Endelig kontrollrapport

Størrelse: px
Begynne med side:

Download "Endelig kontrollrapport"

Transkript

1 Saksnummer: 13/01040 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Bilia Personbiler AS Sted: Oslo Utarbeidet av: Atle Aarnes og Andreas Jensen Hofstad 1 Innledning Datatilsynet gjennomførte kontroll hos Bilia Personbiler AS (heretter Bilia) den 16. oktober Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med salg og service på personbiler. Kontrollen fant sted hos virksomheten. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Morten Lund, økonomidirektør - Finn Wilhelmsen, regionsdirektør servicemarked - Vegard Waag Wold, systemcontroller 2.2 Fra Datatilsynet: - Andreas J. Hofstad, juridisk rådgiver - Atle Årnes, fagdirektør teknologi 3 Generelt Bilia selger og vedlikeholder personbiler. Selskapet er etablert i Sverige, Norge og Danmark. Selskapet har organisert sin aktivitet i Norge i fire regioner, og er etablert på til sammen 21 steder. De håndterer en tredjedel av Volvosalget i Norge, etter avtale med Volvo Car Norway AS (heretter Volvo). Selskapet ivaretar først og fremst salg og service på bilmerkene Volvo, BMW og Ford. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Biler inneholder datamaskiner. Disse registrerer via sensorer mange opplysninger om bilen. Opplysningene sier noe om servicetilstanden på bilen, men de kan også gi informasjon om kjøreadferd. 1 av 10

2 Datatilsynet ønsket, gjennom kontrollen, å se nærmere på hva slags opplysninger som lagres i bilen, samt hvem som henter ut hvilke opplysninger, og hva de brukes til (til hvilke formål). Tilsynet ønsket også å se nærmere på hvilken informasjon kjøpere, eierne og brukerne av bilen får. Virksomheten har sitt eget kunderegistreringssystem, hvor de registrer personopplysninger om kunden. Dette inneholder opplysninger som navn, adresse, telefonnummer og fødselsdato, med kobling til bilens chassisnummer og bilnummer. Et av programmene virksomheten bruker heter Tacdis og eies av Volvohandelns Utvecklings AB. Kunderegisteret var ikke et prioritert tema for kontrollen. Datatilsynet fokuserte under kontrollen, på hvilke opplysninger om eierens kjøreadferd som lagres i bilene, og hvordan disse opplysningene håndteres i forbindelse med serviceoppdrag. Når en Volvo skal på service kobles bilen til Volvos eget datasystem Vida. Vida eies av Volvo og er kun et verktøy for Bilia. De ansatte hos Bilia har ingen styringsrettigheter til programvaren. Bilia har avgjørende nytte av datasystemene fordi programmet henter opplysninger fra bilens datamaskin som, inneholder feilkoder. Opplysningene fra bilens datamaskin sendes til Volvo for at Bilia skal få tilbakemelding om hvilke reparasjoner og hvilken service som skal gjennomføres på den enkelte bil. For BMW-biler bruker Bilia et tilsvarende serviceprogram som heter BMW ISTA. For Ford-biler bruker Bilia et tilsvarende serviceprogram som heter Ford IDS. 5 Internkontroll 5.1 Lovens krav Personopplysningslovens 14 stiller krav om at den behandlingsansvarlige skal etablere planlagte og systematiske tiltak, internkontroll, for å sikre lovens krav følges. Internkontrollen skal være tilgjengelig i behandlingsansvarliges og databehandlers virksomhet. Personopplysningsforskriftens 3-1 stiller ytterligere krav til rutiner som skal være ivaretatt i internkontrollen, for eksempel rutine for å gi informasjon og innsyn, jf. lovens 18 og 19. En sentral del av internkontrollen er avklaringer av ansvar og rettslig grunnlag for behandling av personopplysninger. 5.2 Funn Bilia kunne ikke legge frem internkontroll etter personopplysningsloven når det gjaldt å hente ut opplysninger fra biler inne på verkstedet. De la frem et dokument for kunderegisteret, men som nevnt var dette registeret ikke hovedfokus for kontrollen. Funnene som blir beskrevet videre i rapporten viser at ansvarsforholdene ikke er avklart for behandlingen av personopplysningene Bilia samler inn. 2 av 10

3 5.3 Konklusjon Manglende internkontroll er avvik fra personopplysningslovens 14. Fordi Bilia samler inn personopplysninger direkte fra den registrerte, det vil si bileieren, vil det at de ikke har en internkontroll for denne innsamlingen være et avvik fra personopplysningsloven. Dette gjelder uavhengig av om Bilia er behandlingsansvarlig eller databehandler. Internkontrollen skal være tilgjengelig både hos behandlingsansvarlig og databehandler. Det er imidlertid foreløpig uklart hvem som er ansvarlig for dette avviket. 6 Informasjon til kundene Ved service på bilene, må Bilia benytte produsentenes datasystemer for å diagnostisere bilen, oppdatere programvare etc. Det gjør de ved å koble bilens datasystem til produsentens datasystem. Virksomheten opplyste at de ikke er kjent med hvilke opplysninger om bilen og sjåføren som eventuelt hentes ut av bilen og sendes til produsenten. Bilia var heller ikke kjent hva slags opplysninger som lagres hos produsenten og hvor lenge disse dataene lagres. Bilia hadde ikke kjennskap til om de opplysningene som hentes ut av bilenes datamaskiner kan knyttes til en enkeltperson. Datatilsynet vil understreke at det ikke er problematisk å hente ut ren teknisk informasjon fra bilene, som for eksempel at bilen trenger bremsevæske Lovens krav Den behandlingsansvarlige skal i følge personopplysningsloven 19 ved innsamling av personopplysninger fra den registrerte informere om: - navn og adresse på den behandlingsansvarlige, - formålet med behandlingen, - om opplysningene vil bli utlevert, og eventuelt til hvem, - om det er frivillig å gi fra seg opplysningene og - annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven på en best mulig måte Informasjon ved kjøp I forbindelse med kjøp av bil blir det ikke gitt særskilt informasjon om hvordan virksomheten behandler personopplysningene som registreres i bilens datamaskin. Kunden undertegner en kjøpskontrakt og får håndbok for bruk av bilen. I kjøpskontrakten for nye Volvo-biler er følgende avsnitt tatt med i avtalen for «Salgs- og leveringsvilkår i næringskjøp»: «Personopplysninger: Ved sin signatur på denne kontrakt samtykker kjøper til at opplysninger om kundeforholdet etablert ved kontrakten kan benyttes av selgeren til markedsføring av det sortiment av biler, verkstedtjenester og reservedeler som selgeren til enhver tid tilbyr. Kunden samtykker videre til at opplysningene kan utleveres til Volvo 3 av 10

4 Personbiler Norge AS til bruk for samme formål (dersom dette er en annen enn selgeren). Kunden er inneforstått med at den når som helst kan reservere seg mot bruk av kundeopplysningene til slike formål ved skriftlig henvendelse til forhandleren og Volvo Personbiler Norge AS. Personopplysningsloven får anvendelse på behandling og bruk av kundeopplysninger i medhold av denne avtalen, så langt kundeopplysninger utgjør personopplysninger i lovens forstand.» I kjøpskontrakten for brukte Volvo-biler er følgende avsnitt tatt med i avtalen for «Salgs- og leveringsvilkår i forbrukerkjøp nye og brukte biler»: «Personopplysninger: Ved signatur på denne kontrakt samtykker kjøper til at opplysninger om kundeforholdet etablert ved kontrakten kan benyttes av selgeren til markedsføring av det sortiment av biler, verkstedtjenester og reservedeler som selgeren til enhver tid tilbyr. Kunden samtykker videre til at opplysningene kan utleveres til Volvo Personbiler Norge AS og Volvo Car Corporation (VCC) i Göteborg til bruk for samme formål (dersom dette er en annen enn selgeren). Kunden er også innforstått med at den når som helst kan kreve innsyn i hvilken behandling av personopplysningene selgeren foretar jfr. Personopplysningslovens (popply.) 18, og at han kan kreve innsyn i sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten jfr 18 annet ledd, bokstav b. Kunden kan i tillegg til enhver tid kreve retting av mangelfulle personopplsyninger jfr. Popply. 27. Personopplysningsloven får anvendelse på behandling og bruk av kundeopplysninger i medhold av denne avtalen, så langt kundeopplysninger utgjør personopplysninger i lovens forstand.» Volvos standardavtale for kjøp av bil inneholder altså kun en klausul om overføring av data fra Bilias kunderegister til Volvo, for markedsføringsformål. I kjøpskontrakten for BMW-biler er det ikke noen informasjon om behandling av personopplysninger. Kjøpskontrakten for nye Ford-biler er den samme som for nye Volvo-biler, se ovenfor. I henhold til Ford forhandleravtale som Datatilsynet fikk ettersendt etter tilsynet (oversendt 10. desember 2013) skal forhandleren innhente tilstrekkelig samtykke fra den registrerte til behandling av personopplysninger, jf avtalens artikkel 18 side 19. I avtalens vedlegg 6, bilag 1 er det lagt med samtykkeskjema Informasjon i bilens instruksjonsbok I instruksjonsboken som følger med de ulike bilene er det lite informasjon om hva som lagres/hentes ut av informasjon fra bilen, samt hvordan disse opplysningene eventuelt kan benyttes senere. Volvo har noe informasjon om denne behandlingen i sine håndbøker: «Innspilling av data Bilen din inneholder en rekke datamaskiner som kontinuerlig kontrollerer og overvåker bilens drift og funksjonalitet. Enkelte av datamaskinene kan registrere 4 av 10

5 informasjon under normal kjøring hvis de oppdager en feil. I tillegg registreres informasjon ved kollisjoner eller nestenulykker. Deler av den registrerte informasjonen trenger teknikerne under service og vedlikehold for å diagnostisere og korrigere feil som har oppstått i bilen, samt for at Volvo skal kunne oppfylle lovfestede krav og andre regelverk. I tillegg brukes informasjonen av Volvo til forskningsformål for å kontinuerlig videreutvikle kvaliteten og sikkerheten, da informasjonen kan bidra til en bedre forståelse for de omstendighetene som forårsaker at ulykker og personskader oppstår. Informasjonen inneholder opplysninger om status og funksjonalitet i forskjellige systemer og moduler i kjøretøyet i forbindelse med bl.a. systemene for motor, forgasserventil, styring og bremsing. Denne informasjonen kan inneholde opplysninger om førerens måte å kjøre på, som bilens hastighet, bruk av brems- og gasspedal, rattutslag og om fører og passasjerer har brukt sikkerhetsbelte eller ikke. Denne informasjonen kan av angitte grunner bli lagret i bilens datamaskin over en viss tid, men også som følge av kollisjon eller nestenulykke. Informasjonen kan oppbevares av Volvo så lenge den kan bidra til å videreutvikle og ytterligere øke sikkerheten og kvaliteten, samt så lenge det finnes lovkrav og andre regelverk som Volvo trenger å ta hensyn til. Volvo vil ikke medvirke til at ovennevnte informasjon gis videre til tredjepart uten bileierens samtykke. Likevel kan Volvo på grunn av nasjonale lovkrav og regler tvinges til å overlevere slik informasjon til myndigheter, f.eks. politi eller andre som ha lovfestet rett til å få tilgang til denne. For å kunne lese og tolke informasjon som er registrert av datamaskinene i bilen, kreves spesielt teknisk utstyr som Volvo og verksteder som har inngått avtale med Volvo, har tilgang til. Volvo har ansvar for at informasjonen som overføres til Volvo i forbindelse med service og vedlikehold lagres og håndteres på en sikker måte, samt at håndteringen oppfyller egnede lovkrav. Kontakt en Volvoforhandler for mer informasjon.» Teksten i instruksjonsboken gir klar indikasjon på at informasjonen som hentes ut av bilen sier noe om hvordan sjåføren kjører, om han har belte på osv. og at opplysningene kan knyttes til sjåføren. Ved gjennomgang av noen tilfeldige instruksjonsbøker for BMW-biler og Ford-biler kan vi ikke finne tilsvarende informasjon. Under kontrollen viste Datatilsynet til Volvos instruksjonsbok. Virksomheten ble ikke bedt om å fremlegge instruksjonsbøker, men ble spurt om Ford og BMW instruksjonsbøker hadde tilsvarende informasjon som Volvos instruksjonsbok, se ovenfor. Virksomheten kunne ikke bekrefte dette Annen informasjon til kundene Virksomheten opplyste at den ikke gir ytterligere informasjon om behandlingen av personopplysninger utover det som står i kontrakten og håndboken, til de som kjøper Volvo, BMW eller Ford. 5 av 10

6 6.1.5 Datatilsynets vurdering De ulike dokumentene nevnt overfor, gir klar indikasjon på at det samles inn opplysninger om kundenes kjøreadferd når bilens kobles til produsentenes systemer. Datatilsynets mener derfor at kunder som kjøper bil, ikke får tilstrekkelig informasjon om behandling av personopplysninger i bilens datamaskin, til at kravene i personopplysningsloven 19 er oppfylt. 7 Hvem er behandlingsansvarlig for behandlingen av opplysninger fra bilene 7.1 Lovens definisjon Personopplysningsloven 2 nummer 4 slår fast at den som er ansvarlig for behandling av personopplysninger er den som «bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes». 7.2 Funn Bilia hadde på kontrolltidspunktet ingen klar formening om hvem som er behandlingsansvarlig for opplysninger om kundens kjøreadferd. I Fords forhandleravtale, mottatt etter tilsynet, vedlegg 6 kundeopplysninger er det oppgitt følgende: «Forhandleren og Ford er behandlingsansvarlige i forhold til de spesifiserte Personopplysningene. Forhandleren er behandlingsansvarlig for de personopplysninger som Forhandleren samler inn. Ford er behandlingsansvarlig for de personopplysninger som overføres til Ford etter denne avtalen. Forhandleren skal overholde meldeplikten og sikre at melding som gis til Datatilsynet er tilstrekkelig til å dekke overføringen av Personopplysninger fra Sluttkunder og potensielle Sluttkunder til Ford, og, når aktuelt, til Ford Motor Company, dets tilknyttede selskaper eller Fords eksterne leverandører.» 7.3 Datatilsynets vurdering Det naturlige utgangspunktet er at Bilia er behandlingsansvarlig for opplysningene de samler inn om kunden når de utfører service på kundens bil. Det at Bilia benytter produsenten som medhjelper (en såkalt databehandler) for å analysere dataene i forbindelse med reparasjonen, endrer ikke dette utgangspunktet. Det er uklart i hvilken grad og på hvilken måte opplysninger om eierens kjøreadferd er nødvendige eller relevante for å diagnostisere bilen og vedlikeholdet av den. Bilia opplyste at de ikke har kunnskap om hvilke opplysningskategorier som blir lagret i bilen og sendt til produsentene i forbindelse med diagnostisering av bilene. Virksomheten viste til at et gitt utvalg av opplysninger registreres i bilen, og sendes til produsentene som et ledd i rutinen for å reparere og vedlikeholde kundens bil, som nevnt ovenfor, men at Bilia ikke har behov for opplysninger om eierens kjøreadferd. 6 av 10

7 Det er mulig at produsentene ønsker opplysningene om kjøreadferd ut fra sine egne formål, som kan være markedsføring, forskning, produktutvikling, osv. I så fall kan det være riktig å vurdere forholdet slik at Bilia utleverer opplysningene om kjøreadferd til produsentene samtidig som produsentene utfører sitt databehandleroppdrag, som er å melde tilbake om feil og mangler ved bilen. Produsentene har i så fall et selvstendig behandlingsansvar for egen behandling av opplysningene de har mottatt. 8 Behandlingsgrunnlag 8.1 Lovens krav Et vilkår for å behandle opplysninger om enkeltpersoner er at det foreligger et gyldig rettslig grunnlag etter personopplysningsloven 8. Her er det slått fast at det enten må foreligge samtykke, lovhjemmel eller at behandlingen er nødvendig av ulike grunner, spesifisert i 8 bokstav a til f. 8.2 Datatilsynets vurdering De opplysningene som er nødvendige for å kunne utføre reparasjoner og vedlikehold av bilen vil være «nødvendige for å oppfylle en avtale med den registrerte», se personopplysningsloven 8 a. Dette begrenser seg imidlertid til tekniske opplysninger om bilens tilstand og feilmeldinger i bilens datamaskin. Også opplysningene i Bilias kunderegister vil kunne samles inn og behandles i medhold av 8 bokstav a. Det ser ikke ut til at det foreligger et rettslig grunnlag for å innhente de øvrige opplysningene, hvis omfang er uavklart. Verken ved kjøp eller ved reparasjon av biler hos Bilia, innhentes kundens samtykke til å hente opplysninger om kjøreadferd fra bilens datamaskin og sende disse til produsentene. Det er ikke vist til noen lovhjemmel for innhenting av disse opplysningene, og heller ikke at noen av nødvendighetsgrunnene i 8 bokstav a til f foreligger. I Fords forhandleravtale, vedlegg 6, om kundeopplysninger er det i bilag 1 et skjema som skal benyttes overfor Fordkunder. Bilia informerte ikke om dette skjemaet under kontrollen. Skjemaet ble først kjent da tilsynet fikk tilsendt Fords forhandleravtale den 10. desember Samtykkeskjemaet omfatter bare kundeopplysninger, som kontaktopplysninger, til bruk for markedsføringsformål og for tilbakekalling av produkter. Datatilsynets vurdering etter kontrollen er at Bilia ikke kunne redegjøre for at det foreligger et gyldig behandlingsgrunnlag for innsamlingen av opplysninger om kundens kjøreadferd. Verken forhandleravtalene eller kjøpsavtalene inneholder noe som endrer dette. Forutsatt at personopplysninger blir utlevert til produsentene for deres eget formål, kan vi ikke på nåværende tidspunkt se at det foreligger et gyldig rettslig grunnlag for denne utleveringen. 7 av 10

8 9 Databehandleravtale 9.1 Lovens krav En databehandler er etter personopplysningslovens definisjon en som «behandler personopplysninger på vegne av den behandlingsansvarlige», se 2 nummer 5. Databehandleren kan bare behandle opplysningene på den måten som er skriftlig avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. I denne bestemmelsen ligger et krav om at behandlingsformål og -måte skal være presist angitt i en skriftlig avtale mellom de to partene. Bilia har inngått forhandleravtaler med henholdsvis Volvo, Ford og BMW for at disse skal bistå med diagnostisering, ved å bruke produsentenes datasystemer. I denne sammenhengen er produsentene databehandlere for Bilia. Spørsmålet er om avtalene mellom partene er tilstrekkelig spesifikke til å oppfylle presisjonskravet i personopplysningsloven. 9.2 Vurdering av forhandleravtalene Avtalen med Volvo Nedenfor følger noen utdrag av Volvos forhandleravtale som vi anser som relevante for denne kontrollen: VCC og dets autoriserte forhandlere skal i hht. avtale oppbevare og ha tilgang til «høykvalitets kundedata». «Det er derfor viktig at både Volvo og Forhandleren samler og lagrer alle relevante kundedata i en sentral database, oppdaterer innsamlede data og når det kreves lagrer og deler slike data med hverandre, med andre forhandlere i den grad det er nødvendig, og, ved behov, med Tilknyttede selskaper og forretningspartnere, som for eksempel finansieringsselskap, leasingselskap og forsikringsselskap.» Forhandlerinnsamlede kundedata. Forhandleren skal: «(a) samle inn Kundedata for eget bruk, for Volvo, for eventuelle andre Autoriserte forhandlere, for Tilknyttede selskap og for Volvos forretningsforbindelser, herunder finansieringsselskap, leasingselskap og forsikringsselskap, i den utstrekning formålet med dette Vedlegg C tilsier det, og (b) levere Kundedata til Volvo i det format Volvo til enhver tid har meddelt.» Volvos bruk av forhandlerinnsamlede kundedata: «Volvo kan til enhver tid (både så lenge Avtalen løper og etter avslutning av denne) bruke Forhandlerinnsamlede Kundedata for sine egne kommersielle formål, inkludert opprettholdelse av egne registre, bruk ved håndtering av spørsmål og klager, for produktutvikling, for administrasjon av kundeforhold samt for markedsføring av produkter og tjenester.» Datatilsynets vurdering Avtalen spesifiserer ikke tilstrekkelig hvilke opplysninger eller opplysningskategorier som skal behandles på vegne av Bilia i forbindelse med serviceoppdrag. Avtalen indikerer at opplysninger skal utleveres til Volvo for Volvos egen bruk, og at de kan utleveres videre til andre samarbeidspartnere. 8 av 10

9 9.2.3 Avtalen med BMW Under punkt 10.4 i avtalen med BMW som omhandler Informasjonsplikt tilgang til forretningsdokumenter står det blant annet: «BMW i skal umiddelbart ødelegge eller slette alle mottatte kundedata når formålet etter denne bestemmelsen er oppfylt eller bestemmelsen ikke lenger er aktuell. Enhver videre overføring eller bruk av kundedata krever den Autoriserte Reparatørs forhåndssamtykke, dog slik at en overføring av kundedata spesifikt kan avtales mellom Partene i det konkrete tilfellet.» Vi kan ellers ikke se at BMWs serviceavtale med vedlegg inneholder ytterligere informasjon om håndtering av personopplysninger Datatilsynets vurdering Avtalen spesifiserer ikke hvordan personopplysninger skal håndteres utover det krav som er beskrevet i punkt ovenfor Avtalen med Ford Fords forhandleravtale er signert og datert sommeren Avtalen inneholder opplysninger om hvordan personopplysninger skal håndteres hos forhandleren Bilia personbil as og Ford Motor Norge AS. I Artikkel 12 stilles blant annet følgende krav: «For å sikre maksimal kundetilfredshet og best mulig forretningsmessig effektivitet, skal Forhandleren samle inn og levere til Ford Personopplysninger om kunder og potensielle kunder i henhold til bestemmelsene i Vedlegg 6, og holde slike kundeopplysninger àjour.» Avtalens artikkel 18 omhandler konfidensialitet og personvern. Her står det blant annet: «For å unngå tvil, skal alle Personopplysninger som blir behandlet i forbindelse med denne Avtalen, inkludert Personopplysninger knyttet til Sluttkunder eller potensielle Sluttkunder, behandles av Partene som Konfidensiell Informasjon.» Videre er det blant annet krav om følgende: «Forhandleren skal innhente tilstrekkelig samtykke fra den registrerte til behandling av Personopplysninger som beskrevet i denne artikkelen.» Avtalens vedlegg 6 omhandler kundeopplysninger. Det opplyses blant annet om at: «Forhandleren skal samle inn Personopplysninger både for egen bruk og for Fords bruk fra Sluttkunder og potensielle Sluttkunder i henhold til Melding om datainnsamling, Bilag 1 til dette Vedlegget.» Det opplyses videre om: «Forhandleren skal gi Ford de spesifiserte Personopplysningene om Forhandlerens Sluttkunder og potensielle Sluttkunder på den måten som er beskrevet i Bilag 2 til dette Vedlegget, på en kontinuerlig basis, og uansett ikke mindre enn 1(én) gang i uken eller når Ford ber om dem.» 9 av 10

10 Det opplyses også om : «Forhandleren og Ford er behandlingsansvarlige i forhold til de spesifiserte Personopplysningene. Forhandleren er behandlingsansvarlig for de personopplysninger som Forhandleren samler inn. Ford er behandlingsansvarlig for de personopplysninger som overføres til Ford etter denne avtalen. Forhandleren skal overholde meldeplikten og sikre at melding som gis til Datatilsynet er tilstrekkelig til å dekke overføringen av Personopplysninger fra Sluttkunder og potensielle Sluttkunder til Ford, og, når aktuelt, til Ford Motor Company, dets tilknyttede selskaper eller Fords eksterne leverandører.» Bilag 1 til vedlegg 6 er et samtykkeskjema for kundene. Skjemaet beskriver hvordan personopplysningene skal håndteres. Det opplyses blant annet om at: «Du samtykker til at Ford kan overføre dine personopplysninger for de formål som er beskrevet ovenfor til ethvert selskap i Ford gruppen over hele verden, til tilknyttede selskaper og til Agenter, også disse over hele verden (herunder USA). Bilag 2 til vedlegg 6 omhandler hva som inngår i de spesifiserte personopplysningene. Bilaget lister opp fakturadetaljer som benyttes. Det informeres om at det kan samles inn ytterligere data. Listen begrenser ikke nødvendigvis hva som faktisk samles inn. Fords forhandleravtale ble ikke fremlagt under kontrollen, men ble sendt Datatilsynet 10. desember Datatilsynets vurdering Med unntak av behandling av kontaktopplysninger for markedsføringsformål og for tilbaketrekking av produkter, er det uklart hva avtalene spesifiserer når det gjelder opplysninger eller opplysningskategorier som skal behandles av både Bilia og Ford. Avtalen sier at opplysninger skal utleveres til Ford for Fords eget bruk, og at de kan utleveres videre til andre samarbeidspartnere. Det opplyses ikke hva slags formål opplysningene skal benyttes til, ut over markedsførings- og tilbaketrekkingsformålene. 9.3 Oppsummering Avtalene angir ikke i tilstrekkelig grad hvilke opplysninger produsentene skal behandle på vegne av Bilia, eller hvordan opplysningene skal håndteres. Avtalene angir heller ikke i tilstrekkelig grad for hvilke formål personopplysningene skal benyttes. Datatilsynets vurdering er at forhandleravtalene ikke oppfyller kravet til en databehandleravtale, jf. personopplysningsloven 15. Dette gjelder både når forhandleren er behandlingsansvarlig med produsenten som databehandler, og omvendt. Avtalene åpner også for at en rekke tredjeparter skal ha tilgang til personopplysningene uten at det fremkommer hvilke personopplysninger dette gjelder eller til hvilke formål opplysningene skal brukes til. 10 av 10

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. RETNINGSLINJER FOR PERSONVERN Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. Vi er forpliktet til å sikre

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Mønsterbesvarelse til DRI1010 eksamen vår 2013 Mønsterbesvarelse til DRI1010 eksamen vår 2013 Oppgave 1 Formålsbestemmelsen til personopplysningsloven (pol) er gitt i 1 og sier loven skal beskytte den enkelte mot at personvernet blir krenket gjennom

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Innledning. Behandling av personopplysninger

Innledning. Behandling av personopplysninger Innledning Norsk Direktemarkedsføringsforening (NORDMA) søker å opprettholde et effektivt og pålitelig system for selvregulering. Disse reguleringene (bransjenormene) skal møte rimelige krav og forventninger

Detaljer

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo - Datatilsynet Saksnummer: 09/01148-3 Dato for kontroll: 13. oktober 2009 Rapportdato: 2. desember 2009 Foreløpig kontrollrapport Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo Utarbeidet

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Personvernpolicy for markedsføringsregister

Personvernpolicy for markedsføringsregister Personvernpolicy for markedsføringsregister 1. Kontrollør av filer med personlige data Tikkurila Norge AS (heretter kalt Tikkurila) Stanseveien 25 0976 Oslo Tlf.: (+47) 22 80 32 90 Faks: (+47) 22 80 32

Detaljer

RETNINGSLINJER FOR IDRETTENS DATABEHANDLING

RETNINGSLINJER FOR IDRETTENS DATABEHANDLING Norges Idrettsforbund og Olympiske Komité Serviceboks 1, Ullevål Stadion 0840 Oslo RETNINGSLINJER FOR IDRETTENS DATABEHANDLING Bransjeregler for Idrett 1. FORMÅL Norges Idrettsforbund og Olympiske Komité

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00030 Dato for kontroll: 31.01.2014 Rapportdato: 13.05.2014 Endelig kontrollrapport Kontrollobjekt: Pixima AS Sted: Drammen Utarbeidet av: Andreas Jensen Hofstad Marius Engh Pellerud 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010 PERSONVERNPOLICY Sist oppdatert den 15. januar 2010 Hva denne policyen omfatter Denne personvernpolicyen for gjester ("Policyen") beskriver hvordan vi i Rezidor Hotel Group, via vårt danske selskap Rezidor

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Søknad om bruk av elektronisk grensesnitt for trekkhåndtering

Søknad om bruk av elektronisk grensesnitt for trekkhåndtering II Søknad om bruk av elektronisk grensesnitt for trekkhåndtering 1. 0 I snin er om søkeren etat, or an Søkeren: Postadresse: Kontaktperson: Telefonnummer: E-postadresse kontaktperson: Informasjon om bruk

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Kontrollrapport. Kontrollobjekt: Bærum kommune Sted: Bærum

Kontrollrapport. Kontrollobjekt: Bærum kommune Sted: Bærum Saksnummer: 14/01295 Dato for kontroll: 16.12.2014 Rapportdato: 30.03.2015 Kontrollrapport Kontrollobjekt: Bærum kommune Sted: Bærum Utarbeidet av: Camilla Nervik 1 Innledning og bakgrunn for kontrollen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00753 Dato for kontroll: 17.08.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Statens vegvesen Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Personvernpolicy for forbrukerkunder

Personvernpolicy for forbrukerkunder Personvernpolicy for forbrukerkunder 1. Kontrollør av filer med personlige data Tikkurila Norge AS (heretter kalt Tikkurila) Stanseveien 25 0976 Oslo Tlf.: (+47) 22 80 32 90 Faks: (+47) 22 80 32 91 2.

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Regler om bankenes felles konto- og adresseringsregister

Regler om bankenes felles konto- og adresseringsregister Regler om bankenes felles konto- og adresseringsregister Fastsatt av FNO Servicekontor 25.09.2013 etter behandling i Bransjestyre betalingsformidling og infrastruktur (BBI). Sist endret 05.02.2014. Reglene

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

2. utgave 18. mars 2015

2. utgave 18. mars 2015 1 NORDMA og VIRKE Bransjenorm for callcentre 2. utgave 18. mars 2015 2 Innhold 1.0 Omfang... 3 2.0 Generelle og driftsmessige krav... 3 3.0 Opplæring... 6 4.0 Kvalitetskontroll... 6 5.0 Registrering av

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer