Vår referanse (bes oppgitt ved svar)

Størrelse: px
Begynne med side:

Download "Vår referanse (bes oppgitt ved svar)"

Transkript

1 Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/ /HVE 21. desember 2011 Vedtak om pålegg - endelig kontrollrapport for Smart Club AS Det vises til gjennomført kontroll hos Smart Club AS den 11. oktober 2011, påfølgende Varsel om vedtak med foreløpig kontrollrapport av 1. november, og sist Deres brev av 29. november. I brevet gis det en redegjørelse for hvordan Smart Club har til hensikt å imøtekomme påleggene som ble varslet av Datatilsynet. Vurdering av virksomhetens tilsvar Virksomheten har gitt en ryddig redegjørelse for lukking av avvik og en plan for gjennomføring. Fremdriftsplanen er lagt opp slik at tiltakene implementeres es gradvis frem til 1. juni Datatilsynet har ingen merknader til den oppgitte planen for gjennomføring. Tidligere foreløpig kontrollrapport er gjort endelig og følger vedlagt. Datatilsynet har her presisert at demografiske opplysninger er basert på statistikk. Datatilsynet legger virksomhetens fremdriftsplan til grunn, og fatter vedtak i samsvar med tidligere varsel. Vedtakene vil være oppfylt dersom fremdriftsplanen følges. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet t følgende pålegg: 1. Virksomheten må utrede og dokumentere behandlingsgrunnlaget for personopplysningene i de ulike fasene av medlemskapet. Dette i samsvar med personopplysningslovens 14, jf 8 om vilkår for å behandle personopplysninger. Det vises til kontrollrapportens Virksomheten må slette opplysninger om utmeldte medlemmer hvor det ikke er en plikt til videre oppbevaring (regnskapslovgivningen). Dette i samsvar med personopplysningslovens 28. Det vises til kontrollrapportens Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 3. Virksomheten må etablere rutiner for å ivareta kav om innsyn og sletting. Dette i samsvar med personopplysningslovens 14, jf. personopplysningslovens 18 andre ledd og 28. Det vises til kontrollrapportens og Virksomheten må informere medlemmer om at enkelte opplysninger vil bli oppbevart videre ved en eventuell utmelding. Dette i samsvar med personopplysningslovens 19. Det vises til kontrollrapportens Virksomheten må informere medlemmer om at det samles inn opplysninger fra andre enn den registrerte. Dette i samsvar med personopplysningslovens ledd. Det vises til kontrollrapportens Smart Club må innen 15. juni 2012 bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført og vedlegge kopi av de nye skriftlige rutinene. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Leif T. Aanensen avdelingsdirektør Helge Veum senioringeniør Kopi: Smart Club, Postboks 200 Bryn, 0611 OSLO Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 11/00831 Dato for kontroll: Rapportdato: Foreløpig kontrollrapport Kontrollobjekt: Smart Club AS Sted: Smalvollveien 65, 0667 Oslo Utarbeidet av: Helge Veum, senioringeniør Maria Bakke, rådgiver 1 Innledning Datatilsynet gjennomførte kontroll hos Smart Club AS den 11. oktober Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med registrering av personopplysninger om privatkunder ved bruk av fordelskort. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Per Rune Lunderby, Adm.dir, Smart Club AS - Geir Jostein Dyngeseth, Markedsdirektør, Coop Norge Handel AS - Hilde Berge Mæhlum, Programsjef Smart Club medlemsprogram, Coop Norge Handel AS - Helge Ivar Melbye, Teamleder IT Medlem, Coop Norge Handel AS - Frode Ander, Leder IT Produksjon, Coop Norge Handel AS - Bjørn Tore Flaatten, Advokat, Coop Norge SA, vitne 2.2 Fra Datatilsynet: - Helge Veum, senioringeniør - Maria Bakke, rådgiver 3 Generelt Smart Club AS er heleiet av Coop Norge SA. Selskapet har ca 600 ansatte og driver seks større varehus innen dagligvare- og detaljhandel, hvorav tre varehus profileres som Smart Club med eget lojalitetsprogram til kunder. Per i dag er det ca medlemmer i Smart Club. 4 Kort om bruk av personopplysninger hos Smart Club AS samt formålet med behandlingene Smart Club AS behandler personopplysninger om privatkunder i forbindelse med administrering av kundeforholdet og fordelsprogrammet, herunder kontaktinformasjon, 1 av 10

4 fødselsdato, kjøpsinformasjon, samtykke til direkte markedsføring, hvorvidt medlemsavgiften er betalt, samt informasjon innhentet fra Match:It (Direktmedia MatchIT AS). De fleste personopplysninger samles inn direkte fra kundene, og kundene gjøres i den forbindelse klare over bruken og lagringen av personopplysningene gjennom den faktiske registreringen, medlemsvilkårene samt personvernpolicyen. Noen opplysninger hentes inn utenfra, fra Match:It. Opplysninger fra Match:It brukes eller er tiltenkt brukt for å skreddersy direkte markedsføring mot medlemmene. Detaljerte opplysninger om kjøp er knyttet til medlemsnummeret, og lagres ikke på en slik måte at det er lett å finne frem til dem. En kunde som skulle ønske innsyn i sin kjøpshistorikk må helst vite hvilken dag vedkommende handlet og medlemsnummeret sitt, og selv da vil det være krevende å finne frem til opplysningene. Ved utmelding eller passivitet over lengre tid slettes ikke personopplysningene om medlemmene, men profilen settes som inaktiv. Smart Club AS benytter seg av flere databehandlere som behandler personopplysninger på vegne av selskapet. Det er i forbindelse med kontrollen forelagt databehandleravtaler med disse. Virksomheten har fremlagt strukturert informasjon over hvilke personopplysninger som behandles om kunder/medlemmer i forbindelse med fordelsprogrammet. 5 Kort om krav ved behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningslovens 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette etter personopplysningslovens 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningslovens 11 bokstav b). Videre stilles det i personopplysningslovens 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. Ved opphør av for eksempel et kundeforhold skal opplysningene slettes med mindre det foreligger utestående krav eller lagring er regulert i annen lovgivning. Personopplysningslovens 14 stiller krav om at virksomheten etablerer internkontroll for å sikre at kravene i loven ivaretas. Herunder at virksomheten utreder rammene for behandlingen, fastsetter rutiner for gjennomføringen og følger opp at praksis er i samsvar med fastsatte rutiner. 2 av 10

5 Dersom den behandlingsansvarlige benytter en databehandler, en som behandler personopplysninger på vegne av den ansvarlige, skal det foreligge en databehandleravtale, jf. personopplysningslovens Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Behandlingsgrunnlag Krav i regelverket Etter personopplysningslovens 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Behandlingen kan baseres på et samtykke fra den registrerte, lovhjemmel, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål, jf. bokstav a-f Funn Virksomhetens behandlingsgrunnlag for opplysninger om egne medlemmer/kunder vil være at behandling er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, jf. personopplysningslovens 8 bokstav a. For å behandle personopplysninger utover det som anses for å være nødvendig for å oppfylle avtalen med den registrerte, må en eventuell behandling av personopplysninger baseres på et samtykke fra den registrerte. Etter utmelding av medlemmet anså virksomheten at de hadde en oppbevaringsplikt etter regnskapsloven og/eller bokføringsloven for deler av opplysningene som var registrert gjennom medlemskapet. Hvilke opplysninger dette gjaldt var ikke klart definert i virksomhetens dokumentasjon, men det var naturlig at dette gjaldt grunnleggende kontaktinformasjon og informasjon om opptjening og uttak av bonus. Tilsvarende var det lite trolig at innhentede demografiske opplysninger var omfattet av en slik oppbevaringsplikt. Virksomheten innhentet samtykke fra både medlemmer og ikke medlemmer for utsendelse av direkte markedsføring Konklusjon Virksomheten hadde ikke i tilstrekkelig grad utredet og dokumentert hvilket behandlingsgrunnlag den har for personopplysningene i de ulike fasene av medlemskapet. Dette er et avvik fra internkontrollplikten i lovens 14, jf 8 om vilkår for å behandle personopplysninger. Avviket gjelder særlig vurderinger av oppbevaring etter utmelding. For øvrig kan den systematiske tilgjengeligheten av behandlingsgrunnlaget bedres ved at det etableres en oversikt over behandlinger personopplysninger med behandlingsgrunnlag, jf. rapportens omtale om internkontroll. 3 av 10

6 6.2 Sletting Krav i regelverket I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dersom opplysningene anonymiseres, oppfyller dette også vilkåret i personopplysningsloven 28, da opplysningene ikke lenger kan knyttes til enkeltpersoner og derfor ikke lenger er personopplysninger. Sletting eller anonymisering av opplysninger må skje i alle ledd hvor opplysninger lagres for å oppfylle vilkåret i lovens Funn Sletting generelt Smart Club opplyste under kontrollen samt i oversendt dokumentasjon at opplysninger om medlemmer lagres i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Dette gjelder samtlige personopplysninger om medlemmet, herunder kontaktinformasjon, kjøpsinformasjon, opptjent bonus, m.m. Praksisen omfattet også opplysninger som selskapet innhenter fra Matcch:It, for eksempel om antatt sivilstand, antatt inntekt og urbaniseringsgrad. Opptjent bonus fra år 1 kan i følge medlemsvilkårene brukes fra februar år 2 og i 3 år fremover etter det forsvinner medlemmets rett til å bruke bonusen. Opplysninger i tilknytning til opptjent bonus og bruk av bonus må av hensyn til dette lagres i overkant av 4 år i de fleste situasjoner for å kunne oppfylle medlemsvilkårene. Videre lagring (10 år) er begrunnet i bokføringsplikten i regnskapslovgivningen. Medlemmer som aktivt melder seg ut settes som inaktive i selskapets register. Dette betyr at de ikke lenger er en del av medlemsprogrammene ved at de ikke opptjener bonus, ikke kan benytte seg av medlemsfordeler og ikke mottar direkte markedsføring. Opplysninger om utmeldte medlemmer slettes likevel ikke, men oppbevares i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen Utmelding ved passivitet Ved passivitet fra medlemmer (ikke betalt årsavgift) markeres ikke medlemmer som utmeldt. Et passivt medlem forblir medlem akkurat som de betalende medlemmene, men vil ikke kunne bruke medlemskapet ved handel og opptjening av bonus, samt andre medlemsfordeler. Manglende utmelding av passive medlemmer er forklart ved at mange handler hos selskapet sporadisk, og derfor ikke fornyer medlemskapet sitt før behovet faktisk oppstår. For eksempel kan årsavgiften forfalle i januar et år, men dersom medlemmet ikke handler hos Smart Club før julehandelen i desember, vil vedkommende ofte ikke være oppmerksom på dette. Passive medlemmer vil også kunne ha opptjent bonus mens de var aktive medlemmer som de kan benytte seg av i flere år. Passive medlemmer mottar også direkte markedsføring rettet mot medlemmer, og får dermed påminnelser om sitt medlemskap, selv om de vil måtte betale årsavgiften før de kan benytte seg av tilbudene. 4 av 10

7 Virksomheten har selv foretatt en vurdering av at passivitet fra medlemmer ved at årsavgift ikke betales, ikke skal medføre en ekskludering av medlemmet ved at medlemskapet settes som inaktivt og etter hvert slettes Sletting av opparbeidet profil Profil på medlemmer opparbeidet med bakgrunn i medlemmets kjøp ble slettet ved første oppdatering av analysedatabasen etter utmelding Konklusjon Sletting ved generelt Virksomheter er som hovedregel selv ansvarlig for å vurdere hvilke opplysninger de er pliktig til å lagre i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Det er likevel ikke slik at alle opplysninger om medlemmer skal lagres i 10 år, selv om virksomheten er forpliktet å lagre noen av dem. Datatilsynet kan ikke se at opplysningene som er innhentet fra Match:It vedrørende antatt sivilstand, urbaniseringsgrad og inntekt er en type opplysninger som faller inn under lagringsplikten i regnskapslovgivningen. Virksomheten er ansvarlig for å vurdere om også andre opplysninger som er registrert om medlemmer ikke er lagringspliktig av hensyn til bokføringsplikten i regnskapslovgivningen. Det vises for øvrig til rapportens Lagring av samtlige opplysninger om alle medlemmer i 10 år er et avvik fra personopplysningslovens 28. Avviket knyttes spesielt til opplysninger som antatt sivilstand, urbaniseringsgrad for utmeldte medlemmer, og avhenger av vurdert behandlingsgrunnlag for opplysningene, jf rapportens Manglende rutiner for sletting er avvik fra kravet om internkontroll etter personopplysningslovens 14, jf Utmelding ved passivitet Datatilsynet ser det som naturlig at rammene for løpende kundeforhold 1 legges til grunn hvor medlemmet ikke lengre velger å fornye medlemskapet. Hvorvidt det passive medlemmet har disponibel bonus tilgjengelig vil være naturlig å legge til grunn i en konkret vurdering om når et medlem bør anses som utmeldt. Datatilsynet slutter seg med andre ord ikke til virksomhetens vurdering om at passive medlemmer ikke meldes ut. Manglende vurdering for tidspunkt for utmelding og manglende rutiner for gjennomføring av utmelding ved passivitet er et avvik fra krav om internkontroll etter personopplysningslovens Se blant annet Datatilsynets notat Direkte Markedsføring, tilgjengelig fra 5 av 10

8 Behandling av opplysninger passive medlemmer som regnes som utmeldt må behandles etter de reglene som fastsettes for utmeldte medlemmer, jf. rapportens Sletting av opparbeidet profil Ingen avvik avdekket. 6.3 Innsyn for den registrerte Krav i regelverket Enhver har rett til innsyn i informasjon om de behandlinger av personopplysninger en virksomhet foretar i samsvar med personopplysningslovens ledd. Den registrerte har etter ledd i tillegg rett til innsyn i hvilke opplysninger om den registrerte som behandles Funn Ivaretakelse av den generelle innsynsretten ble ikke gjennomgått under kontrollen da det publiserte materialet, med avtalevilkår og personvernpolicy antas å ivareta dette i tilstrekkelig grad. Virksomheten opplyste under kontrollen at medlemmer kan få innsyn i opplysninger om seg selv enten ved å logge seg inn på Min side på virksomhetens nettsider, eller ved å henvende seg til kundeservice. Medlemmene ville da få innsyn i opplysninger de selv registrerte ved innmelding, som kontaktinformasjon og samtykke til direkte markedsføring, samt opplysninger om opptjent bonus. Medlemmer gis ikke innsyn i profil eller informasjon innhentet fra Match:IT. Medlemmene gis heller ikke nærmere informasjon om at slike opplysninger finnes, utover hva de antas å kjenne til gjennom avtalevilkårene Konklusjon At medlemmer ikke gis innsyn i alle opplyninger som er registrert om dem er at avvik fra retten til innsyn i personopplysningslovens ledd. Avviket knyttes til manglende innsyn i opplysninger innhentet fra Match:It og profil på medlemmet. Manglende rutiner for innsyn er avvik fra kravet om internkontroll etter personopplysningslovens 14, jf ledd. Det bemerkes at det vil ivareta lovens krav dersom en generell forespørsel om innsyn besvares med de opplysninger de er naturlig å anta at den registrerte ønsker innsyn i. Dette forutsatt at det gis eksplisitt informasjon om at det finnes andre registrerte opplysninger av gitt karakter, og at det fremgår at den registrerte har rett til innsyn også i disse opplysningene. 6 av 10

9 6.4 Informasjonsplikt Krav i regelverket Personopplysningslovens 19 slår fast at den registrerte skal informeres om en rekke forhold når det samles inn opplysninger fra den registrerte selv. Dette gjelder bl.a. formålet med behandlingen og om opplysningene blir utlevert til andre. Personopplysningslovens 20 krever at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv av eget tiltak skal informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i 19. Det er i bestemmelsen gjort enkelte unntak fra informasjonsplikten Funn Informasjon om lagring etter regnskapslovgivningen Dersom et medlem ønsker å melde seg ut, settes medlemskapet som inaktivt i virksomhetens registre. Det fremkommer ikke klart for medlemmet at opplysninger om vedkommende ikke slettes, men at det bare foretas en statusendring i registeret og opplysningene lagres videre i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Heller ikke de passive medlemmene får noen informasjon om hva som på sikt skjer med deres medlemskap og personopplysninger. Det gis ingen informasjon ved innmelding om at medlemskapet vil innebære en lovfestet lagring i tillegg til det som klart fremgår av avtalen. Det gis heller ikke informasjon om hva som skjer med opplysningene ved passiv opptreden fra medlemmet Informasjon om innhenting av opplysninger fra andre Ved tegning av medlemskap registreres det også opplysninger fra andre enn den registrerte. Dette gjelder konkret grunnkrets, statistisk informasjon om livsfase (som ungdom, singel, par, småbarnsfamilie, barnefamilie etc.), inntektsdekatil og urbaniseringrad. I personvernpolicyen til Smart Club (avtalevilkår for medlemskapet) fremgår det ikke at det innhentes opplysninger fra andre enn den registrerte eller kjøpsinformasjon. Utsagnet registrerer vi blant annet navn, adresse og telefonnummer. er den eneste indikasjonen på at det registreres mer enn kjøpsinformasjon og hva medlemmet selv opplyser. I tillegg opplyses det om bruk av personprofiler. Det fremkommer heller ikke av Min side eller av informasjonen som gis av kundeservice at virksomheten også innhenter opplysninger om kunder fra Match:It, og medlemmer gis ikke innsyn i disse opplysningene. I tillegg vedlikeholdes kontaktinformasjon gjennom adressevask Konklusjon Informasjon om lagring etter regnskapslovgivningen Det anses som et avvik fra personopplysningslovens 19 om informasjonsplikt at medlemmet ikke gis tilstrekkelig informasjon om hva som skjer ved utmelding eller vedvarende passivitet. 7 av 10

10 Det vil være naturlig at informasjonen gis i medlemsvilkårene, samt i rutinemessig utsendt materiale for eksisterende medlemmer. Det er et unntak fra varslingsplikten for opplysninger som det er på det rene at den registrerte kjenner til, herunder antatt lovpålagte behandlinger av personopplysninger som bokføringer. Likevel ser Datatilsynet det som nødvendig at det gis informasjon om at opplysninger innsamlet for et formål også vil innebære en senere lovpålagt oppbevaring. Dette kan for eksempel løses ved at det i personvernpolicyen opplyses at deler av medlemskapsinformasjonen også vil inngå i en lovpålagt oppbevaring etter regnskapslovgivningen Informasjon om innhenting av opplysninger fra andre Informasjonsplikten skal sikre at den registrerte er kjent med hvilke opplysninger som registreres en. Følgelig må informasjonen være tilstrekkelig klar og intuitiv. For at informasjonen skal være tilstrekkelig, må virksomhetene eksplisitt informere om hvilke opplysninger som systematisk innhentes fra andre enn den registrerte. At medlemmer ikke informeres om at det samles inn opplysninger fra andre enn den registrerte er et avvik fra personopplysningslovens ledd. Det bemerkes at Datatilsynet tar høyde for at det ved en ikke systematisk innsamling (eksempelvis for å gjennomføre en konkret seleksjon), kan være et unntak fra informasjonsplikten etter ledd. Informasjonsplikten etter 21 vil imidlertid være gjeldende når utvalget kontaktes. 6.5 Databehandlerrelasjoner Krav i regelverket Personopplysningslovens 15 oppstiller krav om at den behandlingsansvarlige skriftlig må avtale med databehandlere hvorledes disse skal behandle personopplyninger på vegne av den behandlingsansvarlige. Opplysningen kan ikke overlates til andre for lagring eller bearbeidelse uten slik avtale. 6.6 Funn Virksomheten kunne fremlegge avtaler med databehandlere. For en avtale var ikke Smart Club avtalepart, men Coop NKL BA. Det fremgår imidlertid av avtalen mellom Smart Club AS og Coop Norge Handel AS at databehandleren kan benytte underleverandører (også 3. parts databehandlere) forutsatt at behandlingsansvarlig er orientert. Det var en dialog om hva som er tilstrekkelig regulering av databehandleren gjennom avtale, og i hvilken grad behandlingsansvarlig må stille seg bak de vurderinger og rutiner som oppstilles for å etterleve regelverket (regelverk). Dette hadde bakgrunn i avtalens punkt 4 nr. (i) hvoretter databehandleren skal sikre at selskapets behandling av personopplysninger på vegne av virksomheten er i overensstemmelse all relevant lovgivning om personopplysninger, 8 av 10

11 samt punkt 4 nr. (ii) hvoretter det fremgår at behandlingen skal finne sted etter de til enhver tid gjeldende oppdragsavtaler Konklusjon Det bemerkes at det er den behandlingsansvarlige som skal sikre at loven etterleves. Dette kan ikke delegeres til databehandleren. Forutsatt ivaretakelse av avtalenes nr 4 (ii) anser Datatilsynet at behandlingsansvarlig ivaretar sin plikt. Ingen avvik konstatert. 6.7 Melde- og konsesjonsplikt Behandling av personopplysninger om selskapets kunder er unntatt fra meldeplikt i henhold til personopplysningsforskriftens 7-7. Området ble ikke nærmere behandlet. 6.8 Internkontroll og informasjonssikkerhet Krav i regelverket Personopplysningslovens 14 stiller krav om at virksomheten skal holde vedlike planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av personopplysningsloven. Virksomheten skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne. Kravene til internkontroll er utdypet i personopplysningsforskriftens kapittel 3. Kravet til internkontroll omfatter også nødvendig sikkerhetsdokumentasjon Funn Merknader knyttet til internkontroll for å sikre etterlevelse av konkrete plikter er behandlet løpende i rapporten. Før kontrollen oversendte virksomheten en ryddig dokumentasjon om ivaretakelse av pliktene etter loven. Dokumentasjonen virksomheten benevner internkontroll er i det vesentlige rutiner for gjennomføring og rutiner for å følge opp gjennomføringen. Virksomhetens overordende vurderinger og fastsettelse av rammer forventes normalt som den overordnede delen i en internkontroll. En systematisk oversikt over behandlinger og behandlingsgrunnla ble ikke fremlagt. Virksomheten hadde imidlertid overordnende vurderinger knyttet til kontrollens tema i øvrig oversendt dokumentasjon. Styrende sikkerhetsdokumentasjon ble fremlagt. Denne fremstod som hensiktsmessig, og ble ikke gjennomgått nærmere. 9 av 10

12 6.8.3 Konklusjon Det konstateres ikke generelle avvik knyttet til internkontroll og informasjonssikkerhet. Enkeltavvik knyttet til internkontroll er tidligere omhandlet. Det legges til grunn at virksomheten på selvstendig grunnlag utøver et kontinuerlig forbedringsarbeid i samsvar med krav til informasjonssikkerhet og internkontroll etter personopplysningslovens 13 og 14. Det bemerkes at virksomheten har et forbedringspotensial på den styrende delen av internkontrollen. Det vises i den sammenhengen til Datatilsynets veiledningsmateriale på 10 av 10

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00589 Dato for kontroll: 29.06.2011 Rapportdato: 03.07.2012 Endelig kontrollrapport Kontrollobjekt: Bring Dialog Norge AS Sted: Oslo Utarbeidet av: Helge Veum Aslaug Bendiksen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger. Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT INNHOLD OG FORMÅL Næringsdrivende benytter i økende grad Internett til å innhente og ta i bruk personopplysninger fra forbrukere.

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Navigea Securities AS Postboks 120 4001 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00863-6/HTE 12. juli 2013 Vedtak om pålegg endelig kontrollrapport for Navigea Security -

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo - Datatilsynet Saksnummer: 09/01148-3 Dato for kontroll: 13. oktober 2009 Rapportdato: 2. desember 2009 Foreløpig kontrollrapport Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo Utarbeidet

Detaljer

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/5428 09/00171-8 /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser. Til ordfører, administrasjonssjef og daglig leder Nærmere informasjon om www.styrevervregisteret.no KS sendte den 5. januar 2007 brev til kommuner, fylkeskommuner og kommunalt eide selskaper der Styrevervregisteret

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger BEST Helse Nordstrand Postboks 104 Bekkelagshøgda 1109 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/01093-10/CGN 8. april 2014 BEST Helse Nordstrand pålegg om avslutning av urettmessig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------

Detaljer

Innledning. Behandling av personopplysninger

Innledning. Behandling av personopplysninger Innledning Norsk Direktemarkedsføringsforening (NORDMA) søker å opprettholde et effektivt og pålitelig system for selvregulering. Disse reguleringene (bransjenormene) skal møte rimelige krav og forventninger

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport Advokatfirma Ræder DA v/adv. Vebjørn Søndersrød Postboks 2994 Solli 0230 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01153-11/HTE 18. januar 2012 Kontroll hos SUSS - Senter for ungdomshelse

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og

Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og Sparebank 1 Markets AS Postboks 1398 Vika 0114 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00864-9/HTE Dato 8. juli 2013 Kontroll hos Sparebanken 1 Markets - lydopptak - vedtak Det vises

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport Tafjord Marked AS Serviceboks 1 6025 ÅLESUND Deres referanse 10/00139-6-464- GH-HN Vår referanse (bes oppgitt ved svar) Dato 10/00192-10/HTE 12. april 2012 Kontroll hos Tafjord Markeds AS - vedtak - endelig

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009. Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/42637 09/00173-7 /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013. Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer