Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Transkript

1 Eniro Norge AS avd Trondheim Postboks TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/ /MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli Vurdering av tilsvar Datatilsynet har i brev av 19. august 2011 mottatt virksomhetens merknader til varselet, og vil i det følgende komme med kommentarer til tilsvaret. Varslet vedtak nr. 1: Datatilsynet noterer at virksomheten har påbegynt arbeidet med å utarbeide en oversikt over behandlinger av personopplysninger, jf. personopplysningsforskriften 2-4. Varslet vedtak nr. 2: Datatilsynet merker seg at rutiner for innsyn i e-post og bruk av Internett endres i tråd med regelverket samt at ny avtale inngås med fagforeningene. Varslet vedtak nr. 3: Det fremgår av tilsvaret at logging av ansattes bruk av Internett trolig ikke skjer per i dag, men at dette vil undersøkes nærmere. Videre informeres det om at rutiner for slik logging vil endres i tråd med regelverket. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må utarbeide en oversikt over behandlinger av personopplysninger, jf. personopplysningsforskriften 2-4. Det vises til rapportens punkt Virksomheten må oppdatere rutine for innsyn i e-post og bruk av Internett i tråd med krav oppstilt i personopplysningsforskriften kapittel 9, jf. personopplysningsloven 14. Det vises til rapportens punkt Virksomheten må umiddelbart endre rutiner for loggføring av ansattes bruk av Internett, jf. personopplysningsloven 11 jf. 8 jf. 14. Det vises til rapportens punkt Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 I tråd med virksomhetens fremdriftsplan settes fristen for gjennomføring til 30. september Eniro Norge AS må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningsloven kapittel VI. Eventuell klage må fremsettes for Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å omgjøre vedtaket. Med hilsen Leif T. Aanensen avdelingsdirektør Mari Hersoug Nedberg rådgiver Kopi: Arbeidstilsynet, region Midt-Norge, Postboks 4720 Sluppen, 7468 Trondheim Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 11/00721 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Eniro Norge AS, avdeling Trondheim Sted: Trondheim Utarbeidet av: Mari Hersoug Nedberg 1 Innledning Datatilsynet gjennomførte kontroll hos Eniro Norge AS, avdeling Trondheim, 27. juni Kontrollen ble foretatt i medhold av personopplysningsloven 44 jf. 42, 3. ledd. Temaet for tilsynet var virksomhetens behandling av personopplysninger, særlig i forbindelse med gjennomføring av kontrolltiltak. Kontrollen ble utført hos virksomhetens avdeling i Trondheim. I det følgende beskrives de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner ner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Stian Torgersen, regionsjef Ditt Distrikt - Anders Eriksrud, regionsjef Gule Sider - Tommy Kangsås, salgssjef Kvasir - Terje Kalbakken, hovedkontor - Elin Sørlie, verneombud - Susanne Næs Hansen, storkundekonsulent, Ditt Distrikt - Else Marie Harbækvold, storkundeselger, Kvasir - Hollie Bomberg, porteføljeselger, Gule Sider - Espen Hanssen, nysalg, Ditt Distrikt - Rune Jensen, storkundekonsulent, Gule Sider 2.2 Fra Arbeidstilsynet: - Jan Norman Bjørkmo, seniorinspektør/prosjektleder, region Midt-Norge - Mette Bakkerud, seniorrådgiver (jurist), region øst - Magnus Melhus Overå, jurist, Direktoratet for Arbeidstilsynet 2.3 Fra Datatilsynet: - Aslaug Bendiksen, seniorrådgiver - Mari Hersoug Nedberg, rådgiver 3 Generelt Eniro Norge er en medievirksomhet som tilbyr ulike former for søketjenester, herunder produkter som Gule Sider, Telefonkatalogen, Kvasir, Proff, Ditt Distrikt og SOL. 1 av 6

4 Eniro er et nordisk konsern med hovedkontor i Stockholm og markedsenheter i Danmark, Finland, Polen og Norge. Avdelingen i Trondheim består av tre salgsavdelinger knyttet til merkevarene Ditt Distrikt (ca. 40 ansatte), Gule Sider (ca. 25 ansatte) og Kvasir (ca. syv ansatte). Hver avdeling er inndelt i grupper/team, som primært følges opp av en salgssjef. Et slikt team består av rundt syv personer. Det skilles mellom porteføljesalg/oppfølging og nysalg. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Eniro Norge AS har inngått en lokal avtale med El & IT, klubb Eniro og Negotia om bruk av bedriftens IKT-utstyr og behandling av personalopplysninger, datert 20. desember Avtalen omhandler rutiner knyttet til bruk av Internett/e-post, datalogging for å vurdere arbeidsinnsats, adgangskontroll, medlytt/lydopptak av salgssamtaler, og kameraovervåking. Drøftingsplikten etter arbeidsmiljøloven 9-2, 2. ledd er således overholdt. Lønnen til de ansatte består av en fastlønn kombinert med provisjon av salg. Alle salg blir registrert inn i et salgssystem av den enkelte selger. I dette systemet registreres antall kunder, kjøpte tjenester, verdi av tjenester, økning/minsking sammenlignet med tidligere salg, samt nysalg. Tidspunkter for pålogging, pauser mv. blir ikke registrert. Den enkelte selger har tilgang til data knyttet til seg selv, i tillegg til data om samtlige kunder/virksomheter. Teamleder og avdelingsleder kan hente ut rapporter vedrørende sine ansatte. Rapportene sendes per e-post til ansatte på et team, og presenteres muntlig for alle ansatte innenfor samme avdeling. Eniro oversendte i forkant av tilsynet følgende dokumenter: Instruks for behandling av personaldata, bruk av internett og av e-post, Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personalopplysninger, IT-policy samt organisasjonskart. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Innledende bemerkninger Datatilsynet vil under dette punktet gjennomgå de gjeldende bestemmelser etter personopplysningsloven vurdert opp mot de funn som ble avdekket under kontrollen, herunder vurdere om det foreligger brudd på personopplysningsloven, og eventuelt konsekvenser av slike brudd. 5.2 Generelle krav til behandling av personopplysninger Oversikt over behandlinger og behandlingsgrunnlag Etter personopplysningsloven 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Ved en behandling av sensitive personopplysninger må i tillegg kravene oppstilt i personopplysningsloven 9 være oppfylt. Behandlingsgrunnlaget etter begge bestemmelsene kan være lovhjemmel, et samtykke fra den registrerte, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål. 2 av 6

5 I medhold av personopplysningsforskriften 2-4 skal det føres en oversikt over hva slags personopplysninger som behandles. Virksomheten hadde ikke utarbeidet en slik oversikt over behandlinger av personopplysninger og tilhørende behandlingsansvar. Mangelen anses som et brudd på personopplysningsforskriften Melde- og konsesjonsplikt Behandling av personopplysninger er meldepliktig, jf. personopplysningsloven 31. En melding er gyldig i tre år. Det bør følgelig etableres rutiner som sikrer at melding oppdateres innen utløpet av tre år, jf. personopplysningsloven 14. En behandling av sensitive personopplysninger vil som et utgangspunkt være konsesjonspliktig, jf. 33. Unntak finnes hovedsakelig i personopplysningsforskriften kapittel 7, og spesielt i 7-16 som regulerer arbeidsgivers behandling av personopplysninger. Eniro Norge AS har registrert seks meldinger i meldedatabasen, herunder melding om behandling av personopplysninger ved bruk av adgangskontrollsystem, jf , registrert 17. oktober 2008, samt fjernsynsovervåking, jf , registrert 17. oktober Sistnevnte melding viste seg kun å gjelde for delen av virksomheten som holder til i Oslo, og omtales følgelig ikke nærmere i denne rapporten. I punkt 6c i meldeskjemaet gis det anledning til å komme med en nærmere beskrivelse av behandlingen av personopplysninger. Datatilsynet bemerker at det med fordel kan gis mer utfyllende opplysninger om behandlingen i meldeskjemaet Internkontroll Plikten til å etablere internkontroll følger av personopplysningsloven 14 jf. personopplysningsforskriften kapittel 3. Den behandlingsansvarlige pålegges å etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven med forskrift. Tiltak skal dokumenteres. Internkontroll krever at den behandlingsansvarlige har kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon som beskriver hvordan behandling av personopplysninger skal skje i virksomheten (rutiner), samt ha denne dokumentasjonen tilgjengelig for ansatte i virksomheten. Datatilsynet etterspurte i forkant av kontrollen styrende dokumenter for internkontroll. Dette ble ikke oversendt. Virksomheten har rutiner knyttet til adgangskontrollsystemet som ligger tilgjengelig på virksomhetens intranett (EniroNet), samt en rutine knyttet til bruk av Internett og e-post. Sistnevnte ble oversendt i forkant av tilsynet. Dessuten er behandling av personopplysninger om ansatte omtalt i Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personalopplysningar. Ut over dette ble det ikke vist til rutiner for håndtering av personopplysninger knyttet opp mot kravene i personopplysningsloven med forskrift. Det 3 av 6

6 mangler således blant annet rutine for avvikshåndtering etter personopplysningsforskriften 2-6. Datatilsynet avgrenser seg til å påpeke den behandlingsansvarliges plikt til å etablere og holde ved like planlagte og systematiske tiltakt som er nødvendige for å oppfylle kravene i personopplysningsloven med forskrift, jf. personopplysningsloven 14 jf. personopplysningsforskriften kapittel Informasjon, innsyn og sletting Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak informere den registrerte om hvilke opplysninger som samles inn, og gi informasjon i medhold av 19, 1. ledd så snart opplysningene er innhentet, jf. personopplysningsloven 20, 1. ledd. Datatilsynet etterspurte i varsel om tilsyn rutiner for å gi informasjon i medhold av personopplysningsloven 19 og 20 samt eventuelle informasjonsskriv knyttet til det enkelte kontrolltiltak. Virksomheten skrev i tilbakemeldingen: Ser ikke at vi har saker vedrørende dette. Det ble opplyst at nyansatte ble gitt informasjon om kontrolltiltak og registrering av personopplysninger i forbindelse med sentral opplæring. Til tross for dette syntes ikke de ansatte å kjenne til at slik informasjon var gitt. Noe informasjon lå imidlertid på virksomhetens intranett, herunder rutiner for behandling av personopplysninger i adgangskontrollsystemet samt en IT-policy. Den lokale avtalen om kontrolltiltak som også berører øvrige behandlinger av personopplysninger lå ikke tilgjengelig, og det er således uvisst hvilken informasjon de ansatte faktisk har fått om disse tiltakene. Datatilsynet begrenser seg til å påpeke plikten etter personopplysningsloven 19 og 20 jf Registrering av personopplysninger om ansatte ( kontrolltiltak) Adgangskontroll Virksomheten hadde et adgangskontrollsystem som ble driftet av utleier/securitas. Kontrolltiltaket er omtalt i Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personalopplysningar, hvor det fremgår at: Systemet registrer alle som passerer systemets sjekkepunkter. Formålet med adgangskontroll registreringen er å beskytte ansatte, samt selskapets sikkerhet. Disse systemene brukes kun til sikkerhetsformål, og er nødvendig for å sikre bygningens fysiske sikkerhet Data fra adgangskontrollsystemet slettes etter tre måneder. Adgangskontrollsystemet er meldt i medhold av personopplysningsloven av 6

7 Datatilsynet gikk ikke nærmere inn på hvilke opplysninger som registreres, hvilken informasjon som er gitt til de ansatte, eventuell databehandleravtale, samt rutine for sletting av data Medlytt/lydopptak Det fremgår av Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personopplysningar at medlytt og lydopptak av telefonsamtaler med kunder brukes som ledd i opplæring og coaching av de ansatte. Det fremgår av avtalen at lydopptak benyttes unntaksvis og slettes umiddelbart etter at den ansatte og leder har lyttet på opptaket. Opptaket brukes ikke til andre formål enn opplæring av ansatte. Medlytt/lydopptak ble igangsatt etter initiativ fra leder og/eller ansatt. Lydopptak ble brukt i svært liten grad. Ulike deler av virksomhet hadde forskjellige rutiner knyttet til bruken av medlytt/lydopptak ut over opplæringstiden. Enkelte av de ansatte oppfattet dette tiltaket som uproblematisk, mens andre følte det ubehagelig. Den ansatte ble informert om tiltaket i forkant og kunne i noen grad påvirke bruken av medlytt/opptak og eventuelt hvilke samtaler som skulle være gjenstand for medlytt/opptak. Lydopptak ble initiert av den ansatte selv, og ble slettet senest innen 48 timer Innsyn i e-post Innsyn i e-post er omtalt i dokumentene Instruks for behandling av personaldata, bruk av internett og av e-post, Informasjonssikkerhetspolitikk for Eniro Norge AS (IT-policy) og Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personalopplysningar. Instruksen og avtalen er utarbeidet før ikrafttredelsen av personopplysningsforskriften kapittel 9 om innsyn i e-post mv. Rutinen var ikke kjent for de ansatte i virksomheten, men dokumentet Informasjonssikkerhetspolitikk for Eniro Norge AS lå tilgjengelig på virksomhetens intranett, merket som Nytt. Rutinene avviker på flere punkter fra kravene som oppstilles for slikt innsyn og avviket anses som et brudd på personopplysningsforskriften kapittel 9 jf. personopplysningsloven Loggføring Loggføringer i systemene til Eniro er omtalt i dokumentene Informasjonssikkerhetspolitikk for Eniro Norge AS (IT-policy), Instruks for behandling av personaldata, bruk av internett og av e-post, Informasjonssikkerhetspolitikk for Eniro Norge AS og Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personalopplysningar. Det følger av Instruks for behandling av personaldata, bruk av internett og av e-post at: Alle opplysninger om hvilke hjemmesider den enkelte har besøkt vil bli registrert (aktivitetslogg). Opplysningene vil ikke bli brukt til annet enn å administrere systemet og til å avdekke eventuelle sikkerhetsbrudd. Dette er i overensstemmelse med reglene i personregisterloven og forskrifter gitt i medhold av denne. 5 av 6

8 Datatilsynet vil bemerke at registrering og logging av Internettrafikk ikke anses å være en del av autorisert og uautorisert bruk av et informasjonssystem slik Eniro synes å legge til grunn. Det gjøres for ordens skyld oppmerksom på at loggføringsplikten etter personopplysningsforskriften 2-8, 3. ledd refererer seg til autorisert og uautorisert pålogging til informasjonssystemet og ikke registrering av den ansattes bruk av Internett. Loggføring av Internettrafikk kan ei heller hjemles i personopplysningsforskriften 2-14 og Virksomhetens loggføring av hvilke hjemmesider den enkelte har besøkt anses som et brudd på personopplysningsloven 11 jf Resultat-/prestasjonsmåling Alle salg ble registrert inn i et system av den enkelte selger. I dette systemet registreres antall kunder, kjøpte tjenester, verdi av tjenester, økning/minsking i forhold til tidligere salg, samt nysalg. Tidspunkter for pålogging, pauser mv. ble ikke registrert. Den enkelte selger har tilgang til data knyttet til seg selv, i tillegg til data om samtlige kunder/virksomheter. Teamleder og avdelingsleder kan hente ut rapporter vedrørende sine ansatte. Rapportene inneholder en rekke ulike parametre knyttet til forventet og oppnådd salg. Rapportene sendes hyppig ut til ansatte på et team per e-post, men presenteres muntlig for alle ansatte innenfor samme avdeling. Rapportene inneholder en rangering av alle ansatte innenfor et team/avdeling. Innenfor en merkevare, eksempelvis Gule Sider, ble resultater sendt på tvers av regionene. De ansatte oppga at resultatrapportering er en viktig del av jobben som selger og at rapportene fungerer som en motivasjonsfaktor. En av grunnene til dette er at hvert team har et felles ansvar for måloppnåelse, i tillegg til de individuelle mål som settes. Måltall og resultater var generelt synlig i virksomhet, herunder på tavler med navn på de ansatte i lokalet. I henhold til Lokal avtale om bruk av bedriftens IKT-utstyr og behandling av personalopplysningar skal: Personopplysninger som behandles til oppfølging og måling av ansatte lagres i maksimalt 1 år. Det ble imidlertid oppgitt at opplysninger knyttet til den enkelte selger lagres i flere år. Det vises i denne sammenheng til krav oppstilt i personopplysningsloven 28, hvor det fremgår at personopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Datatilsynet avgrenser seg til å påpeke plikten til å slette personopplysninger som ikke lenger anses nødvendig av hensyn til formålet med behandlingen, jf. personopplysningsloven 28, samt utarbeide rutiner for å overholde denne plikten, jf. personopplysningsloven av 6