av om videofilmingen faller innenfor eller utenfor personopplysningslovens virkeområde henhold til personopplysningslovens 3. Dette er først relevant ved vurderingen av om behandlingen omfattes av de skjerpede bestemmelsene i personopplysningslovens kapittel 7 om kameraovervåkning, jf personopplysningslovens 36. At de alminnelige bestemmelsene i personopplysningsloven kan komme til anvendelse for håndholdte kameraer (videofilming) er etter tilsynets vurdering ikke tvilsomt. Det er lagt til grunn i langvarig og fast forvaltningspraksis ved Datatilsynet, og av Justisdepartementet så sent som i Departementet uttalte da at «selv om bruk av mobile/håndholdte kameraer ikke faller inn under reglene for kameraovervåkning, så vil det like fullt kunne være tale om en behandling som er omfattet av personopplysningslovens alminnelige regler» Datatilsynets vurderinger av lovens virkeområde For både videofilming, lydopptak og andre behandlinger, er det avgjørende hvorvidt behandlingen enten «helt eller delvis skjer ved bruk av elektroniske hjelpemidler», eller om opplysningene «inngår eller skal inngå i et personregister», jf personopplysningslovens 3 første ledd Behandlingsbegrepet Datatilsynet vil bemerke at det kan anføres at hele utredningsprosessen er å anse som èn behandling, hvor det endelige formålet er blant annet å avdekke svik. Da Gjensidige benytter elektroniske saksbehandlingssystemer i deler av denne behandlingen, kan det videre anføres at loven derved kommer til anvendelse på alle de andre delbehandlingene (videofilming, nedtegnelser og lydopptak mv), jf 3 første ledd bokstav a Gjennomføring av observasjon - nedtegnelser I forbindelse med en (skjult) observasjon utarbeides det løpende en skriftlig rapport, hvor det nedtegnes personopplysninger (sted, tid, den observertes bevegelser mv). Dersom dette gjøres ved hjelp av for eksempel en laptop, vil nedtegnelsene isolert innebære en behandling av personopplysninger med elektroniske hjelpemidler, som gjør at loven uansett kommer til anvendelse for nedtegnelsene og den videre behandlingen av disse, jf 3 første ledd bokstav a. 1 Tilsvarets pkt Prop 47 L ( ) pkt
3 Dersom nedtegnelsene gjøres uten bruk av elektroniske hjelpemidler, skjer det etter tilsynets vurdering en manuell behandling av opplysninger som senere «skal inngå i et personregister». Det vises til at selskapets saksbehandlingssystemer og arkiver er innrettet slik at enkeltpersoner enkelt kan gjenfinnes, og derved er å anse som personregistre i personopplysningslovens forstand. Det gjør at loven uansett kommer til anvendelse for nedtegnelsene og den videre behandlingen av disse, jf 3 første ledd bokstav a Lydopptak og videofilming Også lydopptak og videofilmer (herunder stillbilder) fra utredningssamtaler og observasjoner blir registrert inn i den aktuelle saken i Gjensidiges elektroniske saksbehandlingssystem. Uavhengig av om hjelpemidlene er elektroniske, og uavhengig av om de er håndholdte, innebærer dette at opplysningene som innhentes «skal inngå i et personregister». Det vises til at selskapets saksbehandlingssystemer og arkiver er innrettet slik at enkeltpersoner enkelt kan gjenfinnes, og derved er å anse som personregistre. Dette gjør at loven uansett kommer til anvendelse for selve filmingen og lydopptaket, og den videre behandlingen av disse, jf 3 første ledd bokstav a Konklusjon Datatilsynet legger fremdeles til grunn at personopplysningslovens bestemmelser kommer til anvendelse fra det øyeblikket det nedtegnes personopplysninger i forbindelse med observasjon, og fra det øyeblikk det iverksettes lydopptak eller videofilming i forbindelse med observasjon eller utredningssamtaler. Foreløpig kontrollrapport blir endelig på dette punktet. Ren visuell observasjon, uten at det registreres opplysninger som beskrevet ovenfor, er ikke omfattet av personopplysningslovens virkeområde. Det at opplysningene som behandles er hentet inn ved bruk av et så inngripende tiltak som skjult observasjon etter forholdene kan være, vil imidlertid få betydning ved vurderingen av om innhentingen og den videre behandlingen er forholdsmessig og nødvendig (jf personopplysningslovens 11). Datatilsynet gjør oppmerksom på at skjult observasjon etter omstendighetene kan rammes av straffelovens 390 a. 2 Om sakens opplysning særlig om systempliktene I henhold til personopplysningsloven 14 skal virksomhetens internkontrolltiltak være dokumentert, og dokumentasjonen skal kunne fremlegges Datatilsynet på forespørsel. Det samme gjelder for selskapets tiltak vedrørende informasjonssikkerhet, jf lovens 13. Det er altså den behandlingsansvarlige som kan sies å ha bevisbyrden for at det foreligger et internkontrollsystem og tilfredsstillende informasjonssikkerhet ved behandlingen. Manglende dokumentasjon gir i seg selv grunnlag for at tilsynsmyndigheten kan konkludere med at disse pliktene er brutt. 3
4 Gjensidige hevder i sitt tilsvar av 30. juli 2013 at det forelå et internkontrollsystem og tilfredsstillende informasjonssikkerhet allerede på kontrolltidspunktet, knyttet både til utredningsvirksomheten og selskapets øvrige behandling av personopplysninger i forbindelse med forsikringsvirksomhet. Selskapet hevder imidlertid at Datatilsynets kontroll ble mer omfattende enn hva tilsynet hadde forhåndsvarslet, og at selskapet derfor ikke var forberedt på å dokumentere internkontrollsystemet og informasjonssikkerheten for sin behandling av personopplysninger i sin helhet. Dette skal ha vanskeliggjort kontrollen for selskapets del, og ha medført at saken er dårlig opplyst. I forlengelse av dette anfører Gjensidige at Datatilsynet mangler grunnlag for å generalisere de funn som er gjort vedrørende undersøkelsesvirksomheten til å gjelde hele forsikringsvirksomheten. Til dette vil Datatilsynet først bemerke at dets skriftlige varsel om kontroll av 17. april 2013 ikke avgrenset kontrollen til kun å gjelde utredningsvirksomhet. Det vises særlig til følgende avsnitt: «Formålet med kontrollen er å vurdere virksomhetens behandling av personopplysninger i forhold til de krav som personopplysningsloven med forskrifter oppstiller, særlig slik behandling som skjer i forbindelse med at virksomheten foretar undersøkelser for å avdekke forsikringssvindel. Det gjøres imidlertid oppmerksom på at også andre forhold knyttet til virksomhetens behandling av personopplysninger vil kunne bli berørt under kontrollen.» (Vår utheving) Datatilsynet vil også bemerke at kontrollens omfang uansett ble klart under møtet den 14. mai Tilsynet mener at selskapet burde kunne dokumentere at disse pliktene var oppfylt allerede under møtet, eller innen kort tid etter møtet. Det vises til at selskapet var representert med personer som i kraft av sine stillinger burde være særlig godt kjent med selskapets internkontrollsystem og informasjonssikkerhet tilknyttet all behandling av personopplysninger i virksomheten. Det vises også til at et velfungerende internkontrollsystem forutsetter at alle rutiner og øvrig dokumentasjon uansett skal være enkelt tilgjengelig for alle ansatte i virksomheten (typisk gjennom et intranett eller lignende). Endelig vil tilsynet bemerke at selskapet også etter møtet hadde full adgang til å fremlegge ytterligere dokumentasjon og redegjørelser for forhold som eventuelt ikke var forberedt til møtet, jf også Datatilsynets epost til selskapet av 15. mai Datatilsynet mener etter dette at selskapet har hatt god anledning til å dokumentere hele sitt internkontrollsystem og informasjonssikkerheten, før den foreløpige kontrollrapporten ble utarbeidet. Dette gjelder også for de behandlinger som går utover utredningsvirksomheten. Tilsynet mener derved at det var forsvarlig å basere sitt varsel på de dokumenter som ble fremlagt, og de redegjørelsene som ble gitt, i perioden 17. april til 17. juni Etter Datatilsynets varsel om vedtak av 17. juni 2013 har selskapet oversendt ytterligere dokumentasjon og redegjørelser for sin etterlevelse av internkontroll- og informasjonssikkerhetsbestemmelsene for forsikringsvirksomheten som sådan. Slik 4
5 dokumentasjon ble oversendt etter at selskapet mottok tilsynets varsel den 18. juni 2013, og i forbindelse med selskapets endelig tilsvar av 30. juli Samtidig ble en fullstendig oversikt over de relevante dokumentene oversendt. Dersom tilsynet finner det sannsynliggjort at pliktene var tilfredsstillende ivaretatt allerede på kontrolltidspunktet, vil det kunne medføre endringer i tilsynets kontrollrapport og få betydning for spørsmålet om overtredelsesgebyr. Dersom selskapet dokumenterer at pliktene er oppfylt på vedtakstidspunktet, vil det få betydning for tilsynets pålegg om retting og for spørsmålet om tilbaketrekking av selskapets konsesjon (jf også Datatilsynets epost av 15. mai 2013 om dette). 3 Vedrørende de varslede pålegg 3.1 Pålegg om å etablere internkontroll Datatilsynet varslet følgende pålegg: «Virksomheten må etablere og implementere internkontroll i samsvar med personopplysningsloven 14.» I Gjensidiges tilsvar av 31. juli anføres det at Datatilsynet her bygger på et uriktig faktum. Selskapet hevder at det var implementert et tilfredsstillende internkontrollsystem allerede på kontrolltidspunktet, for behandling av personopplysninger i forbindelse med forsikringsvirksomhet generelt og i forbindelse med utredningsvirksomhet særskilt. Selskapet har allikevel gjort enkelte endringer i de rutiner og dokumentasjon som ble fremlagt i forbindelse med tilsynet Nærmere om internkontrollplikten Personopplysningsloven har som (del)formål å ansvarliggjøre virksomheter for dets behandling av personopplysninger. Loven regulerer ikke bare hvem som er behandlingsansvarlig, men gir også nærmere pålegg om hvordan behandlingsansvaret skal ivaretas. Plikten til å etablere internkontroll er et slikt pålegg: Gjennom planlagte og systematiske tiltak skal den behandlingsansvarlige sette seg selv i stand til å sikre, kontrollere og dokumentere at virksomheten til enhver tid etterlever personopplysningslovens øvrige bestemmelser. Et internkontrollsystem skal tilpasses den enkelte virksomhet, utfra dennes art og størrelse og behandlingen(e)s art og omfang, jf personopplysningsforskriftens 3-1. Internkontrollplikten innebærer at den behandlingsansvarlige skal ha kjennskap til gjeldende regler om behandling av personopplysninger, og dokumenterte rutiner for oppfyllelse av plikter og rettigheter etter personopplysningsregelverket. Internkontrollplikten er først overholdt når de dokumenterte rutinene er implementert, slik at de også i praksis ligger til grunn for virksomhetens behandling av personopplysninger. 5
6 For et forsikringsselskap av Gjensidiges art og størrelse må det forventes at det er etablert et omfattende internkontrollsystem for behandling av personopplysninger, og at dokumentasjonen på dette er lett tilgjengelig både for de ansatte i virksomheten og for Datatilsynets medarbeidere På kontrolltidspunktet Datatilsynet finner det ikke dokumentert at selskapet hadde implementert et tilfredsstillende internkontrollsystem på kontrolltidspunktet. Datatilsynet mener at det må kunne forventes at selskapet var i stand til å dokumentere internkontrollen i sin helhet, allerede før kontrollmøtet og senest innen kort tid etter dette møtet. Selskapet beskriver da også selv at «alle medarbeidere har lett tilgang til styrende dokumenter og rutinebeskrivelser på selskapets intranett (VIS)» 3. Da selskapets ansatte (herunder de som representerte ledelsen) allikevel ikke hadde oversikt over alle dokumentene på kontrolltidspunktet, kan det vanskelig legges til grunn at de rutiner som beskrives der var implementert i virksomheten. Det skal opplyses at tilsynets ansatte gjentatte ganger spurte uttrykkelig om det forelå annen dokumentasjon for internkontroll enn de som allerede var fremlagt, og som ble avtalt fremlagt straks setter møtet, og at dette ble besvart avkreftende av selskapets representanter. Det var også bakgrunnen for at Datatilsynets representanter under oppsummeringen av møtet uttrykte at de så svært alvorlig på manglende dokumentasjon, og varslet at det ville kunne få betydning for selskapets konsesjon. Dette måtte uansett ses som en klar oppfordring til selskapet om snarest å legge frem all eksisterende dokumentasjon. At selskapet har gjennomført en kartlegging og utarbeidet en oversikt over all dokumentasjon knyttet til etterlevelse av personopplysningsloven først i forbindelse med sitt tilsvar av 29. juli forsterker inntrykket av at selskapet manglet nødvendig oversikt den 14. mai Det har for øvrig ikke fremkommet merknader til tilsynets vurderinger av de enkeltdokumentene som var fremlagt før varslingstidspunktet, som medfører endringer i tilsynets konklusjoner vedrørende disse. Datatilsynet fastholder etter dette at selskapet internkontrollsystem var mangelfullt på kontrolltidspunktet. Foreløpig kontrollrapport blir derved endelig vedrørende dette På vedtakstidspunktet Flere av de dokumentene som selskapet bygger sitt tilsvar på ble fremlagt først etter at tilsynet oversendte sitt varsel om vedtak (hhv 19. juni og 29. juli 2013). Selskapet har også etablert nye tiltak og endret på enkelte rutiner, i tråd med Datatilsynets varsel om vedtak. Datatilsynet ser det som positivt at selskapet har begynt arbeidet med å forbedre sin internkontroll. Dette er allikevel ikke tilstrekkelig for at Datatilsynet anser at internkontrollplikten nå er oppfylt. 3 Tilsvarets pkt Vedlegg 2 til tilsvaret 6
7 For det første mener Datatilsynet at den dokumentasjonen som er lagt frem for tilsynet ikke tilfredsstillende dokumenterer at personopplysningslovens krav er oppfylt. Her vises det både til at selskapet selv uttaler at dokumentasjonen (fremdeles) ikke er uttømmende 5, og til den fremlagte dokumentasjonens form og innhold. Det er en forutsetning for tilfredsstillende internkontroll at den behandlingsansvarlige identifiserer alle de ulike behandlingene som virksomheten svarer for. En oversikt over behandlingene danner gjerne utgangspunktet for rutinene som skal utarbeides etter personopplysningsforskriftens 3-1 tredje ledd. En slik oversikt mangler i det materialet som er oversendt Datatilsynet. Flere av dokumentene som ble fremlagt den 19. juni 2013 samsvarte med de dokumentene som allerede var fremlagt og vurdert i tilsynets foreløpige kontrollrapport, og er derfor ikke egnet til å kaste nytt lys over saken. Dette gjelder vedleggene 2, 4, 16, og 17. Generelt skal det bemerkes at den oversendte dokumentsamlingen fremstår å være svært fragmentert, og at det mangler en systematikk og en indre sammenheng mellom de ulike dokumentene som normalt forventes av et velfungerende internkontrollsystem. Særlig mener tilsynet at det foreligger manglende dokumentasjon av kontrollerende tiltak og rutiner for avvikshåndtering. Enkelte av dokumentene fremstår helt løsrevet fra en større sammeneheng. Det gjelder særlig: «Håndtering av kunder med fortrolig adresse» (vedlegg 14) Dokumentene benevnt som Rutine 1 4 (vedlegg 18 21) «Rutine for innhenting og skanning av straffesaksdokumenter/politidokumenter» (vedlegg 29). Mange av dokumentene anses å være lite relevante for selskapets etterlevelse av personopplysningsloven. Dette gjelder: «Policy for risikostyring og internkontroll» (vedlegg 3) Dokumentet knytter seg kun til etterlevelse av verdipapirforskriften og kapitalkravsforskriften, og er ikke relevant for etterlevelse av personopplysningsloven «Etiske regler for Gjensidige» (vedlegg 5) Dokumentet inneholder i svært liten grad bestemmelser av betydning for de ansattes behandling av personopplysninger «Kundeombudet Klagehåndtering i Gjensidige» (vedlegg 7) Dokumentet er en del av undervisningsmaterialet for den interne salgsskolen. Her berøres kort enkelte spørsmål knyttet til forsikringsavtalelovens bestemmelser om taushetsplikt. Det gis ingen fullstendig redegjørelse for pliktens innhold og omfang. Datatilsynet vil bemerke at eventuell utlevering av personopplysninger også må vurderes etter personopplysningslovens bestemmelser om behandlingsgrunnlag ( 8 og 9). Dette reflekteres ikke i undervisningsmaterialet. «Etikk og forventninger til medarbeidere» (vedlegg 9) 5 Innholdsfortegnelsen til dokumentasjon oversendt 19. juni 7
8 Dokumentet er en del av undervisningsmaterialet for intern opplæring av nyansatte. Dokumentet berører ikke selskapets konkrete plikter etter personopplysningsloven. Videre mener Datatilsynet at det uansett har formodningen mot seg at Gjensidige har implementert et velfungerende internkontrollsystem, på en slik måte at det ligger til grunn for selskapets faktiske behandling av personopplysninger. Det vises til at de manglene som er beskrevet i tilsynets kontrollrapport er omfattende, at det har gått kort tid siden tilsynets varsel om vedtak, og at Gjensidige er et selskap som etter sin art og størrelse erfaringsmessig vil ha behov for en lengre implementeringsperiode Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av lovens krav til internkontroll på kontrolltidspunktet. På dette punktet blir kontrollrapporten endelig. Datatilsynet tar til etterretning at Gjensidiges etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. Tilsynet vurderer sakens faktum slik at det fremdeles foreligger en rekke alvorlige mangler ved selskapets internkontroll, og at det derved er faktisk grunnlag for å fatte det vedtaket som er varslet. 3.2 Pålegg om rettslig grunnlag Datatilsynet varslet følgende pålegg: «Virksomheten må ikke behandle personopplysninger i større utstrekning eller på annen måte enn det er behandlingsgrunnlag for, jf personopplysningslovens 11a og 8 og 9.» Om samtykke til lydopptak ved utredningssamtaler I sitt tilsvar hevder selskapet at det innhentes samtykke til å ta opptak av utredningssamtalen. Datatilsynet tar dette til etterretning, men vil peke på at selskapets egne rutiner i dag åpner for at lydopptak også kan skje uten samtykke Om hvorvidt behandlingen har hjemmel i lov I Gjensidiges tilsvar anføres det at selskapet har klar hjemmel i lov for sin utredningsvirksomhet, idet det vises til forsikringsavtalelovens bestemmelser om opplysningsplikt for sikrede ( 8-1) og for den som vil fremme et krav ( 18-1). Selskapet legger i den forbindelse til grunn at det er snakk om ikke-sensitive opplysninger, som er offentlig tilgjengelige. Datatilsynet vil første bemerke at opplysninger som er ment å beskrive en persons medisinske funksjonsevne fort vil kunne være å anse som opplysninger om helseforhold, og derved sensitive etter personopplysningslovens 2 nr 8 bokstav c. Dette gjelder selv om den enkelte opplysning i seg selv ikke er å anse som sensitiv. Det er altså omstendighetene rundt 6 Retningslinjer for bruk av lydopptak ved samtaler i forbindelse med utredning av 13. desember 2011, pkt 3. 8
9 innhentingen, og formålet med behandlingen (å belyse noens helseforhold), som gjør at opplysningene blir sensitive. Dette betyr at det må søkes behandlingsgrunnlag både etter 8 og 9 i personopplysningsloven. Ved vurderingen av hvorvidt det foreligger hjemmel i lov må det også tas hensyn til at behandlingen har et kontrollformål. I henhold til det alminnelige legalitetsprinsippet medfører dette et skjerpet lovkrav. Datatilsynet er ikke enig med selskapet i at utredningsvirksomheten i sin helhet er hjemlet i lov. Det må anses åpenbart at nevnte bestemmelser i forsikringsavtaleloven kun regulerer opplysningsplikt, og ikke i seg selv etablerer noen rett for forsikringsselskapene til selv å hente inn og kontrollere opplysninger som er gitt i medhold av bestemmelsen. Til sammenligning viser Datatilsynet til at både Skatteetaten og NAV er gitt særskilt kompetanse til selv å hente inn og kontrollere de opplysningene som er nødvendige for å fastsette riktig oppgjør, jf ligningslovens 6-1 flg og folketrygdloven 21-4 flg. Dette til tross for at det foreligger lovbestemt opplysningsplikt for borgeren Om hvorvidt behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav Datatilsynet legger til grunn at forsikringsselskapers behandling av sensitive personopplysninger med det formål å fastsette korrekt oppgjør i et forsikringstilfelle etter sin art kan omfattes av dette alternativet. Bestemmelsen gir imidlertid anvisning på en skjønnsmessig forholdsmessighetsvurdering av tiltakets art og omfang, jf vilkåret om at behandlingen må være nødvendig. Den gir altså ikke hjemmel for ethvert tiltak som kan tenkes gjennomført for dette formålet. Særlig om selskapenes innhenting av helseopplysninger Forsikringsavtalelovens bestemmelser om innhenting av personopplysninger gir uttrykk for lovgivers avveining av personvernhensyn mot forsikringsselskapenes og forsikringsfellesskapets interesser, herunder behovet for å bekjempe og avdekke svik 7. Loven bygger på en klar forutsetning om at helseforhold skal belyses gjennom medisinske undersøkelser og erklæringer fra medisinskfaglig personell, og baseres på samtykke. Det legges altså opp til en ordning som sørger for at opplysningene som behandles har god kvalitet, at vurderingene som ligger til grunn er objektive, og at den registrerte gis kontroll med behandlingen. Deler av den utredningspraksisen som har utviklet seg i forsikringsbransjen bryter markant med forsikringsavtalelovens utgangspunkt og lovgivers antatt vilje. Datatilsynet vil bemerke at også opplysningenes antatte kvalitet må få betydning ved nødvendighetsvurderingen etter 9 litra e. Datatilsynet mener det er grunn til å stille spørsmål ved den medisinskfaglige kompetansen til selskapenes utredere, og i forlengelsen av dette på kvaliteten på de vurderingene og opplysningene som disse registrerer. Også lyd- og 7 NOU 2000:23 Forsikringsselskapers innhenting, lagring og bruk av helseopplysninger, særlig kapittel 6 9
10 bildeopptak kan etter tilsynets vurdering gi et misvisende bilde av helsetilstanden til den som observeres. Det vises til at selskapene beslutter både hvorvidt det skal gjøres lyd- og bildeopptak, når, hvor og hvordan det skal skje, og over hvor lang tid opptakene skal gjøres. Selskapet står også fritt til å slette opptak som allerede er gjort. Med bakgrunn i at det er den som fremmer et krav som har bevisbyrden for at kravet er rettmessig, og at forsikringsselskapet har hjemler i forsikringsavtaleloven til å innhente opplysninger for å belyse og prøve rettmessigheten av kravet, mener Datatilsynet at terskelen for å hente inn andre opplysninger, eller å hente inn opplysninger på en annen måte enn det forsikringsavtaleloven foreskriver, generelt må være svært høy. Mens bruk av åpne kilder (for eksempel søk på internett) antas å være tillatt i medhold av denne bestemmelsen vil bestemmelsen etter vårt syn ikke tjene som behandlingsgrunnlag for mer inngripende tiltak som skjult observasjon og skjult video- og lydopptak for å belyse helseforhold Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav til behandlingsgrunnlag. På dette punktet blir kontrollrapporten endelig. Datatilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. 3.3 Pålegg om å sikre nødvendighet, relevans og kvalitet Datatilsynet varslet følgende pålegg: «Virksomheten må ikke behandle personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen, eller som ikke har tilfredsstillende kvalitet, jf personopplysningslovens 11d og e». I Gjensidiges tilsvar anføres det at selskapet ikke behandler andre opplysninger enn de som er relevante og nødvendige i den enkelte saken, og som har god kvalitet. Innledningsvis vil Datatilsynet understreke at det ikke har tatt stilling til nødvendigheten og relevansen av de opplysningene som var registrert i de to enkeltsakene som det ble gitt innsyn i, og som har vært referert i pressen. Bakgrunnen for at disse opplysningene ble trukket frem i rapporten, var at tilsynet ønsket å illustrere detaljnivået i selskapets registreringer. Det er relevant i forbindelse med de forholdsmessighetsvurderingene som personopplysningsloven gir anvisning på. For ordens skyld vil Datatilsynet opplyse at det gjennom ordinær saksbehandling og veiledning har fått opplysninger om utredninger i Gjensidiges regi, som i tid og omfang er langt mer omfattende og inngripende enn de to sakene som ble gjennomgått under kontrollen. 10
11 For øvrig vil Datatilsynet vise til forsikringsavtalelovens system for innhenting av personopplysninger i forbindelse med både risikovurdering og tapsfastsettelse. Lovgiver har gjort en vurdering av hvilke opplysninger som er nødvendige og relevante, og hvordan det skal sikres at opplysningene har tilfredsstillende kvalitet for å nå formålet. Dette kan sies å skjerpe kravet til nødvendighet og relevans for enhver innhenting av opplysninger som går utover forsikringsavtalelovens system. I forlengelsen av dette vil Datatilsynet på det sterkeste avvise at selskapets praksis med å dokumentere sine funn ved hjelp av video og lydopptak styrker rettssikkerheten til den som observeres, slik selskapet anfører. Selskapet viser til at bruk av slike metoder medfører at det «ikke foregår noen siling eller fargelegging fra rapportskrivers side». Tilsynet viser her til at det er selskapet som beslutter både hvorvidt det skal gjøres opptak, når, hvor og hvordan det skal skje, og over hvor lang tid. Selskapet står også fritt til å slette opptak som allerede er gjort. Dette er tilstrekkelig til at opptakene kan gi et misvisende bilde av helsetilstanden den som observeres Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav til relevans, nødvendighet og kvalitet. På dette punktet blir kontrollrapporten endelig. Datatilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. 3.4 Sletting Datatilsynet varslet følgende pålegg: Virksomheten må slette personopplysninger når det opprinnelige formålet med behandlingen er oppnådd, dersom det ikke finnes behandlingsgrunnlag for videre oppbevaring, jf personopplysningslovens 11e jf 28. Det samme gjelder for personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen. Gjensidige anfører i sitt tilsvar at de, med noen unntak, hadde implementert sletterutiner på kontrolltidspunktet 14. mai. På kontrolltidspunktet var ikke slettinger i ESS implementert. Sletting i ESS skal håndteres som en konsekvens av sletting i systemet S2000. Dette var ikke implementert og kjent for Gjensidiges medarbeidere på kontrolltidspunktet. Gjensidige har i sitt brev beskrevet den planlagte sletterutinen i ESS. Datatilsynet ønsker å knytte noen kommentarer til denne. Sletting i utredersystemet ESS er basert på opphør av kundeforhold mellom kunde og Gjensidige. Lister med opphørte kundeforhold kommer fra S2000. Det framstår derfor som opplysninger i ESS kun slettes når kundeforholdet til den registrerte avsluttes. Slik Datatilsynet forstår det gjøres det ingen særskilt vurdering av behovet for oppbevaring av personopplysninger i ESS. Dette er ikke tilstrekkelig ut fra 11
12 regelverkets krav om at opplysninger skal slettes når de ikke lenger er nødvendig ut fra formålet, jf. personopplysningsloven 28. I Gjensidiges brev framstår det som sletting i ESS skal gjøres årlig. Lovens krav om at personopplysninger ikke skal oppbevares lenger enn det som er nødvendig, innebærer at det er en viss anledning til å oppbevare opplysninger i noe tid for å praktisk gjennomføre sletting. En rutine som gjennomfører sletting kun en gang i året må sies å gå langt ut over lovens krav om dette området Konklusjon Datatilsynet har gjort mindre endringer i kontrollrapportens beskrivelse av Gjensidiges sletterutiner. Dette har imidlertid ingen påvirkning på rapportens konklusjon. Datatilsynet opprettholder derfor sitt varslede vedtak på dette punktet. 3.5 Informasjon og innsyn Datatilsynet varslet følgende pålegg: Virksomheten må gi informasjon og innsyn i henhold til personopplysningslovens 18 flg Informasjon ved avtaleinngåelse Når det gjelder spørsmål om informasjonsplikt, viser selskapet til det standardiserte egenerklæringsskjemaet som er utarbeidet i et samarbeid mellom Datatilsynet og FNO. Det anføres at eventuelle behov for endringer i skjemaet bør avklares mellom disse. Til det vil Datatilsynet bemerke at informasjonsplikten påhviler det enkelte selskapet. Dersom den standardiserte informasjonen ikke gir et fullstendig bilde av selskapets behandlinger, må det avhjelpes gjennom at selskapet gir utfyllende informasjon på annen måte. Datatilsynet vil selvsagt stille seg til disposisjon for FNO, for å se nærmere på behovet for eventuelle endringer i egenerklæringsskjemaet Informasjon under eller etter en utredning I selskapets tilsvar opplyses det at det gis informasjon og innsyn til de registrerte om funn som er relevante i forbindelse med en sviksinnsigelse 8. Det er selskapet selv som vurderer hvilke opplysninger som er relevante. Datatilsynet leser av dette at det ikke gis informasjon og innsyn i saker hvor det ikke fremmes sviksinnsigeslse, og at det kun gis delvis informasjon og innsyn i saker hvor det fremmes slik innsigelse. Selskapet viser i den forbindelse til personopplysningslovens 23 første ledd litra e, hvoretter opplysninger som utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre, er unntatt fra informasjonsplikt og innsynsrett. 8 Tilsvarets pkt
13 Datatilsynet vil anbefale at selskapet i fremtiden praktisere dette unntaket med stor forsiktighet. For det første vises det til at bestemmelsen gjør unntak fra de mest sentrale personverninteressene, nemlig rett til informasjon og innsyn. Dernest vises det til at dette unntaket ikke er klart forankret i EUs personverndirektiv, jf dennes artikkel Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav om informasjon og innsyn. På dette punktet blir kontrollrapporten endelig. Tilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre etterlevelse av lovens krav. 3.6 Databehandleravtaler Datatilsynet varslet følgende pålegg: Virksomheten må inngå databehandleravtaler med eksterne utredere, i tråd med personopplysningslovens 15. Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav om databehandleravtaler. På dette punktet blir kontrollrapporten endelig. Selskapet opplyser at det er inngått databehandleravtaler med alle eksterne utredere, pr 28. juni Datatilsynet legger derfor til grunn at avviket er lukket, og at det ikke er grunnlag for å gi det varslede pålegget. Datatilsynet tar til etterretning at selskapet etter kontrollen har gjort endringer i sitt internkontrollsystem for å sikre fremtidig etterlevelse av lovens krav Konklusjon Datatilsynet vil ikke fatte vedtak som tidligere varslet. 3.7 Risikovurderinger Datatilsynet varslet følgende pålegg: Virksomheten må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Det vises til tilsynsrapportens pkt Gjensidige anfører i sitt tilsvar at virksomheten har et omfattende rammeverk for gjennomføring av risikovurderinger for blant annet sin behandling av personopplysninger og at dette gjennomføres årlig for alle virksomhetsområder. De risikovurderinger Gjensidige beskriver i sitt tilsvar vurderes som svært overordnet og langt unna de berørte medarbeidere. 13
14 Det faktum at leder for utrederenheten ikke hadde vært involvert i, eller kjente til at det var gjennomført, risikovurderinger de siste 4 ½ år bekrefter at virksomheten ikke på tilfredsstillende måte har implementert lovens krav til risikovurderinger Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av krav om gjennomføring av risikovurderinger. På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder derfor sitt varslede vedtak på dette punktet. 3.8 Sikkerhetsrevisjon Datatilsynet varslet følgende pålegg: Virksomheten må etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises til tilsynsrapportens pkt I sitt tilsvar anfører Gjensidige at de gjennomfører ulike sikkerhetskontroller regelmessig. Det datatilsynet fikk oversendt i etterkant av kontrollen som eksempel på sikkerhetsrevisjon tilfredsstiller åpenbart ikke lovens krav til sikkerhetsrevisjon (se kontrollrapportens avsnitt 6.3.3). Datatilsynet har ikke mottatt noen dokumenter som gjør at situasjonen i Gjensidige hva gjelder sikkerhetsrevisjoner er annerledes enn slik det er beskrevet i kontrollrapporten. På dette punktet blir dermed kontrollrapporten endelig. Gjensidige anfører at de i etterkant av kontrollen har gjennomført en sikkerhetskontroll av utrederfunksjonen. Datatilsynet kan ikke se å ha mottatt dokumentasjon av denne kontrollen. Enkelte av konklusjonene av kontrollen er referert til i Gjensidiges brev, men dette er ikke tilstrekkelig til å vurdere Gjensidiges praksis på området. Datatilsynet kan derfor ikke konstatere at Gjensidige har lukket avviket i tiden etter den stedlige kontrollen Konklusjon På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder sitt varslede vedtak på dette punktet. 3.9 Avvik Datatilsynet varslet følgende pålegg: Virksomheten må etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-6. Det vises til tilsynsrapportens pkt Gjensidige anfører i sitt tilsvar at det fins bestemmelser om avvikshåndtering i dokumentet Konsernkrav informasjonssikkerhet og i sikkerhetserklæringen som alle ansatte skriver under på. Her framkommer blant annet at avvik skal meldes inn via en intranettside og/ eller en e- 14
15 postadresse (dette framstår som litt uklart for Datatilsynet ut fra Gjensidiges redegjørelse). Etter Datatilsynets syn er dette for overordnet og lite operasjonalisert ut fra hva man kan forvente av en virksomhet av Gjensidiges omfang. Det framkom også under kontrollen at deltakerne på kontrollen ikke kjente til avviksrutinene i virksomheten. Det framstår derfor som lite sannsynlig at avviksrutiner var implementert på kontrolltidspunktet. På dette punktet blir derfor kontrollrapporten endelig. Gjensidige besluttet i april å innføre en instruks for risikohendelser. Denne er ikke implementert. Gjensidige hevder denne er ment å implementere en ny og helhetlig prosess for avvikshåndtering. Datatilsynet stiller seg positiv til dette, men ettersom løsningen fortsatt ikke er implementert vil datatilsynet opprettholde sitt varslede vedtak på punktet Konklusjon På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder sitt varslede vedtak på dette punktet Lagring på filområder Datatilsynet varslet følgende pålegg: Virksomheten må etablere tilstrekkelig informasjonssikkerhet ved behandling av personopplysninger med behov for beskyttelse av konfidensialitet og integritet, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Dette omfatter personopplysninger som i dag lagres på filområde (rapporter, lydfiler, videofiler og annet). Det vises til tilsynsrapportens pkt Gjensidige anfører i sitt svarbrev at Datatilsynets beskrivelse av bruk av filområder gir inntrykk av at alle de omtalte filområdene er allment tilgjengelig i Gjensidige. Datatilsynet er ikke enig i at kontrollrapporten kan tolkes på denne måten. Datatilsynets kontrollrapport påpeker at filmappene mangler tilgangsstyring på et mer finmasket nivå, men har aldri hatt inntrykk av at samtlige ansatte i Gjensidige har hatt tilgang til opplysningene. Datatilsynet har likevel presisert dette punktet i kontrollrapporten. Gjensidige anfører også at ny løsning som er under etablering skal heve sikkerheten for opplysningene som behandles på disse filmappene ed hjelp av logging, kryptering og overvåkning. Datatilsynet er positive til disse tiltakene, men da kun i tillegg til en tilfredsstillende tilgangsstyring, ikke som erstatning for det Konklusjon På dette punktet blir kontrollrapporten endelig. Datatilsynet opprettholder sitt varslede vedtak på dette punktet. 15
16 4 Varsel om tilbaketrekking av konsesjon Datatilsynet varslet om at tilsynet vil trekke tilbake sin konsesjon til forsikringsvirksomhet, gitt Gjensidige den 25. juli 2005, dersom ikke virksomheten innen fastsatt frist etterlever ovenstående pålegg. Datatilsynet viste til at konsesjonen ble gitt under forutsetning av at Gjensidige hadde implementert et internkontrollsystem i tråd med personopplysningslovens 14. Tilsynets kontroll viser imidlertid at det foreligger omfattende mangler ved internkontrollsystemet, og at konsesjonen derved bygger på uriktige, eventuelt bristende, faktiske forutsetninger. 4.1 Har Datatilsynet kompetanse til å trekke tilbake konsesjonen? Gjensidige anfører i sitt tilsvar at Datatilsynet ikke har kompetanse til å trekke tilbake en gitt konsesjon. Selskapet anfører i korte trekk at det å trekke konsesjonen er straffesanksjon som krever klar hjemmel i lov, og dernest at Datatilsynet mangler slik lovhjemmel 9. Det anføres at tilbaketrekking uansett er en uforholdsmessig reaksjon. Datatilsynet er enig i at det å trekke en tillatelse, som en reaksjon på lovstridige handlinger, etter omstendighetene kan være å anse som en straffesanksjon som krever hjemmel i lov. I dette tilfellet mener imidlertid Datatilsynet at det foreligger en tilblivelsesmangel ved konsesjonsvedtaket, som medfører at det blir ugyldig og derved kan gjøres om etter forvaltningslovens 35 første ledd litra c. Det vises til at Datatilsynets skjønnsutøvelse bygget på uriktige eller bristende faktiske forutsetninger om at internkontroll- og informasjonssikkehetsbestemmelsene var oppfylt på vedtakstidspunktet. Ved ugyldighetsvurderingen er det lagt til grunn at spørsmålet om hvorvidt det foreligger internkontroll og informasjonssikkerhet har avgjørende betydning for hvorvidt det utstedes en konsesjon eller ikke. Dette er lovhjemlede plikter, som Datatilsynet har svært begrenset kompetanse til å dispensere fra. Ugyldige vedtak kan i prinsippet omgjøres uten hensyn til hvor hardt dette rammer den som er begunstiget. Det er derved ikke relevant å vurdere hvorvidt tilbaketrekking er forholdsmessig i det konkrete tilfellet, slik selskapet anfører. Datatilsynet tillater seg også å peke på at tilsynet har klar hjemmel i personopplysningslovens 46 til å pålegge opphør av en ulovlig behandling - uten hensyn til om det i utgangspunktet foreligger et gyldig konsesjonsvedtak. Et slikt pålegg vil i praksis ha samme rettsvirkning for selskapet som et vedtak om tilbaketrekking av konsesjon. En behandling som finner sted uten at det er etablert internkontroll for behandlingen vil være en ulovlig behandling etter personopplysningsloven, og kan ligge til grunn for et pålegg om opphør dersom det er forholdsmessig. 9 Jf betenkning fra advokat Føyen, vedlagt Gjensidiges tilsvar 16
17 Datatilsynet fastholder etter dette at det har hjemmel til å trekke tilbake sin konsesjon av 25. juli Varsel om overtredelsesgebyr Datatilsynet varslet følgende vedtak: «Gjensidige Forsikring pålegges å betale et overtredelsesgebyr til statskassen, pålydende kr kroner seks hundre tusen, for å ha behandlet personopplysninger uten å etablere tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen.» I Gjensidiges tilsvar av 30. juli 2013 anføres det at Datatilsynet ikke kan ilegge overtredelsesgebyr for ved brudd på personopplysningslovens bestemmelser om internkontroll og informasjonssikkerhet (systempliktene). Det anføres videre at selskapet uansett har handlet i aktsomt god tro med hensyn til at de har opptrådt i tråd med personopplysningslovens bestemmelser. Endelig anføres det at gebyret er uforholdsmessig høyt. 5.1 Kan det ilegges overtredelsesgebyr for brudd på lovens systemplikter? I Gjensidiges tilsvar vises det til at Datatilsynets kontroll ikke avdekket at personopplysninger har kommet på avveier eller blitt misbrukt. Det anføres videre anfører at brudd på personopplysningslovens systemplikter ikke i seg medfører en krenkelse av de interessene som loven er satt til å verne. Internkontroll og informasjonssikkerhet er ifølge selskapet bare hjelpemidler som reduserer risikoen for at disse interessene krenkes. Innledningsvis vil Datatilsynet bemerke at det etter vår oppfatning ikke er grunnlag for å trekke en slutning om at Gjensidige ikke har krenket noens personverninteresser gjennom sin behandling av personopplysninger. Det vises til at det foreligger vesentlige mangler ved selskapets internkontroll, hvilket gjør det svært vanskelig å avdekke eventuelle andre lovbrudd i virksomheten også for Datatilsynet. Det kan i forlengelsen av dette anføres at internkontrollplikten medfører en omvendt bevisbyrde: det er den behandlingsansvarlige som gjennom en velfungerende internkontroll sannsynliggjør at virksomheten for øvrig opptrer i tråd med lovens bestemmelser. Dersom man legger til grunn Gjensidiges lovforståelse, vil den behandlingsansvarlige få et incitament til å la være å etablere internkontroll. Det må anses åpenbart at det ikke kan være lovgivers intensjon. Datatilsynet kan ikke se at adgangen til å ilegge overtredelsesgebyr etter personopplysningslovens 46 første ledd er begrenset til å gjelde brudd på lovens behandlingsregler, slik selskapet anfører. Det vises til at bestemmelsens første ledd etter sin ordlyd omfatter ethvert lov- og forskriftsbrudd, som ikke skyldes forhold utenfor foretakets kontroll. Dette omfatter også bestemmelsene om internkontroll og informasjonssikkerhet. At personvernkrenkelsens alvorlighetsgrad er uttrykkelig angitt å være et relevant moment ved 17
18 Datatilsynets skjønnsutøvelse, kan ikke forstås som et absolutt krav om at slike krenkelser må dokumenteres i det enkelte tilfellet. Manglende internkontroll medfører en økt risiko for at lovens øvrige bestemmelser brytes, på en slik måte at den enkeltes personvern krenkes, uten at dette enkelt avdekkes av virksomheten selv eller tilsynsmyndigheten. Datatilsynet mener derved at manglende internkontroll i seg selv er straffverdig, og etter omstendighetene kan resultere i et overtredelsesgebyr 10. Datatilsynet fastholder etter dette at det er adgang til å ilegge overtredelsesgebyr for brudd på personopplysningslovens bestemmelser om internkontroll og informasjonssikkerhet. 5.2 Datatilsynets vurderinger Skyldspørsmålet I Datatilsynets varsel om vedtak ble det lagt til grunn at selskapet opptrådte uaktsomt, idet det behandlet store mengder sensitive personopplysninger, uten å ha tilfredsstillende internkontroll. Gjensidige anfører i sitt tilsvar at selskapet var i aktsomt godt tro, idet det vises til Datatilsynets vurderinger i forbindelse med en kontroll som ble gjennomført i Datatilsynet vil bemerke at det i sitt varsel om vedtak har tatt høyde for eventuelle misforståelser som kan tilskrives tilsynets uttalelser i forbindelse med den forrige kontrollen, idet tilsynet konstaterte simpel uaktsomhet i dette tilfellet. Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger. Tilsynet fastholder at det må legges til grunn en svært streng aktsomhetsnorm for Gjensidige, og at selskapet i dette tilfellet har opptrådt uaktsomt Beviskrav Datatilsynet legger til grunn at et overtredelsesgebyr er å anse som straff etter den europeiske menneskerettighetskonvensjon artikkel 6. I tråd med Høyesteretts praksis (Rt 2012 s 1556 med videre henvisninger) legger tilsynet videre til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge overtredelsesgebyr. Saksforholdet og spørsmålet om overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet Utmåling Dette er det høyeste gebyret Datatilsynet har ilagt noen virksomhet, siden tilsynet ble gitt slik kompetanse i Gebyret er et uttrykk for hvor alvorlig Datatilsynet ser på de lovbruddene som er avdekket - herunder avvikenes størrelse, opplysningenes art og omfang, og det antall personer som rammes av lovbruddene. 10 I de tilfeller hvor manglende etterlevelse av lovens systemplikter beviselig har medført brudd på lovens øvrige bestemmelser (for eksempel utilsiktet utlevering av personopplysninger) har denne følgen i tilsynet praksis blitt ansett å være en skjerpende omstendighet. 18
19 Selv om gebyret er høyt, ligger det mer enn kroner under maksimumsbeløpet. Dette skyldes at tilsynet har tatt hensyn til at skyldgraden er simpel uaktsomhet, jf over. Det er også lagt vekt på at det ikke er avdekket at opplysninger har kommet på avveier eller blitt misbrukt. Sistnevnte vil gjerne være å anse som en skjerpende omstendighet ved utmålingen. Datatilsynet har endelig sett hen til virksomhetens økonomiske bæreevne, herunder at selskapet kan pulverisere det tapet som overtredelsesgebyret påfører dem. 5.3 Konklusjon Datatilsynet kan ikke se at det er fremkommet nye momenter eller opplysninger som medfører endringer i tilsynets vurderinger av om det skal ilegges overtredelsesgebyr, og ved utmålingen av gebyret. Del II Datatilsynets vedtak Under henvisning til Datatilsynets varsel om vedtak av 17. juni 2013 og ovenstående kommentarer, og med hjemmel i personopplysningslovens 46 treffer Datatilsynet følgende vedtak: 1. Virksomheten må etablere og implementere internkontroll i samsvar med personopplysningsloven 14. Det vises til tilsynsrapportens pkt Virksomheten må ikke behandle personopplysninger i større utstrekning eller på annen måte enn det er behandlingsgrunnlag for, jf personopplysningslovens 11a og 8 og 9. Det vises til kontrollrapportens pkt Virksomheten må ikke behandle personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen, eller som ikke har tilfredsstillende kvalitet, jf personopplysningslovens 11d og e. Det vises til kontrollrapportens pkt Virksomheten må slette personopplysninger når det opprinnelige formålet med behandlingen er oppnådd, dersom det ikke finnes behandlingsgrunnlag for videre oppbevaring, jf personopplysningslovens 11e jf 28. Det samme gjelder for personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen. Det vises til kontrollrapporten pkt Virksomheten må gi informasjon og innsyn i henhold til personopplysningslovens 18 flg. Det vises til tilsynsrapportens pkt Virksomheten må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Det vises til tilsynsrapportens pkt
20 7. Virksomheten må etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises til tilsynsrapportens pkt Virksomheten må etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-6. Det vises til tilsynsrapportens pkt Virksomheten må etablere tilstrekkelig informasjonssikkerhet ved behandling av personopplysninger med behov for beskyttelse av konfidensialitet og integritet, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Dette omfatter personopplysninger som i dag lagres på filområde (rapporter, lydfiler, videofiler og annet). Det vises til tilsynsrapportens pkt Selskapet må innen 1. mars 2014 bekrefte skriftlig overfor Datatilsynet at påleggene som nevnt i punkt 1-9 er gjennomført. Manglende bekreftelse vil medføre at Datatilsynets konsesjon av 25. juli 2005 ikke lenger kan anses å være gyldig. 11. Selskapet pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner seks hundre tusen, for å ha behandlet personopplysninger uten å etablere tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens 47a. Del III Klageadgang Dette er et enkeltvedtak som kan påklages i henhold til forvaltningslovens bestemmelser om klage på enkeltvedtak. Eventuell klage må fremsettes for Datatilsynet innen tre uker etter mottak av dette brev. Med vennlig hilsen Bjørn Erik Thon direktør Cecilie Rønnevik fagdirektør Vedlegg: endelig kontrollrapport 20
14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
DetaljerVedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet
Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet
DetaljerVedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet
Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet
DetaljerVedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet
Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen
DetaljerVår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012
Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om
DetaljerVedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset
St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerVedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet
Vardø kommune Postboks 292 9951 VARDØ Deres referanse Vår referanse Dato 08/11 14/00490-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Den 27.
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
Detaljer2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge
Datatilsynet Se mottakerliste Unntatt ofientlighet: om 13jfr Fvl 13 nr 1 Deres referanse Vår referanse Dato 2016/1 l434/hesk 16/00824-8/TJU 24.10.2016 Pålegg om overtredelsesgebyr - Misbruk av kamerasystem
DetaljerVår referanse (bes oppgitt ved svar) 12/ /CBR
Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig
DetaljerVedtak om pålegg - endelig kontrollrapport
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerVår referanse (bes oppgitt ved svar)
Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for
Detaljerom konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.
Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll
DetaljerKlage fra SpareBank 1 Markets AS på Datatilsynets vedtak
Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet
DetaljerVi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.
Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerVarsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring ASA
Gjensidige Forsikring ASA Postboks 276 1326 LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00328-6/CBR 17. juni 2013 Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring
DetaljerForsikringselskaper adgang til etterforskning
Forsikringselskaper adgang til etterforskning Forum rettsinformatikk Foreningen for jus & EDB 03.09.2015 2 Saksbehandling / utredning Saksbehandling vs. Utredning 3 Tiltak Samtaler med kunder og andre
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerLydopptak og personopplysningsloven
Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...
DetaljerVedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi
Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi
DetaljerDet vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.
Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets
DetaljerVedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune
Askvoll kommune Postboks 174 6988 ASKVOLL Deres referanse Vår referanse Dato 16/00364-4/KBK 16.06.2016 Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune Det
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerBrevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
DetaljerVedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett
Harstad kommune c/o Postmottak, Postboks 1000 9479 HARSTAD Deres referanse Vår referanse Dato 2016/143 / 041 16/00061-6/EOL 17.06.2016 Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014
Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til
DetaljerPersonvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013
Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013 Personvern Vern mot uforholdsmessige inngrep i den enkeltes private sfære, balansere
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerVarsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG
Miljøpartiet De Grønne Hausmannsgate 19 0182 OSLO Deres referanse Vår referanse Dato 16/01118-3/KBK 02.11.2016 Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerDet vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.
Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr
Protector Forsikring ASA Postboks 1351 Vika 0113 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00060-8/MHN 24. mai 2012 Endelig kontrollrapport for Protector Forsikring ASA - Vedtak
DetaljerVedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak
Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar
DetaljerPERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA
PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerHendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.
SV - Sosialistisk Venstreparti - Personvernombudet Hagegata 22 0653 OSLO Deres referanse Vår referanse Dato 16/01248-3/KBK 02.11.2016 Varsel om vedtak om overtredelsesgebyr - Melding om avvik - Datainnbrudd
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning
DetaljerHelsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven
Skattedirektoratet Postboks 9200 Grønland 0134 OSLO Deres ref Vår ref Dato 14/1258 SL JGA/MAV 04.02.2015 Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven Departementet
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL
PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen
DetaljerVedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011
Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )
PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig
DetaljerVedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken
OSLO UNIVERSITETSSYKEHUS HF Postboks 4956 Nydalen 0424 OSLO Deres referanse Vår referanse Dato 2016/10950 15/01357-15/CGN 11.12.2017 Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger
DetaljerBransjenorm. Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel
Bransjenorm Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel Finans Norge Enhet økonomisk kriminalitet 12.12.2014 Innholdsfortegnelse Om forsikringsselskapenes
DetaljerEndelig kontrollrapport
Saksnummer: 13/00328 Dato for kontroll: 14.05.2013 Rapportdato: 20.09.2013 Endelig kontrollrapport Kontrollobjekt: Gjensidige Forsikring ASA Sted: Lysaker Utarbeidet av: Marius Engh Pellerud Cecilie Rønnevik
DetaljerEndelig kontrollrapport
Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerPERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om
PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerPERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:
PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerLagring av advarsler i personalmapper - Datatilsynets veiledning
DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato
Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerPERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)
PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerVedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune
Årdal kommune Statsråd Evensensveg 4 6885 ÅRDALSTANGEN Deres referanse Vår referanse Dato 16/189-23 16/00366-5/KBK 16.06.2016 Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger
DetaljerKlage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven
Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt
DetaljerAdressemekling. Innhold INNLEDNING AKTØRENE
Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerDeres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015
Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene
DetaljerDatabehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO
Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne
DetaljerWebversjon av uttalelse i sak om trukket jobbtilbud grunnet alder
Webversjon av uttalelse i sak om trukket jobbtilbud grunnet alder Likestillings- og diskrimineringsombudet viser til klage av 21. august 2007 fra A. A mener X AS (Selskapet) trakk tilbake et tilbud om
DetaljerDet vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.
Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til
DetaljerKontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø
Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011
Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots
Detaljerlikestillings- og inkluderingsdepartementet
Barne- likestillings- og inkluderingsdepartementet Postboks 8036 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/3288 12/00849-2/DIJ 15. november 2012 Dato Høring - Forslag til endringer
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerEndelig kontrollrapport
Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerKommentarer til bestemmelser og temaer i vernepliktsforskriften
Forsvarsdepartementet Postboks 8126 Dep 0032 OSLO Deres referanse Vår referanse Dato 2015/3350-7 16/01335-3/SDK 28.11.2016 Høringsuttalelse - Forslag til tre nye forskrifter til lov om verneplikt og tjeneste
DetaljerVedtak om pålegg kameraovervåking hos Move treningssenter
Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll
DetaljerENDELIG TILSYNSRAPPORT
Kautokeino kommune ved rådmann Bredbuktsnesveien 6 9520 Kautokeino FYLKESMANNEN I FINNMARK FINNMÁRKKU FYLKKAMÁNNI ENDELIG TILSYNSRAPPORT Forvaltningskompetanse avgjørelser om særskilt tilrettelegging Kautokeino
DetaljerPersonvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten
Side 1 Innledning Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten 2018-10-22 Advokatfirmaet Judicium/Båtadvokaten behandler dine opplysninger når vi utfører oppdrag for deg. Alle opplysninger
DetaljerEndelig kontrollrapport
Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerKontroll av reseptformidleren 11122013 endelig kontrollrapport
Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
Detaljer