Foreløpig kontrollrapport

Størrelse: px
Begynne med side:

Download "Foreløpig kontrollrapport"

Transkript

1 Saksnummer: 11/00906 Dato for kontroll: Rapportdato: Foreløpig kontrollrapport Kontrollobjekt: Skattedirektoratet Sted: Oslo Utarbeidet av: Renate Thoreid Lars-Otto Nymoen Jørgen Skorstad 1 Innledning Datatilsynet gjennomførte kontroll hos Skattedirektoratet Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42 tredje ledd. 1 Temaet for kontrollen var Skattedirektoratets behandling av personopplysninger ved hjelp av Google Analytics på Skattedirektoratets nettsted, I det følgende beskrives de faktiske forhold som ble avdekket under kontrollen. Disse forholdene er beskrevet slik de fremsto på kontrolltidspunktet. Først og fremst er det de opplysningene som kontrollobjektet har avgitt muntlig under kontrollen som ligger til grunn for rapporten. I tillegg kommer dokumentasjonen som Skattedirektoratet har oversendt på forhånd. Kontrollrapporten danner grunnlaget for våre vurderinger, og eventuelle pålegg. Vi gjør oppmerksom på at det kun er de rettslige aspekter ved tjenesten som sorterer under personopplysningsloven med tilhørende forskrift som er vurdert, jf. personopplysningsloven 42. Enkelte steder er det henvist til annet regelverk, blant annet ekomforskriften. 2 Dette er ikke et uttrykk for at vi mener at håndhevelse av dette regelverket hører til blant Datatilsynets oppgaver. Vi har imidlertid funnet det hensiktsmessig å gjøre kontrollobjektet oppmerksom på enkelte øvrige regler som er relevante i saken. 2 Til stede under kontrollen 2.1 Fra Skattedirektoratet: Jan Christian Sandberg, avdelingsdirektør Lucie Aunan, tjenestedirektør Frithjof Indseth, tjenesteeier Erling Solberg, systemjurist Svein Mobakken, avdelingsdirektør Andre Kristianslund, rådgiver 1 Lov av 14. april 2000 nr. 31 om behandling av personopplysninger. 2 Forskrift av 16. februar 2004 nr. 401 om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste. 1 av 16

2 2.2 Fra Datatilsynet: Lars-Otto Nymoen, overingeniør, tilsyns- og sikkerhetsavdelingen Renate Thoreid, senioringeniør, tilsyns- og sikkerhetsavdelingen Jørgen Skorstad, seniorrådgiver, juridisk avdeling 3 Dokumentasjon oversendt fra Skattedirektoratet Skattedirektoratet har oversendt følgende dokumentasjon før tilsynet: Skjematisk oversikt over hvilke analyseverktøy som benyttes på angitt ved produktnavn og leverandør Kart over informasjonsflyten for de enkelte verktøy Avtaler inngått med leverandørene av analyseverktøyene 4 Generelt om behandling av personopplysninger 4.1 Personopplysningsloven og Datatilsynets rolle Datatilsynets oppgave er blant annet å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. Pliktbestemmelsene i personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. 3 Det er altså vilkårene i denne bestemmelsen som angir lovens saklige anvendelsesområde. Loven definerer behandling av personopplysninger som enhver bruk av personopplysninger. Det kan for eksempel dreie seg om innsamling, registrering, lagring og utlevering. 4 Personopplysninger er det bare snakk om hvis opplysningene enten direkte eller indirekte kan knyttes til en identifiserbar enkeltperson. Behandling av opplysninger om anonyme personer, er ikke omfattet av regelverket. 5 Personopplysningsloven vil dermed i alle fall som et generelt utgangspunkt komme til anvendelse når personopplysninger behandles via Internett. 6 Se også rapportens innledning, samt varselbrevet av 1. september De av personopplysningslovens bestemmelser som er aktuelle i denne saken, er presentert underveis. 3 Vår utheving. 4 Denne oppramsingen er ikke uttømmende. 5 Legaldefinisjonene er gitt i lovens 2. 6 Viktige begrensninger gjelder, se for eksempel personopplysningsloven 3 andre ledd, 4 og 7. 2 av 16

3 4.2 Den behandlingsansvarlige Personopplysningslovens pliktregler adresserer seg først og fremst til den behandlingsansvarlige. Riktig plassering av behandlingsansvaret er derfor en grunnleggende forutsetning for den videre anvendelsen av lovens regler. Ifølge personopplysningsloven 2 nr. 4 er det to faktorer som er avgjørende for ansvarsplasseringen: hvem som bestemmer formålet med den aktuelle databehandlingen hvem som bestemmer hvilke hjelpemidler som skal benyttes I dette tilfellet er det Skattedirektoratet som har besluttet at aktiviteten på nettstedet skal analyseres, til de formål som er angitt nedenfor. Det er også Skattedirektoratet som har bestemt at disse analysene skal skje ved hjelp av Google Analytics. Datatilsynet legger etter dette til grunn at Skattedirektoratet er behandlingsansvarlig for alle personopplysninger som behandles ved hjelp av Google Analytics i tilknytning til besøk på etatens nettsted. Dette innebærer at det er Skattedirektoratet som er forpliktet til å svare for de rettslige aspekter vedrørende behandlingen av IP-adressene til de besøkende på Dette inkluderer også all eventuell videre prosessering på Googles servere i USA. Datatilsynet legger til grunn at Google Inc. opererer som Skattedirektoratets databehandler i dette tilfellet. 7 Tilsynet understreker at det som er nevnt i dette avsnittet, er sentrale premisser for rapportens konklusjoner. 4.3 Den registrerte Pliktene i regelverket gjenspeiles som regel i tilsvarende rettigheter. Rettighetshaveren er i loven og forskriften omtalt som den registrerte. 8 I denne saken vil den registrerte som regel være ensbetydende med den som besøker se nedenfor i avsnitt Se definisjonen av begrepet i personopplysningsloven 2 nr Se definisjonen av begrepet i personopplysningsloven 2 nr av 16

4 5 Om analyseverktøyet 5.1 Innledning Google Analytics er et internettbasert verktøy som kan benyttes til å analysere trafikken på et nettsted, inkludert dets underliggende nettsider. For eksempel kan verktøyet telle antallet besøkende, hvor de besøkende befinner seg når besøket finner sted, hvilket tidspunkt besøket er avlagt, hvilke nettsteder de besøkende kommer fra, og hvilke underliggende nettsider som besøkes. Google Analytics tilbys av Google Inc. (heretter Google ). For å ta i bruk tjenesten, må brukeren opprette en Google Analytics-konto. I den forbindelse må brukeren registrere adressen til nettstedet som ønskes analysert, i tillegg til kontonavn og kontaktinformasjon. Brukeren må legge inn en sporingskode på sine nettsider for å aktivisere Google Analytics. Prosessen er beskrevet på Googles nettsider, hvor sporingskoden han hentes og kopieres. 9 Google Analytics kan dermed begynne å samle inn relevant informasjon som grunnlag for ulike rapporter, som deretter blir tilgjengelige for brukeren. Skattedirektoratet opplyste at de tok i bruk analyservertøyet høsten Behandling av IP-adresser via Google Analytics på IP-adressene som saken dreier seg om vil heretter for enkelhets skyld omtales som de(n) besøkendes IP-adresse(r), IP-adressene, eller lignende. Kommunikasjonen som oppstår ved bruk av Google Analytics-kode er beskrevet i et dokument som er tilgjengelig fra Googles nettsider. 10 Hovedtrekkene i kommunikasjonsstrømmen mellom den besøkende, og Google kan beskrives på følgende vis: 1. Den besøkendes nettleser laster ned en nettside fra med Google Analytics-kode. 2. Den besøkendes nettleser laster deretter ned et javascript med sporingskoden fra Googles server (http[s]://www.google-analytics.com/ga.js). 3. Etter at sporingskoden har samlet inn data om den besøkende, etterspør den besøkendes nettleser et GIF-bilde på Googles server som Google Analytics benytter for logging og prosessering av informasjonen. Når den besøkende henter opp en nettside fra med Google Analyticskode, kommuniseres den besøkendes IP-adresse til Google. Dette skyldes direkte forespørsel fra den besøkende mot Google i punkt 2. og 3. ovenfor. Det fremgår også av det oversendte dokumentet med tittelen Avtalevilkår for Google Analytics, at de besøkendes IP-adresser videreformidles og lagres på Googles servere i USA code.google.com/apis/analytics/docs/concepts/gaconceptsoverview.html 4 av 16

5 Skattedirektoratet har, i dokumentene som er oversendt Datatilsynet, opplyst at IP-adressene anonymiseres. Direktoratet har beskrevet prosessen på følgende vis: 11 Et Javascript lastes i nettleseren og oppretter et array lokalt i minnet. Trackingkoden og anonymiseringsfunksjonen pushes i arrayet og registrerer hvem dataene tilhører og at siste oktett i IP-adressen skal fjernes før dataene sendes fra nettleseren. Videre fastslår Skattedirektoratet: All trafikk på sidene blir registrert, men før lagring blir brukernes IP adresse anonymisert. Dette gjøres ved at de to siste delene av adressen blir tatt bort. Dette gjør at man kan lokalisere brukeren til et større område, men ikke identifisere. Da dette er et online verktøy er dataene lagret hos Google. De besøkende på får følgende informasjon, på selve nettstedet: 12 Analyseverktøy for webstatistikk Skatteetaten bruker analyseverktøyet Google Analytics for å samle og vurdere informasjon om hvordan besøkende bruker nettstedet. Google Analytics bruker informasjonskapsler. Som behandlingsansvarlig for Skatteetaten.no er det Skatteetaten som bestemmer hvilke opplysninger Google kan innhente om bruken av nettstedet. Google Analytics mottar bare generell webstatistikk, som f.eks. nettlesertype, tidspunkt, språk og hvilken nettside brukeren kommer fra. I tråd med vanlig praksis på Internett registreres brukerens IP-adresse av nettstedet Skatteetaten.no. Skatteetaten har imidlertid valgt å legge inn et script som fjerner de siste sifrene fra IP-adressene før informasjonen sendes til Google Analytics. Dette gjør at analyseverktøyet kan anslå brukerens geografiske plassering, men adressen kan ikke benyttes for å identifisere den enkelte. Mottatte opplysninger er underlagt Google sine retningslinjer for personvern. Det fremgår altså at den informasjonen som Skattedirektoratet har kunngjort ikke er entydig når det gjelder angivelsen av anonymiseringstidspunktet. Skattedirektoratet ble derfor bedt om å belyse dette aspektet ytterligere under kontrollen. Direktoratet opplyste at anonymiseringen finner sted etter at opplysningene er sendt, via Google Analytics, til Googles servere. Anonymiseringen lar seg imidlertid ikke tidfeste eksakt. Direktoratet oppga at det flere ganger hadde forsøkt å få Google til å svare på dette spørsmålet. Google har imidlertid ikke besvart direktoratets henvendelser. 11 I brev av , vedlegg av 16

6 5.3 Bruk av informasjonskapsler En informasjonskapsel eller en cookie kan defineres som en liten datamengde som en nettleser mottar fra nettsider som brukeren besøker, og som lagres som en fil på brukerens harddisk. En cookie kan inneholde informasjon som brukeren har registrert på siden, for eksempel brukernavn og passord i kryptert form, og som oversendes nettsiden ved påfølgende besøk. På den måten er det ikke nødvendig å registrere informasjonen mer enn én gang. Nettpublikasjoner bruker ofte informasjonskapsler til å samle inn opplysninger om sidens besøkende, og et besøk på en nettside kan gjerne innebære en innsamling av flere kapsler, noen til selve publikasjonen, andre til publikasjonens annonsører. Nettlesere og brannmurer kan innstilles til ikke å godta cookies. 13 Googles beskrivelse av informasjonskapslene som anvendes i Google Analytics er slik: utma This cookie is typically written to the browser upon the first visit to your site from that web browser. If the cookie has been deleted by the browser operator, and the browser subsequently visits your site, a new utma cookie is written with a different unique ID. This cookie is used to determine unique visitors to your site and it is updated with each page view. Additionally, this cookie is provided with a unique ID that Google Analytics uses to ensure both the validity and accessibility of the cookie as an extra security measure. Identifying Unique Visitors Each unique browser that visits a page on your site is provided with a unique ID via the utma cookie. In this way, subsequent visits to your website via the same browser are recorded as belonging to the same (unique) visitor. Thus, if a person interacted with your website using both Firefox and Internet Explorer, the Analytics reports would track this activity under two unique visitors. Similarly if the same browser were used by two different visitors, but with a separate computer account for each, the activity would be recorded under two unique visitor IDs. On the other hand, if the browser happens to be used by two different people sharing the same computer account, one unique visitor ID is recorded, even though two unique individuals accessed the site. Når det gjøres et oppslag på fra en bestemt nettleser, sender altså utma-kapselen ut et unikt identifikasjonsnummer. Kapselen sørger dermed for at Skattedirektoratet blir i stand til å gjenkjenne den samme besøkende 14 ved en senere anledning, inntil brukeren aktivt sletter kapselen fra datamaskinen. 13 Ifølge Store Norske Leksikon, nettutgaven, på 14 Det vil egentlig si den enkelte datamaskin og nettleser. 6 av 16

7 6 Funn og avvik 6.1 Innledning Her gjennomgås reglene i personopplysningsloven som det er aktuelt å gå nærmere inn på i rapporten, på bakgrunn av de faktiske forholdene som foreligger. Disse forholdene er delvis presentert innledningsvis og delvis nedenfor, sammen med Datatilsynets vurderinger. 6.2 Personopplysningslovens anvendelighet lovens 3, jf. 2 Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. 15 Begrepet personopplysning er definert i personopplysningsloven 2 nr. 1: opplysninger og vurderinger som kan knyttes til en enkeltperson Det fremgår av det som er sagt i avsnitt 5.2 at bruk av Google Analytics innebærer en behandling av IP-adressene til besøkende på nettstedet eller rettere sagt IP-adressene til maskinvaren som de besøkende benytter i den forbindelse. EF-domstolen har slått fast at IP-adresser skal regnes som personopplysninger i henhold til direktiv 95/46/EF, det såkalte personverndirektivet. 16 Ettersom den norske personopplysningsloven implementerer personverndirektivet i norsk rett, får EF-domstolens forståelse avgjørende betydning for tolkningen også av de norske reglene. 17 Som en konsekvens, må dette synet også legges til grunn ved anvendelse av reglene i den norske personopplysningsloven. 18 En hver behandling slik dette er definert i personopplysningsloven 2 nr. 2 av IP-adresser må følgelig oppfylle kravene i personopplysningsloven. Nedenfor vurderes de aktuelle behandlingene i lys av personopplysningslovens krav. 15 Jf. lovens 3 første ledd bokstav a. 16 Se for eksempel sak C-70/10 Scarlet Extended SA: Those addresses are protected personal data because they allow those users to be precisely identified (Premiss 51). 17 Personvernnemnda har for øvrig ved flere anledninger lagt til grunn at en IP-adresse er en personopplysning i personopplysningslovens forstand, se for eksempel nemndas vedtak PVN Hvorvidt en IP-adresse er å regne som en personopplysning, avhenger av om opplysningen kan knyttes til en enkeltperson. Det vil ikke alltid være mulig, se for eksempel NOU 2009:1 Individ og integritet, om tilknytningskriteriet i avsnitt , med henvisning. Se imidlertid også Artikkel 29-gruppens uttalelse nr. 4/2007 om begrepet personopplysninger (WP 136), side 17, hvor det fremgår at [ ] medmindre internetudbyderen med 100 % sikkerhed kan fastslå, at oplysningerne svarer til brugere, der ikke kan identificeres, vil det være nødvendigt at behandle alle IP-oplysninger som personoplysninger for at være på den sikre side. Uttalelsen er tilgjengelig på 29/documentation/index_en.htm 7 av 16

8 6.3 Behandling av IP-adresser rettslige krav Personopplysningsloven oppstiller flere grunnkrav for at en behandling av personopplysninger skal kunne finne sted. Grunnkravene er nedfelt i lovens 11 første ledd bokstav a til e. Alle grunnkravene må være oppfylt samtidig. De ulike behandlingsmåtene innsamlingen, registreringen og lagringen må vurderes hver for seg. På bakgrunn av de opplysningene som foreligger, kan det være vanskelig å peke på hvor grensene mellom de ulike databehandlingene går. I tillegg vil tidspunktene for når de ulike behandlingsmåtene inntreffer i realiteten kunne være nokså sammenfallende. Dette utgangspunktet kunne tale for å vurdere alle behandlingene samlet. Vi mener imidlertid at personopplysningsloven, blant annet sett i lys av uttalelser i forarbeidene, gir anvisning på separate vurderinger av hver enkelt behandling. 19 Og selv om behandlingsmåtene i tid kan være sammenfallende, vil en slik tilnærming være i samsvar med den logiske rekkefølgen som behandlingsmåtene inntreffer i en innsamling vil logisk sett inntreffe før en lagring, mv. Nedenfor går tilsynet gjennom de aktuelle behandlingene, i lys av grunnkravene som personopplysningsloven 11 oppstiller. Det er naturlig å ta utgangspunkt i innsamlingen av opplysningene, ettersom denne behandlingen vil ligge først i tid, i alle fall først på den logiske tidslinjen. 6.4 Innsamling av de besøkendes IP-adresser Av punkt 5.2 i rapporten fremgår det at den besøkendes IP-adresse samles inn av Skattedirektoratet, jf. trinn 1. Denne informasjonsutvekslingen er en nødvendig forutsetning for at den besøkende skal få den informasjonen som er kunngjort på Skattedirektoratets nettsted. IP-adressen sendes i neste omgang 20 direkte til Google, jf. trinn 2 og 3. Denne informasjonsstrømmen er en del av Google Analytics funksjonalitet. Også denne behandlingen er å regne som en innsamling. Ettersom det er slått fast at Skattedirektoratet er behandlingsansvarlig, har Skattedirektoratet det fulle ansvaret for at denne innsamlingen oppfyller lovens krav. Det dreier seg altså om to informasjonsstrømmer, som tjener to separate behandlingsformål. For det første foreligger det et grunnleggende kommunikasjonsformål, som beskrevet ved trinn 1 i rapportens punkt 5.2. For det andre foreligger det et statistikk- og analyseformål, representert ved punktene 2 og 3 samme sted i rapporten. 19 Ot.prp. nr. 92 ( ) side 108: Vurderingen av om nødvendighetskravet er oppfylt kan bli forskjellig alt ettersom hva slags form for behandling det er tale om. Etter forholdene kan det f.eks. tenkes at innsamling av opplysningene er nødvendig, men at utlevering av dem ikke er det. 20 Også her skjer operasjonene uten at det nødvendigvis ligger noe vesentlig tidsmessig opphold mellom dem, men trinn 1 er en logisk forutsetning for trinn 2 og 3. 8 av 16

9 6.4.1 Lovens krav om rettslig grunnlag for innsamling av personopplysninger Det første grunnleggende kriteriet for innsamling av personopplysninger fremgår av personopplysningsloven 11 første ledd bokstav a. Bestemmelsen henviser til lovens 8, som slår fast at personopplysninger bare kan behandles når det foreligger et rettslig grunnlag for behandlingen. Innsamling er som tidligere nevnt bare en av flere behandlingsmåter, jf. lovens 2 nr. 2. Bestemmelsen i 8 oppstiller flere alternative rettslige grunnlag. Innledningsvis henvises det til samtykke og lovhjemmel. Samtykke er ikke påberopt som rettslig grunnlag for innsamlingen av IP-adressene i dette tilfellet. Lovhjemmel er heller ikke påberopt, og vi kjenner ikke til at slik lovhjemmel eksisterer. Bestemmelsen oppstiller i tillegg en rekke alternative nødvendighetsgrunner. Av disse er det ett grunnlag som kan være aktuelt, nemlig paragrafens bokstav f: Personopplysninger kan bare behandles dersom [ ] behandlingen er nødvendig for [ ] at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Bestemmelsen oppstiller to vilkår, som begge må være oppfylt samtidig: For det første må det foreligge interesseovervekt i den behandlingsansvarliges favør 21 For det andre må behandlingen må være nødvendig for at denne interessen skal kunne ivaretas Spørsmålet som Datatilsynet skal vurdere, blir dermed om Skattedirektoratet med hjemmel i personopplysningsloven 8 bokstav f kan samle inn IP-adressene til de besøkende på Skattedirektoratets nettsted, for de formålene som er beskrevet over i avsnitt De anførte behandlingsformålene På er det vist til at registrering av de besøkendes IP-adresser skjer [i] tråd med vanlig praksis på Internett. Vi legger til grunn at Skattedirektoratet her utelukkende sikter til innsamlingen beskrevet i punkt 1 i avsnitt 5.2, ettersom innsamling av IP-adresser for statistikk- og analyseformål vanskelig kan sies å være i samsvar med vanlig praksis på Internett. Direktoratet informerte om at det har vært gjennomført undersøkelser om bruken av nettstedet, som har vist at det oppfattes som utilgjengelig og uoversiktlig. Innhentingen av IPadressene ved hjelp av Google Analytics bidrar til å gi informasjon om de besøkendes adferd på nettstedet, som igjen kan være nyttig, for eksempel for å gjøre nettstedet mer brukervennlig. 21 Også interessene til tredjepersoner som opplysningene utleveres til kan rettferdiggjøre behandling av personopplysninger etter bestemmelsen, men noen slike interesser er ikke anført eller identifisert i saken. 9 av 16

10 I tillegg er det i Googles vilkår for bruk av Google Analytics oppgitt at IP-adresser samles inn for å kunne benyttes til følgende formål: 22 å vurdere din bruk av nettsiden lage rapporter til innehaveren av nettstedet om aktiviteten på nettstedet yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av internett Vurdering Det er på det rene at kommunikasjon av IP-adresser er grunnleggende for informasjonsutvekslingen på Internett. 23 Innsamlingen beskrevet i punkt 1 i avsnitt 5.2 ovenfor i rapporten, er etter vår oppfatning ikke i strid med de alminnelige kriteriene i personopplysningsloven 11. Vurderingene nedenfor knytter seg med andre ord ikke på noe tidspunkt til denne informasjonsflyten. Vi understreker at de følgende vurderingene utelukkende omfatter IPadresser som Skattedirektoratet behandler ved hjelp av Google Analytics det vil si den delen av informasjonsstrømmen som er beskrevet i trinn 2 og 3 i avsnitt Interesseavveiningen Interesseavveiningen i 8 bokstav f er ett av to vilkår som må være oppfylt for at innsamlingen av IP-adressene skal kunne skje, jf. over i avsnitt Skattedirektoratet har anført at det har en slik interesse i å samle inn IP-adressene denne interessen kan beskrives ved å vise til de anførte analyseformålene, se over i avsnitt På den andre siden foreligger det imidlertid en interesse hos de besøkende, som går ut på at deres bevegelsesmønstre og kommunikasjon på Internett ikke blir sporet eller kartlagt.dette synspunktet kan forankres i EMK artikkel Bestemmelsen fastslår at enhver har rett til respekt for sitt privatliv og sin korrespondanse. Interessen kommer også til uttrykk i personverndirektivet, som beskriver retten til privatlivets fred som en grunnleggende rettighet. 25 Interessen gjenspeiles dessuten i personopplysningsloven, for eksempel i grunnkravet i 11 første ledd bokstav d. Bestemmelsen slår fast at personopplysningene som behandles, må være relevante for behandlingsformålet et formål som på sin side må være saklig begrunnet i den behandlingsansvarliges virksomhet Formålene er sitert ordrett fra dokumentet Avtalevilkår for Google Analytics, oversendt av Skattedirektoratet. 23 Se for eksempel no.wikipedia.org/wiki/ip-adresse 24 Den europeiske menneskerettskonvensjon, inkorporert i det norske regelverket gjennom lov av 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven). 25 Direktiv 95/46/EF artikkel Se for øvrig Eit informasjonssamfunn for alle, St.meld. nr. 17 ( ), avsnitt 8.3.3, Retten til å være anonym Direktiv 95/46/EF artikkel Se for øvrig Eit informasjonssamfunn for alle, St.meld. nr. 17 ( ), avsnitt 8.3.3, Retten til å være anonym Se for øvrig Eit informasjonssamfunn for alle, St.meld. nr. 17 ( ), avsnitt 8.3.3, Retten til å være anonym av 16

11 Det er oppgitt at det utelukkende er anonymiserte IP-adresser som benyttes for de behandlingsformålene som er anført av Skattedirektoratet. At opplysningene anonymiseres, og at det bare er anonymiserte IP-adresser som benyttes i statistikkberegningene og analysene, bør etter vårt syn få betydning for utfallet av interesseavveiningen. Begrunnelsen er at en anonymisering reduserer risikoen for slik sporing og kartlegging som nevnt over. Av disse grunnene, har vi funnet at interesseavveiningen går i Skattedirektoratets favør Nødvendighetskravet Vi har i det foregående avsnittet kommet til at det første vilkåret i personopplysningsloven 8 bokstav f er oppfylt. I tillegg til at interesseavveiningen går i den behandlingsansvarliges favør, må nødvendighetskriteriet være oppfylt begge de to kravene må altså være oppfylt samtidig. I dette tilfellet vil det si at Skattedirektoratet må kunne godtgjøre at det er nødvendig å samle inn IP-adresser for å oppnå de formålene som er angitt over. At det skjer en innsamling av disse fullstendige IP-adresser er på det rene; anonymiseringen av den siste delen av IP-adressene finner først sted en tid i alle fall logisk etter selve innsamlingen. At det skulle være nødvendig å samle inn fullstendige IP-adresser, når det likevel bare er anonymiserte IP-adresser som inngår i beregningsgrunnlaget, kan fremstå som et paradoks. Vi har likevel funnet at nødvendighetsvilkåret kan anses som oppfylt i dette tilfellet. Begrunnelsen er at IP-adressene først må samles inn i sin fullstendige form før de kan anonymiseres Konklusjon Vi har funnet at de to vilkårene i personopplysningsloven 8 bokstav f er oppfylt. Dette innebærer at Skattedirektoratet kan samle inn fullstendige IP-adresser for å ivareta de nevnte interessene, som altså er sammenfallende med statistikk- og analyseformålene som er omtalt over. Personopplysningslovens vilkår for å samle inn fullstendige IP-adresser ved hjelp av Google Analytics, er med andre ord til stede. 6.5 Lovens forbud mot å lagre personopplysninger lenger enn nødvendig Av personopplysningsloven 11 første ledd bokstav e følger det at innsamlede og registrerte personopplysninger ikke skal lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Det samme er gjentatt i lovens 28. Denne bestemmelsen tilføyer dessuten at personopplysningene skal slettes dersom nødvendighetsvilkåret ikke er oppfylt. Det er slått fast at de innsamlede IP-adressene anonymiseres etter at de er mottatt hos Google i USA. En slik anonymisering vil kunne ha samme virkning som sletting. Imidlertid er det ikke mulig å fastslå hvorvidt opplysningene oppbevares i identifiserbar form utover det som er nødvendig for å oppfylle de relevante behandlingsformålene. Skattedirektoratet har forsøkt å be om ytterligere informasjon om det eksakte tidspunktet for anonymiseringen, men uten å få noe svar. 11 av 16

12 Som behandlingsansvarlig er det Skattedirektoratets ansvar å sørge for at anonymiseringen finner sted så snart det anførte statistikkformålet er oppfylt, slik at opplysningene kan anses slettet og kravene i lovens 11 og 28 kan anses oppfylt. Den behandlingsansvarlige er forpliktet til å dokumentere dette, ifølge personopplysningsloven Forbudet mot behandling til andre formål I Skattedirektoratets informasjon om personvern 27 er det opplyst at [m]ottatte opplysninger er underlagt Google sine retningslinjer for personvern. I tillegg er det opplyst at Google kan bruke informasjon som er samlet inn via Google Analytics til å yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av internett. 28 Personopplysningsloven 11 første ledd bokstav c fastsetter at personopplysninger ikke kan brukes senere til formål som er uforenlige med det opprinnelige formålet med innsamlingen, med mindre den registrerte samtykker. Google viser til at den innsamlede informasjonen kan brukes til å yte andre tjenester i tilknytning til [ ] bruken av internett, og at dette er et av formålene for innsamlingen av IPadressene. Det er høyst uklart hva som ligger i dette. Uttrykket kan etter vår vurdering i praksis tenkes å omfatte horisontal sporing av internettbrukere, og markedsføring på bakgrunn av personprofiler, for å nevne noen eksempler. Slik praksis vil i så fall ikke være forenlig med personopplysningslovens formålsbegrensning. Dersom Google, i egenskap av Skattedirektoratets databehandler, benytter de innsamlede opplysningene for å yte andre tjenester i tilknytning til [ ] bruken av internett, og uttrykket omfatter slik praksis som nevnt over, er det i utgangspunktet Skattedirektoratet som må svare for brudd på i personopplysningsloven 11 første led bokstav c. 6.7 Utleverer Skattedirektoratet personopplysninger til Google? Googles retningslinjer for personvern ble endret i mars i år. Den franske datatilsynsmyndigheten CNIL har uttrykt bekymring for at Googles nye retningslinjer er for generelle og uklare. 29 I tillegg refereres det til at Google claims publicly that it will combine data across services, og at dette raises fears about Google s actual practices Det fremstår med andre ord som om Google ønsker å behandle innsamlede personopplysninger til egne formål. I så fall vil ikke Google lenger kunne betraktes som Skattedirektoratets databehandler. I stedet vil Google inneha et selvstendig behandlingsansvar. Dette forutsetter igjen at opplysningene må regnes som utlevert fra Skattedirektoratet til Google. En slik utlevering er en av de behandlingskategorier som er definert i personopplysningsloven 2 nr. 2. Som nevnt tidligere, krever enhver slik behandling et rettslig grunnlag, og dessuten må de øvrige grunnkravene i lovens 11 være oppfylt Se avsnitt CNILs brev til Google Inc., datert 27. februar av 16

13 Vi kan ikke se at det foreligger noe rettslig grunnlag for en slik utlevering, med mindre den registrertes informerte forhåndssamtykke er innhentet. Som behandlingsansvarlig, er det i så fall Skattedirektoratets juridiske ansvar å godtgjøre at et slikt behandlingsgrunnlag foreligger. 6.8 Om informasjonskapsler Skattedirektoratet har opplyst at det benyttes informasjonskapsler på og at formålet er å analysere det generelle brukermønsteret på nettstedet. 30 De aktuelle kapslene er beskrevet over, i rapportens avsnitt 5.3. Vi viser til at artikkel 2 (5) i direktiv 2009/136/EF fastslår at artikkel 5 (3) i direktiv 2002/58/EF skal endres. 31 Bestemmelsen i den nye artikkel 5 (3) har fått følgende ordlyd: Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«endringen innfører en hovedregel om at det må innhentes samtykke fra den registrerte ved bruk av informasjonskapsler. Samtykket skal dessuten oppfylle de informasjonskrav som følger av direktiv 95/46/EF, jf. personopplysningsloven 2 nr. 7, jf. 19. Som det fremgår av bestemmelsen gjengitt ovenfor, er innhenting av samtykke ikke nødvendig dersom ett av følgende kriterier er oppfylt: Hvis kapselen utelukkende benyttes for det formål å overføre kommunikasjon via et elektronisk kommunikasjonsnett Hvis kapselen er absolutt nødvendig for å sette tjenestetilbyderen i stand til å levere en tjeneste som brukeren uttrykkelig har anmodet om Europa-Parlamentets og Rådets direktiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og beskyttelse av privatlivets fred i den elektroniske kommunikasjonssektor. Artikkel 5 (3) i direktiv 2002/58/EF tilsvarer bestemmelsen i dagens forskrift av 16. februar 2004 nr. 401 om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste 7-3, som lyder: Elektronisk kommunikasjonsnett kan ikke benyttes til lagring av opplysinger i brukers kommunikasjonsutstyr eller for å skaffe seg adgang til slike, uten at bruker er gitt informasjon av den behandlingsansvarlige i henhold til personopplysningsloven, herunder om behandlingsformålet og er gitt anledning til å motsette seg behandlingen. Dette er likevel ikke til hinder for teknisk lagring eller adgang til opplysninger: 1. utelukkende for det formål å overføre eller lette overføringen av kommunikasjon i et elektronisk kommunikasjonsnett 2. som er nødvendig for å levere en informasjonstjeneste etter brukerens uttrykkelige forespørsel. 13 av 16

14 Ingen av disse unntakene er anvendelige i dette tilfellet. For det første er utma-kapselen ikke nødvendig for å utføre den operasjonen som er beskrevet i punkt 1 over i rapportens avsnitt 5.2. For det andre vil neppe brukeren kunne sies å ha anmodet om noen tjenester fra Google Analytics brukeren har oppsøkt en tjeneste levert av Skattedirektoratet. 32 Artikkel 29-gruppen har kommet til den samme konklusjonen hva gjelder analytics-cookies i Opinion 4/2012 on Cookie Consent Exemption : While they are often considered as a strictly necessary tool for website operators, they are not strictly necessary to provide a functionality explicitly requested by the user (or subscriber). In fact, the user can access all the functionalities provided by the website when such cookies are disabled. As a consequence, these cookies do not fall under the exemption defined in CRITERION A or B. 33 Imidlertid ser det ikke ut til at denne endringen i direktiv 2002/58/EF er implementert i norsk rett, til tross for at implementeringsfristen for EU-medlemsstatene var 25. mai 2011, og. direktivet utvilsomt er EØS-relevant. Vi viser til at ekomforskriften 7-3 fremdeles kun gir brukeren en rett til å motsette seg behandlingen, jf. ordlyden i direktiv 2002/58/EF artikkel 5 (3) slik den lød før endringen i direktiv 2009/136/EU. Tilsynet antar imidlertid at en slik implementering er nært forestående. Av denne grunn gjøres Skattedirektoratet oppmerksom på dette allerede nå. 6.9 Personopplysningslovens krav om informasjon ved innsamling Det følger av personopplysningsloven 19 at den behandlingsansvarlige av eget tiltak skal informere den registrerte om følgende forhold: den behandlingsansvarliges navn og adresse, og dennes eventuelle representant formålet med behandlingen opplysningene vil bli utlevert, og eventuelt hvem som er mottaker det er frivillig å gi fra seg opplysningene annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28 Som nevnt i avsnitt 5.2, er informasjonen som gis til brukerne til dels motstridende, for eksempel når det gjelder spørsmålet om anonymisering av IP-adressene. Etter vår vurdering vil dette kunne være i strid med personopplysningsloven 19. Andre uklare forhold, som de som er omtalt i avsnitt 6.7, kan også utgjøre brudd på informasjonsplikten i Personopplysningslovens krav om internkontroll Ifølge personopplysningsloven 14 skal den behandlingsansvarlige etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Den behandlingsansvarlige skal dessuten dokumentere tiltakene Criterion A og B tilsvarer de to kriteriene i kulepunktene ovenfor. 14 av 16

15 Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren, og for Datatilsynet ved forespørsel Informasjonssikkerhet Generelt om lovens krav I henhold til personopplysningsloven 13 skal Skattedirektoratet gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal dokumenteres. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel Risikovurdering Rettslig grunnlag I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som kan ha betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal avstemmes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold Det ble opplyst at Skattedirektoratet hadde gjennomført risikovurdering før Google Analytics ble tatt i bruk. Risikovurderingen fokuserer på risiko forbundet med personopplysninger i tilknytning til behandling av IP-adresser og bruk cookies. Det ble innført tiltak som anonymiserer IP-adressen før denne lagres på server hos Google. 34 Konklusjon Det ble opplyst og verifisert at Skattedirektoratet hadde tilfredsstillende rutiner og gjennomførte risikovurdering og ekstern penetrasjonstest. Datatilsynet påpekte imidlertid viktigheten av å gjennomføre risikovurderinger i medhold av 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak overfor Skattedirektoratets videre bruk av analyseverktøy, behandling av IP-adresser og bruk av cookies Avvikshåndtering/sikkerhetsbrudd Rettslig grunnlag Det følger av personopplysningsforskriften 2-6 at Skattedirektoratet skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningsforskriften 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i Skattedirektoratet. 34 AnonymizeIP er en funksjon som fjerner siste oktett i IP-adressen før denne lagres hos Google. Se Tracing Code på 15 av 16

16 For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Faktiske forhold Skattedirektoratet opplyste om at de har hatt avvik knyttet til bruk av Google Aalytics. Avviket ble oppdaget i forbindelse med Skattedirektoratets bruk av Google Analytics i tilknytning til registrering av trafikk til besøkende fra Mobile enheter. Avviket besto i at brukernes IP adresse ikke ble anonymisert før informasjonen lagres hos Google Analytics. Se også rapportens kapitel 6. Behandling av IP-adresser via Google Analytics på Konklusjon Det ble opplyst og verifisert at Skattedirektoratet hadde tilfredsstillende rutiner og oppfølging av tiltak for avvik i forbindelse med Google Analytics Tilgangsstyring Rettslig grunnlag Det følger av personopplysningsloven 13 og personopplysningsforskriftens 2-11 til 2-14 at behandlingsansvarlig skal sikre at personopplysninger er utilgjengelig for uvedkommende. Tilgang til Goolge Analytics Skattedirektoratet opplyste at rapportene i Google Analytics ikke inneholder informasjon som kan brukes til å identifisere brukerne av nettstedet til I tilsendt dokumentasjon fremkommer det at det er åtte brukere og av disse er det seks som har administratorrettigheter til rapporter i Google Analytic. Tilgang til HTML-kode for skattetaten.no Det ble opplyst at ingen i Skattedirektoratet har tilgang til HTML-koden for skatteetaten.no. Administrasjon av nettstedet skatteetaten.no er betrodd til Skattedirektoratets driftsleverandør Creuna. Konklusjon Datatilsynet har ingen merknader til Skattedirektoratets tilganger til analyserverktøyet Google Analytics. 16 av 16

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00906 Dato for kontroll: 27.09.2011 Rapportdato: 31.01.2013 Endelig kontrollrapport Kontrollobjekt: Skattedirektoratet Sted: Oslo Utarbeidet av: Renate Thoreid Lars-Otto Nymoen Jørgen Skorstad

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00956 Dato for kontroll: 20.10.2011 Rapportdato: 01.02.2013 Endelig kontrollrapport Kontrollobjekt: Lånekassen Sted: Oslo Utarbeidet av: Renate Thoreid Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

PERSONVERNERKLÆRING- LINIO.NO

PERSONVERNERKLÆRING- LINIO.NO PERSONVERNERKLÆRING- LINIO.NO Dato: [31.7.2014 ] 1. Om SPiD og LINIO.NO LINIO.NO er en markedsplass hvor ulike selgere kan markedsføre og selge sine varer. SPiD er en tjeneste som tilbyr innloggings- og

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Finansdepartementet Postboks 8008 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/01410 SL HS/KR 13/00439-2/JSK 10. juni 2013 Dato Høringsuttalelse - Om gjennomføring av avtale mellom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

PERSONVERN. Atle Årnes, senioringeniør 6. april 2011

PERSONVERN. Atle Årnes, senioringeniør 6. april 2011 PERSONVERN Atle Årnes, senioringeniør 6. april 2011 Personopplysninger er verdifulle Mange er ute etter dem. Behandling av personopplysninger er regulert i Personopplysningsloven. 6. april 2011 Side 2

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. RETNINGSLINJER FOR PERSONVERN Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. Vi er forpliktet til å sikre

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum Innledende bemerkninger Rettslig grunnlag er betegnelsen på et av flere krav som må være oppfylt for at personopplysninger

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Avinors Retningslinjer

Avinors Retningslinjer Avinors Retningslinjer PERSONVERN, COOKIES OG MARKEDSFØRING Oppdatert 18. september 2015 Innhold 1. Behandlingsansvarlig... 2 2. Behandling av personopplysninger... 2 3. Nærmere om Avinors Digitale Reisefølge

Detaljer

Personvern hos Klarna AB

Personvern hos Klarna AB Personvern hos Klarna AB Klarna AB ("Klarna"), org.nr 556737-0431, behandler personopplysninger med største omsorg. Behandling av personopplysninger gjøres innenfor rammen av tilbudet og utførelsen av

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

[start kap] Innholdsoversikt

[start kap] Innholdsoversikt personvern BOOK.book Page 7 Thursday, December 23, 2010 1:32 PM [start kap] Innholdsoversikt 1 Innledning... 17 2 Personvernteori... 21 3 Internasjonalt personopplysningsvern... 81 4 Personopplysningsloven...

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Datasikkerhetserklæring Kelly Services AS

Datasikkerhetserklæring Kelly Services AS SPESIALISTER REKRUTTERER SPESIALISTER Datasikkerhetserklæring Kelly Services AS Innhold Vårt engasjement ovenfor personvern Hvilke personlige opplysninger samler vi inn? Hvem deler vi personopplysninger

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no Samtykke som behandlingsgrunnlag i arbeidsforhold 3. September 2015 Kari Gimmingsrud www.haavind.no TEMA Samtykke som grunnlag for behandling av personopplysninger i arbeidsforhold Aktualitet Før - under

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Det er forbudt å lagre unødvendige personopplysninger

Det er forbudt å lagre unødvendige personopplysninger Datalagringsdirektivet og arbeidsgivers innsyn i elektroniske spor Atle Årnes UiB, 19. April 2007 Det er forbudt å lagre unødvendige personopplysninger Personopplysninger skal ikke lagres lenger enn det

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT INNHOLD OG FORMÅL Næringsdrivende benytter i økende grad Internett til å innhente og ta i bruk personopplysninger fra forbrukere.

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Høyesterettsdom i Avfallsservice-saken

Høyesterettsdom i Avfallsservice-saken Høyesterettsdom i Avfallsservice-saken Datatilsynet 11. februar 2013 Høyesterett avsa den 31. januar 2013 dom i Avfallsservice-saken (HR-2012-00234-A). Saken for Høyesterett gjaldt krav om oppreisning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Ansvarsfraskrivelse: NETTSTEDETS TILGJENGELIGHET Selv om vi har lagt mye arbeid i utarbeidelsen av nettstedet, kan visse tekniske forhold være

Ansvarsfraskrivelse: NETTSTEDETS TILGJENGELIGHET Selv om vi har lagt mye arbeid i utarbeidelsen av nettstedet, kan visse tekniske forhold være Ansvarsfraskrivelse: NETTSTEDETS TILGJENGELIGHET Selv om vi har lagt mye arbeid i utarbeidelsen av nettstedet, kan visse tekniske forhold være utenfor vår kontroll, og vi kan ikke garantere at du vil ha

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Mønsterbesvarelse til DRI1010 eksamen vår 2013 Mønsterbesvarelse til DRI1010 eksamen vår 2013 Oppgave 1 Formålsbestemmelsen til personopplysningsloven (pol) er gitt i 1 og sier loven skal beskytte den enkelte mot at personvernet blir krenket gjennom

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer