Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og

Størrelse: px
Begynne med side:

Download "Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og"

Transkript

1 Sparebank 1 Markets AS Postboks 1398 Vika 0114 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/ /HTE Dato 8. juli 2013 Kontroll hos Sparebanken 1 Markets - lydopptak - vedtak Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og Datatilsynets varsel om vedtak av 09. april Vurdering av tilsvar Datatilsynet har i brev av 28. mai 2013 mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. pkt. 1 Lydopptak av samtaler til og fra sentralbordet Virksomheten plikter etter vpf å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. I varsel om vedtak vurderte tilsynet at lydopptak av samtaler til og fra sentralbordet ikke var i tilknytning til ytelser av investeringstjenester, og derfor manglet et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8. Virksomheten er av den oppfatning at samtaler som settes over fra sentralbordet til telefoner hvor det ytes investeringstjenester, vil være samtaler «i tilknytning til ytelse av investeringstjenester» og være opptakspliktig etter vpf , og legger til grunn at det derfor foreligger et behandlingsgrunnlag. For øvrige samtaler til og fra sentralbordet tar virksomheten til etterretning at det ikke foreligger noe behandlingsgrunnlag og vil heretter ikke lagre slike samtaler. Det opplyses videre at de interne retningslinjer og tekniske systemer vil endres tilsvarende. Datatilsynet tar merknadene til etterretning. Det fattes vedtak som tidligere varslet. Ad. pkt. 2 Informasjon om lydopptak Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf : a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 c) at oppbevaringstiden er minst tre år, og d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte vil ha en informasjonsplikt, jf. personopplysningsloven 19. Plikten til å gi informasjon inntrer før behandlingen (lydopptak) igangsettes. Virksomheten har i sine merknader opplyst at lydopptaksplikten er lovpålagt og at det informeres om lydopptak utførlig på virksomhetens hjemmeside og at lydopptaket reguleres av virksomhetens kundeavtale og standard forretningsvilkår. Virksomhetens forretningsmodell er primært rettet mot større institusjonelle kunder og det er derfor en klar forventning om at de telefonsamtalene man foretar blir tatt opp. Virksomheten anfører at det er på det rene at gjennomføring og lagring av lydopptak er allment kjent slik at varsling ikke er påkrevd, jf. personopplysningsloven 19 annet ledd. Det tilføyes at den samme vurderingen er ikke gjort for opptak av samtaler tilknyttet mobiltelefoner, siden plikten til å gjøre opptak av mobiltelefonsamtaler er relativ ny, samt at det er ulik bransjepraksis. Personopplysningsloven 19 annet ledd gjør unntak fra informasjonsplikten, slik at det ikke er nødvendig å gi informasjon til den registrerte som han eller hun allerede kjenner til. Etter merknadene til bestemmelsen heter det at «For at unntaket skal få anvendelse stilles det strenge beviskrav det må være klart at den registrerte har slik kunnskap fra før.» 1 For eksisterende kunder som har fått opplyst at samtlige telefoner til og fra virksomhetens meglere vil bli tatt opp, vil vilkåret i 19 annet ledd være oppfylt. For innringere som ikke er kunde eller som ikke har fått slik informasjon, vil det etter tilsynets vurdering ikke være på det rene, jf. lovens 19 annet ledd, at den registrerte kjenner til at det foretas lydopptak. Unntak fra plikten til å gi informasjon, jf. 19 annet ledd, vil følgelig ikke være oppfylt. En praktisk problemstilling blir i denne sammenheng hvordan virksomheten skal klare å skille mellom eksisterende kunder som har mottatt informasjon vedrørende lydopptak og øvrige registrerte som virksomheten plikter å gi informasjon til. Tilsynet er kjent med at kunder ofte har en fast kontaktperson med et direktenummer. En praktisk løsning vil i den anledning kunne være at virksomheten informerer om at det foretas lydopptak i tråd med vpf for telefoner som kommer til virksomhetens sentralbord. For eksisterende kunder med et direktenummer til megler, vil det være naturlig å legge til grunn at personopplysningsloven 19 annet ledd er oppfylt. Den foreslåtte løsningen ivaretar informasjonsbehovet til personer som presumtivt ikke er informert, samt tar hensyn til eksisterende kunder som tidligere er informert. 1 Ot prp nr 92 ( ) Om lov om behandling av personopplysninger (personopplysningsloven) side

3 Virksomheten står her fritt til å velge den løsningen som etterlever informasjonsplikten, jf. personopplysningsloven 19. Det fattes vedtak som tidligere varslet. Ad. pkt. 3 innsynsrett Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Virksomheten har av hensyn til de ansattes personvern ikke utlevert lydfiler eller laget transkripsjoner av lydopptaket. Kunder eller øvrige registrerte har imidlertid blitt bedt om å møte opp hos virksomheten for å lytte på opptak. Datatilsynet konkluderte i varsel om vedtak at virksomhetens praktisering av innsynsretten ikke oppfylte personopplysningslovens krav. Virksomheten har i sine merknader til varselet uttalt at «Transkripsjon av lydsamtaler er ekstremt ressurskrevende og er ikke praktisk gjennomførbart, sett hen til mengden av samtaler som tas opp. Innsynsrett må derfor ivaretas gjennom lytting av lydfiler.» Det anføres at det vil være en «stor og overhengende fare for misbruk» ved utlevering av lydfiler til kunder. Det er ikke uvanlig at deler av samtalene mellom ansatte og kunder også kan inneholde personlige forhold, og at veien er kort for at en sur og misfornøyd kunde legger ut en lydfil han mottar ut på f. eks. «Youtube». Virksomheten er av den oppfatning at kundens rett til innsyn i utgangspunktet er tilstrekkelig ivaretatt ved at kunden gis adgang til å lytte på de(n) aktuelle lydopptakene. Datatilsynet la til grunn for sine vurderinger at opptakene kunne bestå av flere timer, og virksomhetens gjennomføring av innsynsretten ikke var særlig egnet i slike tilfeller. Dette vil være tilfelle når det er behov for å engasjere profesjonell bistand i f. eks. en klagesak. Virksomheten har i merknadene til varselet foreslått at man i slike saker kan sende lydopptakene til en lokal advokat som avgir en bekreftelse på at lydfilene ikke vil bli utlevert videre, den registrerte kan da møte opp hos advokaten og få opptakene avspilt. Unntak fra retten til innsyn og plikt til å gi informasjon er hjemlet i personopplysningsloven 23. Datatilsynet har forståelse for at virksomheten er bekymret for at lydfiler kan benyttes på en slik måte at det går ut over de ansattes personvern. Datatilsynet finner imidlertid ikke at en mulig offentliggjøring av lydopptakene/transkripsjon, kan være grunnlag for å unnta den registrerte den lovhjemlede retten til å motta transkripsjon av lydopptak, jf. personopplysningsloven 24. Tilsynet bemerker i den sammenheng at det i enkelte tilfeller kan være adgang til å offentliggjøre/publisere slike lydopptak, selv om den enkelte ansatte skulle føle sitt personvern krenket gjennom handlingen. Det fattes vedtak som tidligere varslet. 3

4 Ad. pkt. 4 Lagring og sletting av personopplysninger Kravene til internkontroll fremgår av personopplysningsloven 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf (1) skal lydopptak og annen dokumentasjon som nevnt i oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. Virksomheten har i sine merknader lagt til grunn at lydopptak som vedrører gjennomførte transaksjoner skal lagres i minst fem år, jf. vphl nr 7. Etter vpf nr. 1 heter det at «verdipapirforetak skal oppbevare den dokumentasjon som kreves etter verdipapirhandelloven og forskrifter fastsatt i medhold av verdipapirhandelloven i minst 5 år.» Lydopptak som inneholder slik dokumentasjon som vpf nr. 1, jf. vphl nr. 7, viser til skal etter dette lagres i minst fem år, øvrige lydopptak som ikke inneholder slik dokumentasjon skal minst lagres i minst tre år, jf. vpf Virksomheten må etablere rutiner for å avklare om opptakene fortsatt skal lagres etter 3 år. Det fattes vedtak som tidligere varslet. Vurdering av merknader fra Norges Fondsmeglerforbund Norges fondsmeglerforbund (NFMF) har i e-post av 3. juli 2013 gitt en tilleggskommentar til spørsmålet om innsynsrett. NFMF viser til verdipapirforetakenes plikt til å etablere betryggende interne rutiner for ansattes og tillitsvalgtes innsyn i lydopptak og annen kommunikasjonskanal, jf. verdipapirforskriften Rutinen skal minst bestå av hvilke tjenstlige formål og hvilke prosedyrer som skal åpnes for slikt innsyn. NFMF er videre av den oppfatning at: «Det ligger i forskriften at lovgiver har sett behovet for å verne ansatte mot ukontrollert innsyn fra, kollegaer, overordnede m.fl. Derfor er det også strenge rutiner i verdipapirforetakene for slikt innsyn. Dersom kunder skulle få anledning til ukontrollert innsyn i lydopptak for eksempel ved utlevering, vil den beskyttelse som ansatte er gitt gjennom kravene i forskriften bli verdiløs.» 4

5 Datatilsynet bemerker: Vpf pålegger finansforetakene å etablere interne rutiner for ansattes og tillitsvalgtes innsyn i blant annet lydopptak. Bestemmelsen regulerer ikke når tillitsvalgte eller andre ansatte skal få innsyn til lydopptakene. Pliktene verdipapirforetakene har etter vpf er sammenfallende med pliktene som følger av personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Kravene etter personopplysningsloven 14 vil sågar utfylle pliktene som følger av vpf , siden personopplysningsloven 14 også vil pålegge verdipapirforetakene å etablere prosedyrer for hvordan innsynsretten skal gjennomføres overfor kunder som har vært gjenstand for lydopptak. Vpf er etter tilsynets vurdering ment å klargjøre og dokumentere virksomhetens interne behov for innsyn i lydopptak og hvordan innsyn skal gjennomføres i praksis. I tillegg bidrar bestemmelsen til at behandlingen av personopplysninger i virksomheten blir transparent og kjent blant de ansatte, og vil derfor være et viktig verktøy for å kunne etterleve personopplysningslovens regler. Plikten til å hindre uvedkommende (interne og eksterne individer) tilgang til lydopptakene er regulert i personopplysningsloven 13. Personopplysningsloven 13 stiller en del krav til behandlingsansvarlig (finansforetaket) når det gjelder informasjonssikkerheten ved behandling av personopplysninger. Bestemmelsen fastslår at den behandlingsansvarlige skal gjennom planlagte og systematisk tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Kravet til konfidensialitet innebærer at personopplysningene skal være utilgjengelig for uvedkommende. Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelige for autoriserte brukere for bruk i henhold til de formål de er innhentet. I dette ligger blant annet at kun de som har tjenstlig behov for personopplysninger skal ha tilgang til dem. Hvilke personer som oppfyller kravet til tjenstlig behov er det i utgangspunktet virksomheten selv som må ta stilling til. Virksomheten må imidlertid være beredt til å begrunne sitt valg av antall personer som er gitt tilgang til visse typer opplysninger. Etter tilsynets vurdering og ut i fra et personvernperspektiv er det mindre betenkelig å gi den registrerte (kunden eller den aktuelle ansatt) innsyn i et lydopptak vedkommende selv deltar i, enn det er å gi øvrige ansatte i finansforetaket fri tilgang/innsynsrett. Dette syn gjenspeiles i regelverket når ansatte som ikke har deltatt i samtalen må vise til et tjenstlig behov/formål for å få tilgang/innsyn til lydopptakene, jf. vpf , mens en slik begrunnelse ikke er nødvendig for den registrerte, jf. personopplysningsloven 18 annet ledd. Den registrerte (kunde eller den aktuelle ansatt) som ønsker innsyn i lydopptak, jf. personopplysningsloven 18 annet ledd, vil etter dette ikke være å anse som «uvedkommende», men en med lovlig tilgang/innsynsrett når unntak fra innsynsretten, jf. personopplysningsloven 23, ikke kommer til anvendelse. Etter personopplysningsloven 24 vil virksomheten ha en plikt til å utlevere en transkribert versjon av samtalen eller en lydfil. 5

6 Finansforetakene plikter følgelig å ha rutiner på plass for å behandle innsynskrav fra de registrerte som ønsker innsyn i lydopptak, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomhetens lydopptak av innkomne og utgående samtaler fra sentralbordet må opphøre, med mindre det kan vises til et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8. Det vises til kontrollrapporten pkt Virksomheten må informere innringere om at telefonsamtalen vil bli tatt opp, jf personopplysningsloven 19. Det vises til kontrollrapporten pkt Virksomheten må gi innsynsrett til de registrerte i tråd med personopplysningsloven 18 annet ledd, jf. lovens 24. Det vises til kontrollrapportens pkt Virksomheten må utarbeide rutiner for sletting av personopplysninger og håndtering av innsynsbegjæringer i tråd med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Det vises til kontrollrapportens pkt Lukking av avvik Datatilsynet anbefalte i brev 9. april 2013 at det ble oversendt et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Det ble videre opplyst at tilsynet vil se hen til denne fremdriftsplanen når det skal vedtas en frist for virksomhetens gjennomføring av påleggende. Datatilsynet har ikke mottatt slikt forslag til fremdriftsplan. Datatilsynet gir på denne bakgrunn en frist for gjennomføring av samtlige pålegg til 31. oktober Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom virksomheten har kommentarer til fristen for gjennomføring av påleggende, bes det om en rask tilbakemelding på dette. 6

7 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen syv uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Henok Tesfazghi rådgiver Kopi: Vedlegg: Norges fondsmeglerforbund, Pb Vika, 0117 OSLO Endelig kontrollrapport 7

8 Saksnummer: 12/00864 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: SpareBank 1 Markets AS Sted: Oslo Utarbeidet av: Stein Erik Vetland Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos SpareBank 1 Markets AS den Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med gjennomføring av lydopptak. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Martin Hagen, administrerende direktør (CEO) - Håvard Vikse, juridisk direktør (COO) - Arild Tømmerås, IT-sjef - Giske Jean-Hansen, advokatfullmektig 2.2 Fra Datatilsynet: - Martha Eike, overingeniør (observatør) - Stein Erik Vetland, overingeniør - Henok Tesfazghi, juridisk rådgiver 3 Generelt SpareBank 1 Markets AS ble etablert i 2008 og er et verdipapirforetak i SpareBank 1- alliansen, hvor SpareBank 1 Gruppen har en eierandel på 97,55 % og ledende ansatte eier de resterende 2,45 %. Det er 106 årsverk tilknyttet virksomheten. 1 av 10

9 4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten plikter å foreta lydopptak av telefonsamtaler som foretas i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven (vphl.) 2-1 første ledd nr. 1 til 6, jf. verdipapirforskriften (vpf.) Plikten til å foreta lydopptak vil omfatte alle telefonsamtaler i tilknytning til investeringstjenester, herunder investeringsrådgivning samt mottak og formidling av ordre. Videre foreligger det en utstrakt plikt til å dokumentere innholdet i annen kommunikasjon med kunder, som ved bruk av e-post, SMS, Bloomberg, Reuters Messenger og ulike chattekanaler på Internett. Videre plikter virksomheten å etablere betryggende rutiner for dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler når disse benyttes i tilknytning til ytelse av investeringstjenester som nevn ovenfor. Personopplysningsloven vil her gjelde utfyllende. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. 11 bokstav b). Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Det er vanskelig å se hvordan et formål kan være uttrykkelig angitt uten at det også er skriftlig nedfelt. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer i bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelig proporsjoner sett opp mot de oppgitte behov og formål, og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningsloven 11 første ledd bokstav a) må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningsloven 8 (og 9 om det behandles sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for lydopptak er hjemmel i lov, jf vphl , jf. vpf Lydopptak Rettslig grunnlag Verdipapirforetakene plikter, jf. vphl , etter nærmere regler fastsatt av departementet å: 1. foreta lydopptak i tilknytning til yting av investeringstjenester og tilknyttede tjenester, samt 2 av 10

10 2. oppbevare lydopptak og annen type dokumentasjon i tilknytning til slike tjenester Verdipapirforetakene plikter etter vpf å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. Dvs. 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, 4. aktiv forvaltning av investorers portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter, Verdipapirforetakene plikter ikke å foreta lydopptak eller dokumentere annen kommunikasjon som gjelder yting av tilknyttede tjenester etter vphl. 2-1 annet ledd. Tilknyttede tjenester er etter vphl. 2-1 annet ledd: 1. oppbevaring og forvaltning av finansielle instrumenter, 2. kredittgivning, 3. rådgivning med hensyn til foretaks kapitalstruktur, industriell strategi og beslektede spørsmål, samt rådgivning og tjenester i forbindelse med fusjoner og oppkjøp av foretak, 4. tjenester i tilknytning til valutavirksomhet når dette skjer i forbindelse med ytelse av investeringstjenester som definert i første ledd, 5. utarbeidelse og formidling av investeringsanbefalinger, finansielle analyser og andre former for generelle anbefalinger vedrørende transaksjoner i finansielle instrumenter, 6. tjenester knyttet fulltegningsgaranti, 7. tjenester i tilknytning til underliggende til varederivater og derivater som definert i 2-2 femte ledd nr. 5, når disse tjenestene har sammenheng med investeringstjenester eller tilknyttede tjenester som nevnt i bestemmelsene her Faktiske forhold Hovedformålet med lydopptak hos virksomheten er å sikre overholdelse av lovpålagte plikter, samt adekvat behandling av kunden, f. eks. ved at megler kan kontrollere at han/hun har oppfattet riktig ordre. Lydloggen vil videre bli brukt i forbindelse med foretakets internkontroll. Lydloggen vil også kunne benyttes som dokumentasjon i klagesaker, med de begrensninger som følger av taushetsplikten. Virksomheten tar opp alle fasttelefonsamtaler, og et utvalg mobiltelefonsamtaler, som foretas i tilknytning til ytelser av investeringstjenester, jf. vphl. 2-1 nr Av 106 årsverk er det kun meglerens mobiltelefoner (ca. 22 personer) som er koblet til opptaksutstyr. Når megler 3 av 10

11 befinner seg i utlandet må megler selv påse at mobilsamtalen blir tapet ved å benytte nødvendig telefon-app. Virksomheten tar opp alt av inngående og utgående samtaler. Dette skjer automatisk uavhengig om det ringes til eller fra sentralbordet eller om det ringes direkte til eller fra en medarbeider Vurdering Virksomheten vil ha et behandlingsgrunnlag, jf. personopplysningsloven 8 (fastsatt i lov), til å foreta lydopptak når virksomheten yter investeringstjenester og tilknyttede tjenester, jf. pkt ovenfor. Når virksomheten foretar lydopptak av samtaler inn og fra sentralbordet, vil det etter Datatilsynet vurdering, falle utenfor virksomhetens lovpålagte plikt til å foreta lydopptak, jf. pkt Det er på det rene at det ikke ytes investeringstjenester eller tilknyttede tjenester fra sentralbordets telefonlinjer. Det innhentes ikke et samtykke fra innringer eller mottaker av samtalen og tilsynet finner ikke at øvrige behandlingsgrunnlag i personopplysningsloven 8 bokstav a) til f) blir oppfylt. Datatilsynet finner derfor at virksomheten ikke har et gyldig behandlingsgrunnlag for de lydopptak som foretas av telefonsamtaler som kommer inn og fra sentralbordet Konklusjon Virksomhetens lydopptak av innkomne og utgående samtaler fra sentralbordet mangler et gyldig behandlingsgrunnlag i personopplysningsloven E-post og lynmelding(chat) Virksomheten kommuniserer med sine kunder på ulike måter. Dette kan være e-post, lynmeldinger, sms, mv. Alle disse kommunikasjonsformene er skriftlige, men de vil ha ulike normer for kommunikasjonsformen. Kundene vil også kunne ha ulik oppfatning om hvor bevaringsverdig kommunikasjonen er Rettslig grunnlag Datatilsynet legger til grunn lovverket nevnt i punkt I tillegg stadfester personopplysingsloven 28 at det er ikke er lovlig å lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. Personopplysningsforskriften kapittel 9 omhandler innsyn i ansatte sin e-post, mv. Med arbeidstakers e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøkning av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Bestemmelsene gjelder 4 av 10

12 også for arbeidsgivers innsyn i opplysninger som arbeidstaker har slettet fra nevnte områdene, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til. Reglene gjelder både overfor nåværende arbeidstakere og tidligere arbeidstakere, samt andre som utfører, eller har utført, arbeid for arbeidsgiver Faktiske forhold Virksomheten sparer på alle kommunikasjonsformer som blir overført gjennom deres løsning. Det er ikke klart for tilsynet om virksomheten regelmessig forsikrer seg om at personopplysninger blir slettet når formålet er gjennomført i e-postkasser, sikkerhetskopier, mv Konklusjon Datatilsynet begrenser seg til å henstille virksomheten til å slette personopplysninger når formålet med behandlingen er gjennomført, jf personopplysningsloven Informasjon Rettslig grunnlag Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf : a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte har en informasjonsplikt, jf. lovens 19. Følgende hitsettes: Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f. eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og av 10

13 Plikten til å gi informasjon gjelder her før lydopptak settes i gang, eksempelvis før lydopptakets oppstart. Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen virksomheten plikter å gi, jf. personopplysningsloven 19 andre ledd. Terskelen for at unntaket fra informasjonsplikt skal komme til anvendelse («på det rene») er satt høyt. Den behandlingsansvarlige må her være helt sikker på at den registrerte er kjent med samtlige punkter i 19 første ledd. Unntak fra retten til informasjon er også hjemlet i personopplysningsloven 23. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftingsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger Faktiske forhold Virksomheten informerer i sine kundeavtaler og på sin nettside at de foretar lydopptak og lagrer alle telefonsamtaler til og fra virksomhetens fasttelefoner, samt utvalgte mobiltelefoner, samt lagrer kommunikasjon via sms og e-post. Det blir ikke gitt noe informasjon til innringere eller avsendere av sms og e-post utover dette. Når det gjøres opptak fra mobiltelefoner fra utlandet, vil imidlertid den man ringer til bli informert om at samtalen blir tatt opp (via mobilapp) Vurdering Datatilsynet legger til grunn at de som henvender seg til virksomheten eller de virksomheten henvender seg til ikke alltid er kunder og bør kjenne til virksomhetens alminnelige forretningsvilkår. Etter personopplysningsloven 19 skal virksomheten av eget tiltak informere den registrerte om de forhold som er nevnt i personopplysningsloven 19 første ledd bokstav a) til e). For lydopptak finner tilsynet det tilstrekkelig å oppgi følgende opplysninger til den registrerte før samtalen blir tatt opp: - at det blir foretatt lydopptak - formålet med lydopptaket - hvor lenge lydopptakene lagres - at øvrige informasjon er tilgjengelig på f. eks. virksomhetens nettside Øvrige informasjon viser her til opplysninger som virksomhetens adresse, retten til innsyn og retten til å kreve retting. Det forutsettes at virksomheten har slik informasjon lett tilgjengelig på virksomhetens nettside og at virksomheten informerer den registrerte om denne muligheten. 6 av 10

14 Etter tilsynets vurdering vil ikke virksomheten overholde sin informasjonsplikt, når de kun opplyser at det foretas lydopptak gjennom virksomhetens alminnelige forretningsvilkår eller gjennom øvrig informasjon på virksomhetens nettside, jf. personopplysningsloven 19. Det er tilsynets vurdering at innringer samt mottaker som blir gjenstand for lydopptak må bli kjent med at det foretas lydopptak i forkant, gjerne som en automatisk opplest beskjed, før lydopptaket igangsettes Konklusjon Virksomheten overholder ikke sin informasjonsplikt, jf. personopplysningsloven Lagring Rettslig grunnlag Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf (1) skal lydopptak og annen dokumentasjon som nevnt i oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. Plikten til å lagre materiale i tre år gjelder dog kun relevante opplysninger. Den behandlingsansvarlige må av den grunn etablere rutiner for å søke å hindre lagring av overskuddsinformasjon. Etter vpf nr. 1, jf. vphl. 9-11, skal verdipapirforetak oppbevare den dokumentasjon som kreves etter verdipapirhandelloven og forskrifter fastsatt i medhold av verdipapirhandelloven i minst fem år Faktiske forhold I den foreløpige kontrollrapporten la tilsynet følgende faktum til grunn. Lagring av lydopptakene startet i 2011, og har derfor blitt lagret under tre år. Virksomheten har ikke vurdert om det er nødvendig å lagre opptakene (her må e-post og chat meldinger innbefattes) utover de lovpålagte tre årene. Virksomheten har i tilsvar til den foreløpige kontrollrapporten opplyst at man har i samsvar med verdipapirhandelloven foretatt og lagret lydopptak siden oppstart av virksomheten (november 2008). Videre legger virksomheten til grunn at lydopptak som vedrører gjennomførte transaksjoner skal lagres i minst fem år i henhold til vphl. 9-11, og det er årsaken til at spørsmål om når og hvordan sletting skal foretas, ikke har blitt aktualisert Konklusjon Hovedregelen er at lydopptak og annen dokumentasjon som nevnt i vpf skal oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen 7 av 10

15 mottatt, jf. vpf (1). Lydopptak som inneholder slik dokumentasjon som vpf nr. 1, jf. vphl nr. 7, viser til skal lagres i minst fem år. Datatilsynet legger etter dette til grunn at virksomheten foretar lydopptak som skal lagres i minst tre år, jf. vpf (1), samt av telefonsamtaler som inneholder slik dokumentasjon som hjemler en lagringsplikt i minst fem år, jf. vpf nr. 1. Tilsynet vil her påpeke at virksomheten her har en plikt til å sørge for at unødvendige personopplysninger blir slettet etter at lagringsplikten har utløpt, jf. personopplysningsloven 11 bokstav e), jf Innsyn Rettslig grunnlag Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Den behandlingssansvarlige plikter å svare innsynsbegjæringen senest innen 30 dager fra henvendelsen ble mottatt, jf. personopplysningsloven Faktiske forhold Ansatte kan ved skriftlig henvendelse til juridisk direktør, be om innsyn i lydlogg for egne telefonsamtaler. Anmodning må angi dato og telefonnummer, og en begrunnelse av behovet. Av hensyn til ansattes personvern blir kunder eller øvrige registrerte bedt om å møte opp hos virksomheten for å lytte på opptak. Det blir ikke utlevert lydfiler eller laget transkripsjoner av lydopptaket. Det ble opplyst at denne praksisen var vanlig i bransjen og i tråd med Norges Fondsmeglerforbund (NFMF) sin anbefaling. Virksomheten opplyste under kontrollen at det ikke behandlet mange innsynskrav Vurdering Virksomheten gir ikke ut kopier av lydfiler og utleverer heller ikke transkripsjoner av lydopptak. Innsynsretten blir, etter Datatilsynets vurdering, avspist med at den registrerte blir bedt om å møte opp hos virksomheten for å lytte på opptaket. Datatilsynet legger til grunn at opptakene kan bestå av flere timer, og virksomhetens foreskrevne praksis, ikke vil være særlig egnet i slike tilfeller. Dette vil særlig være tilfelle når det er behov for å engasjere profesjonell bistand i f. eks. en klagesak. 8 av 10

16 Det ble opplyst under kontrollen at grunnen til at den registrerte ble avspist med å høre på lydopptakene hos virksomheten, skyldes av hensynet til de ansattes personvern. Datatilsynet har også forstått at dette er en praksis som NFMF anbefaler. Etter Datatilsynets vurdering plikter virksomheten å gi den registrerte innsyn i opplysninger om seg selv, jf. personopplysningsloven 18 annet ledd. Etter personopplysningsloven 24 kan den registrerte kreve en skriftlig kopi hos behandlingsansvarlig. Datatilsynet forstår bestemmelsen slik at den registrerte kan kreve en transkripsjon av lydopptak. Da dette er tidsog ressurskrevende, vil de fleste virksomheter utlevere opptaket som en lydfil eller på en CD. Datatilsynet anser en slik løsning som tilfredsstillende og i tråd med personopplysningsloven 24. Virksomheten tilbyr ikke den registrerte en innsynsrett i tråd med 18 personopplysningsloven annet ledd. Unntak fra innsynsretten, jf. lovens 23, er ikke påberopt og vil etter tilsynets vurdering heller ikke gjøre seg gjeldende Konklusjon Virksomhetens praksis vil stride med innsynsretten etter personopplysningsloven 18 annet ledd, jf. personopplysningsloven Internkontroll Rettslig grunnlag Kravene til internkontroll fremgår av personopplysningslovens 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Rutiner for bruk av ulike informasjonssystemer er en viktig del av en tilfredsstillende internkontroll. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollsystemet har tradisjonelt blitt delt inn i tre deler, et styrende, en gjennomførende og en kontrollerende del Faktiske forhold Virksomheten opplyste under kontrollen at lydloggene ble minst lagret i tre år, men at man ikke hadde vurdert hvor lenge enda, siden man lå godt innenfor tre års fristen Vurdering Etter Datatilsynets vurdering, skulle det vært en skriftlig nedfelt rutine for sletting av hhv. lydopptak, e-postkorrespondanse samt chat logger. En manglende rutine for slik sletting må anses som en mangel etter personopplysningsforskriften 3-1 bokstav c). Etter tilsynets vurderinger av innsynsretten (pkt ), vil virksomheten også måtte etablere nye rutiner for å håndtere innsynsbegjæringer. 9 av 10

17 5.6.4 Konklusjon Virksomhetens manglende sletterutiner er i strid med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c). 5.7 Informasjonssikkerhet Rettslig grunnlag I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble omtalt under kontrollen Faktiske forhold Virksomheten jobber systematisk og planlagt for å sørge for tilstrekkelig informasjonssikkerhet. Datatilsynet har ikke påvist svakheter med virksomheten sin løsning, Konklusjon Intet avvik funnet. 10 av 10

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Navigea Securities AS Postboks 120 4001 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00863-6/HTE 12. juli 2013 Vedtak om pålegg endelig kontrollrapport for Navigea Security -

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

PERSONVERNERKLÆRING FORUM SECURITIES AS

PERSONVERNERKLÆRING FORUM SECURITIES AS PERSONVERNERKLÆRING FORUM SECURITIES AS Nytt personvernregelverk ble innført i Norge gjeldende fra 1. juli 2018 og Forum Securities AS har oppdatert sin personvernerklæring i tråd med det nye regelverket.

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Personvern og kundedata

Personvern og kundedata Personvern og kundedata 19.01.2015 Fra muligheter til begrensninger? MULIGHETENE Hvordan bruke data fra interaksjon med kundene for å få større kundeinnsikt og grunnlag for å forbedre tjenester og produkter?»

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013. Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten Side 1 Innledning Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten 2018-10-22 Advokatfirmaet Judicium/Båtadvokaten behandler dine opplysninger når vi utfører oppdrag for deg. Alle opplysninger

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR ) PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS Innledning Denne personvernerklæringen gjelder for Advokatene på Nordstrand AS (APN). Vi er behandlingsansvarlige for behandlingen av personopplysninger

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR HVA ER VIKTIG FOR HR- DATA GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Aksjetjenesten i SpareBank 1 nettbank for foretak

Aksjetjenesten i SpareBank 1 nettbank for foretak Aksjetjenesten i SpareBank 1 nettbank for foretak SpareBank 1 Markets AS ( SpareBank 1 Markets ) er innholdsleverandør for aksjetjenesten i SpareBank 1 nettbank. For å oppfylle kravet til etablering av

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

Aksjetjenesten i SpareBank 1 nettbank for foretak

Aksjetjenesten i SpareBank 1 nettbank for foretak Aksjetjenesten i SpareBank 1 nettbank for foretak SpareBank 1 Markets AS ( SpareBank 1 Markets ) er innholdsleverandør for aksjetjenesten i SpareBank 1 nettbank. For å oppfylle kravet til etablering av

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen

Detaljer

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond Når du er i kontakt med stiftelsen Prinsesse Märtha Louises Fond kan

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om

Detaljer

Retningslinjer for ytelse av investeringstjenester

Retningslinjer for ytelse av investeringstjenester Tittel Retningslinjer for ytelse av investeringstjenester Vedtatt av: Styret Dato: 28. november 2018 Tidligere dok: N/A Skal revideres Årlig Tilgjengelig for: Alle Disse retningslinjer bygger på lov om

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Personvernerklæring for medlemmer

Personvernerklæring for medlemmer Personvernerklæring for medlemmer Denne personvernerklæringen gir deg informasjon om Fontenehuset Asker (heretter kun omtalt som "Fontenehuset") sin behandling av personopplysninger som samles inn i forbindelse

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

ETISK RÅD AVGJØRELSE I SAK NR. 2010/16

ETISK RÅD AVGJØRELSE I SAK NR. 2010/16 ETISK RÅD AVGJØRELSE I SAK NR. 2010/16 Klager: X Innklaget: Terra Markets AS Parkveien 61 0201 Oslo Saken gjelder: Klage på mangelfull oppfølgning fra verdipapirforetakets side i forbindelse med aksjehandel

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

Aksjetjenesten i SpareBank 1 nettbank for foretak

Aksjetjenesten i SpareBank 1 nettbank for foretak Aksjetjenesten i SpareBank 1 nettbank for foretak SpareBank 1 Markets AS ( SpareBank 1 Markets ) er innholdsleverandør for aksjetjenesten i SpareBank 1 nettbank. For å oppfylle kravet til etablering av

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS Advokathuset Just AS tilbyr advokattjenester til privatpersoner, næringsliv og offentlige institusjoner. For at vi skal kunne gjøre jobben vår og oppfylle vårt

Detaljer

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar) 12/ /CBR Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig

Detaljer

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte

Detaljer

Personvernerklæring for Clemco Norge AS

Personvernerklæring for Clemco Norge AS Personvernerklæring for Clemco Norge AS Behandlingsansvarlig Daglig Leder er behandlingsansvarlig for Clemco Norges behandling av personopplysninger. Personopplysninger som lagres personopplysninger som

Detaljer

Personvernerklæring for Eurofins norske selskaper

Personvernerklæring for Eurofins norske selskaper Personvernerklæring for Eurofins norske selskaper Eurofins i Norge er opptatt av din integritet og ditt personvern. Det er derfor en selvfølge for oss å alltid etterstrebe å beskytte dine personopplysninger

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.

Detaljer

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT PERSONVERNERKLÆRING FOR STIFTELSEN SIKT 1 Behandling av personopplysninger ved Stiftelsen SIKT Når du er i kontakt med SIKT kan det forekomme at vi innhenter og behandler personopplysninger om deg. Vi

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS PepCall AS Munkedamsveien 35 0250 Oslo Deres referanse Vår referanse Dato 17/01484-10/EOL 12.12.2017 Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS Vi viser

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer