Vår referanse (bes oppgitt ved svar)

Størrelse: px
Begynne med side:

Download "Vår referanse (bes oppgitt ved svar)"

Transkript

1 Navigea Securities AS Postboks STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ /HTE 12. juli 2013 Vedtak om pålegg endelig kontrollrapport for Navigea Security - lydopptak Det vises til Datatilsynets kontroll hos Navigea Securities AS (heretter Navigea) den 30. oktober 2013 og Datatilsynets varsel om vedtak av 9. april Vurdering av tilsvar Datatilsynet har i brev av 31. mai 2013 mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. pkt. 1 Lydopptak av samtaler til og fra sentralbordet Virksomheten plikter etter vpf å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. I varsel om vedtak vurderte tilsynet at lydopptak av samtaler til og fra sentralbordet manglet et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8. Navigea opplyser i brev av 31. mai 2013 at sentralbordet ble den 26. april 2013 overført til kundesenteret i Stavanger, og i tillegg til sentralbordoppgaver så er kundesenteret også et servicesenter som bistår virksomhetens kunder med å gjennomføre transaksjoner. Etter Navigeas syn yter derfor kundesenteret investeringstjenesten ordreformidling på vegne av virksomheten, og vil følgelig ha et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8, jf. verdipapirhandelloven 9-11 første ledd nr. 7. Datatilsynet tar merknadene til etterretning og vil ikke fatte vedtak under dette punkt. Ad. pkt. 2 Informasjon om lydopptak Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf : a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av k ommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte vil ha en informasjonsplikt, jf. personopplysningsloven 19. Plikten til å gi informasjon inntrer før behandlingen (lydopptak) foretas. Navigea mener det er allment kjent at verdipapirforetak foretar lydopptak. Navigea opplyser at når virksomheten ringer til personer eller selskaper som ikke er kunde (eller det er tvil om at personen kjenner til at det foretas lydopptak), blir det opplyst om at samtalen blir tatt opp. Videre informerer virksomheten om at det er lagt til at «Mer informasjon om opptaket kan du lese på våre nettsider.» For å sikre at både prospekter og kunder har informasjon om at telefonsamtaler blir tapet. Personopplysningsloven 19 annet ledd gjør unntak fra informasjonsplikten, slik at det ikke er nødvendig å gi informasjon til den registrerte som han eller hun allerede kjenner til. Etter merknadene til bestemmelsen heter det at «For at unntaket skal få anvendelse stilles det strenge beviskrav det må være klart at den registrerte har slik kunnskap fra før.» 1 For eksisterende kunder som har fått opplyst at samtlige telefoner til og fra virksomhetens meglere vil bli tatt opp, vil vilkåret i 19 annet ledd være oppfylt. For innringere som ikke er kunde eller som ikke har fått slik informasjon, vil det etter tilsynets vurdering ikke være på det rene, jf. lovens 19 annet ledd, at den registrerte kjenner til at det foretas lydopptak. Unntak fra plikten til å gi informasjon, jf. 19 annet ledd, vil følgelig ikke være oppfylt. En praktisk problemstilling blir i denne sammenheng hvordan virksomheten skal klare å skille mellom eksisterende kunder som har mottatt informasjon vedrørende lydopptak og øvrige registrerte som virksomheten plikter å gi informasjon til. Tilsynet er kjent med at kunder ofte har en fast kontaktperson med et direktenummer. En praktisk løsning vil i den anledning kunne være at virksomheten informerer om at det foretas lydopptak i tråd med vpf for telefoner som kommer til virksomhetens sentralbord/kundesenter. For eksisterende kunder med et direktenummer til megler, vil det være naturlig å legge til grunn at personopplysningsloven 19 annet ledd er oppfylt. En slik løsning vil ivareta informasjonsbehovet til personer som presumtivt ikke er informert, samt ta hensyn til eksisterende kunder som tidligere er informert. Tilsvarende kan det etableres to numre til sentralbordet, et for eksisterende informerte kunder og et for øvrige innringere. Virksomheten står her fritt til å velge den løsningen som etterlever informasjonsplikten, jf. personopplysningsloven 19. Det fattes vedtak som tidligere varslet. 1 Ot prp nr 92 ( ) Om lov om behandling av personopplysninger (personopplysningsloven) side

3 Ad. pkt. 3 Lagring og sletting av personopplysninger Kravene til internkontroll fremgår av personopplysningsloven 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf (1) skal lydopptak og annen dokumentasjon som nevnt i oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. Virksomheten har i sine merknader lagt til grunn at lydopptak skal lagres i minst fem år, jf. vphl nr 7. Etter vpf nr. 1 heter det at «verdipapirforetak skal oppbevare den dokumentasjon som kreves etter verdipapirhandelloven og forskrifter fastsatt i medhold av verdipapirhandelloven i minst 5 år.» Lydopptak som inneholder slik dokumentasjon som vpf nr. 1, jf. vphl nr. 7, viser til skal etter dette lagres i minst fem år, øvrige lydopptak som ikke inneholder slik dokumentasjon skal minst lagres i minst tre år, jf. vpf Etter at lagringsplikten er utløpt må virksomheten vurdere om det fortsatt er nødvendig å lagre lydopptaket, jf. personopplysningsloven 11 bokstav e), jf. personopplysningsloven 28. Det fattes vedtak som tidligere varslet. Ad. pkt. 4 Øvrige kommentarer (innsynsrett) Navigea opplyser i brev av 31. mai 2013 at virksomheten ikke lenger gir transkripsjon av lydopptak. Årsaken opplyses å være at det systemet som ble benyttet ikke var nøyaktig nok og gikk utover kvaliteten. Videre bemerker virksomheten følgende: «Ved oversendelse av opptak viser vi til at ansattes personvern bør ivaretas så langt det er mulig og at man som hovedregel skal komme til et av våre kontorer for å gjennomgå materialet. Dersom dette ikke er mulig, følger vi NFMFs standarder og viser til at man kan oversende til kundens advokat eller så langt vi kan tilpasse oss situasjonen i hvert enkelt tilfelle ut fra en konkret vurdering.» Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf. personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve 3

4 at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Navigea har endret på praktiseringen av innsynsretten siden kontrolltidspunktet. Virksomhetens praksis, vil etter tilsynets vurdering, være i strid med innsynsretten til den registrerte, jf. personopplysningsloven 18 og 24. Datatilsynet legger til grunn for sine vurderinger at opptakene kan bestå av flere timer, og virksomhetens gjennomføring av innsynsretten ikke var særlig egnet i slike tilfeller. Dette vil være tilfelle når det er behov for å engasjere profesjonell bistand i f. eks. en klagesak. Datatilsynet har forståelse for at virksomheten ønsker å ivareta de ansattes personvern. Tilsynet finner imidlertid ikke at det hensynet, kan være grunnlag for å avskjære den registrerte den lovhjemlede retten til å motta transkripsjon av lydopptak, jf. personopplysningsloven 24. Datatilsynet vil av denne grunn fatte vedtak om at virksomheten må gi slik innsynsrett som hjemles i personopplysningsloven 18 og 24. Forhåndsvarsling av vedtaket unnlates, jf. forvaltningsloven 16 bokstav c), siden virksomheten har fått kjennskap til at vedtak skal treffes og har hatt rimelig foranledning og tid til å uttale seg. Vurdering av merknader fra Norges Fondsmeglerforbund Norges fondsmeglerforbund (NFMF) har i e-post av 3. juli 2013 gitt en tilleggskommentar til spørsmålet om innsynsrett. NFMF viser til verdipapirforetakenes plikt til å etablere betryggende interne rutiner for ansattes og tillitsvalgtes innsyn i lydopptak og annen kommunikasjonskanal, jf. verdipapirforskriften Rutinen skal minst bestå av hvilke tjenstlige formål og hvilke prosedyrer som skal åpnes for slikt innsyn. NFMF er videre av den oppfatning at: «Det ligger i forskriften at lovgiver har sett behovet for å verne ansatte mot ukontrollert innsyn fra, kollegaer, overordnede m.fl. Derfor er det også strenge rutiner i verdipapirforetakene for slikt innsyn. Dersom kunder skulle få anledning til ukontrollert innsyn i lydopptak for eksempel ved utlevering, vil den beskyttelse som ansatte er gitt gjennom kravene i forskriften bli verdiløs.» Datatilsynet bemerker: Vpf pålegger finansforetakene å etablere interne rutiner for ansattes og tillitsvalgtes innsyn i blant annet lydopptak. Bestemmelsen regulerer ikke når tillitsvalgte eller andre ansatte skal få innsyn til lydopptakene. Pliktene verdipapirforetakene har etter vpf er sammenfallende med pliktene som følger av personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Kravene etter personopplysningsloven 14 vil sågar utfylle pliktene som følger av vpf , siden personopplysningsloven 14 også vil pålegge verdipapirforetakene å etablere prosedyrer for 4

5 hvordan innsynsretten skal gjennomføres overfor kunder som har vært gjenstand for lydopptak. Vpf er etter tilsynets vurdering ment å klargjøre og dokumentere virksomhetens interne behov for innsyn i lydopptak og hvordan innsyn skal gjennomføres i praksis. I tillegg bidrar bestemmelsen til at behandlingen av personopplysninger i virksomheten blir transparent og kjent blant de ansatte, og vil derfor være et viktig verktøy for å kunne etterleve personopplysningslovens regler. Plikten til å hindre uvedkommende (interne og eksterne individer) tilgang til lydopptakene er regulert i personopplysningsloven 13. Personopplysningsloven 13 stiller en del krav til behandlingsansvarlig (finansforetaket) når det gjelder informasjonssikkerheten ved behandling av personopplysninger. Bestemmelsen fastslår at den behandlingsansvarlige skal gjennom planlagte og systematisk tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Kravet til konfidensialitet innebærer at personopplysningene skal være utilgjengelig for uvedkommende. Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelige for autoriserte brukere for bruk i henhold til de formål de er innhentet. I dette ligger blant annet at kun de som har tjenstlig behov for personopplysninger skal ha tilgang til dem. Hvilke personer som oppfyller kravet til tjenstlig behov er det i utgangspunktet virksomheten selv som må ta stilling til. Virksomheten må imidlertid være beredt til å begrunne sitt valg av antall personer som er gitt tilgang til visse typer opplysninger. Etter tilsynets vurdering og ut i fra et personvernperspektiv er det mindre betenkelig å gi den registrerte (kunden eller den aktuelle ansatt) innsyn i et lydopptak vedkommende selv deltar i, enn det er å gi øvrige ansatte i finansforetaket fri tilgang/innsynsrett. Dette syn gjenspeiles i regelverket når ansatte som ikke har deltatt i samtalen må vise til et tjenstlig behov/formål for å få tilgang/innsyn til lydopptakene, jf. vpf , mens en slik begrunnelse ikke er nødvendig for den registrerte, jf. personopplysningsloven 18 annet ledd. Den registrerte (kunde eller den aktuelle ansatt) som ønsker innsyn i lydopptak, jf. personopplysningsloven 18 annet ledd, vil etter dette ikke være å anse som «uvedkommende», men en med lovlig tilgang/innsynsrett når unntak fra innsynsretten, jf. personopplysningsloven 23, ikke kommer til anvendelse. Etter personopplysningsloven 24 vil virksomheten ha en plikt til å utlevere en transkribert versjon av samtalen eller en lydfil. Finansforetakene plikter følgelig å ha rutiner på plass for å behandle innsynskrav fra de registrerte som ønsker innsyn i lydopptak, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må gi tilstrekkelig informasjon til den registrerte i samsvar med personopplysningslovens 19. Det vises til tilsynsrapportens pkt

6 2. Virksomheten må utarbeide rutiner for sletting av personopplysninger i tråd med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Det vises til tilsynsrapportens pkt Virksomheten må gi innsynsrett til de registrerte i tråd med personopplysningsloven 18 annet ledd, jf. lovens 24. Det vises til tilsynsrapportens pkt Lukking av avvik Datatilsynet anbefalte i brev 9. april 2013 at det ble oversendt et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Det ble videre opplyst at tilsynet vil se hen til denne fremdriftsplanen når det skal vedtas en frist for virksomhetens gjennomføring av påleggende. Datatilsynet har ikke mottatt slikt forslag til fremdriftsplan. Datatilsynet gir på denne bakgrunn en frist for gjennomføring av samtlige pålegg til 31. oktober Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom virksomheten har kommentarer til fristen for gjennomføring av påleggende, bes det om en rask tilbakemelding på dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen syv uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum Avdelingsdirektør Henok Tesfazghi rådgiver Kopi: Norges fondsmeglerforbund, Pb Vika, 0117 OSLO Vedlegg: Endelig kontrollrapport 6

7 Saksnummer: 12/00863 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Navigea Securities AS Sted: Oslo Utarbeidet av: Martha Eike Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos Navigea Securities AS 30. oktober Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, sninger, særlig i forbindelse med lydopptak. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets ts vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ole Jørgen Jacobsen, adm. dir. Navigea Securities AS - Kjersti Aksnes Gjesdahl, Head of Legal & Compliance Navigea Securities AS - Trond Geitung-Larsen, Legal Counsel Navigea Securities AS - Per Christian Holmberg, IT Director Agasti Business Services AS - Sven Terje Hansen, Operations Manager Agasti Business Services AS 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Henok Tesfazghi, rådgiver - Stein Erik Vetland, overingeniør 3 Generelt Verdipapirforskriftens stadfester at verdipapirforetak skal foreta lydopptak av alle telefonsamtaler i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven 2-1 første ledd nr. 1 til 6. Med investeringstjenester menes 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, 4. aktiv forvaltning av investorers s portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 1 av 9

8 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten plikter å foreta lydopptak av telefonsamtaler som foretas i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven (vphl.) 2-1 første ledd nr. 1 til 6, jf. verdipapirforskriften (vpf.) Plikten til å foreta lydopptak vil omfatte alle telefonsamtaler i tilknytning til investeringstjenester, herunder investeringsrådgivning samt mottak og formidling av ordre. Videre foreligger det en utstrakt plikt til å dokumentere innholdet i annen kommunikasjon med kunder, som ved bruk av e-post, SMS, Bloomberg, Reuters Messenger og ulike chattekanaler på Internett. Videre plikter virksomheten å etablere betryggende rutiner for dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler når disse benyttes i til tilknytning til ytelse av investeringstjenester som nevn ovenfor. Personopplysningsloven vil her gjelde utfyllende. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. 11 bokstav b). Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Det er vanskelig å se hvordan et formål kan være uttrykkelig angitt uten at det også er skriftlig nedfelt. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer i bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelig proporsjoner sett opp mot de oppgitte behov og formål, og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningsloven 11 første ledd bokstav a) må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningsloven 8 (og 9 om det behandles sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for lydopptak er hjemmel i lov, jf vphl , jf. vpf av 9

9 5.1 Lydopptak Rettslig grunnlag Verdipapirforetakene plikter, jf. vphl , etter nærmere regler fastsatt av departementet å: 1. foreta lydopptak i tilknytning til yting av investeringstjenester og tilknyttede tjenester, samt 2. oppbevare lydopptak og annen type dokumentasjon i tilknytning til slike tjenester Verdipapirforetakene plikter etter vpf å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. Dvs. 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, 4. aktiv forvaltning av investorers portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter, Verdipapirforetakene plikter ikke å foreta lydopptak eller dokumentere annen kommunikasjon som gjelder yting av tilknyttede tjenester etter vphl. 2-1 annet ledd. Tilknyttede tjenester er etter vphl. 2-1 annet ledd: 1. oppbevaring og forvaltning av finansielle instrumenter, 2. kredittgivning, 3. rådgivning med hensyn til foretaks kapitalstruktur, industriell strategi og beslektede spørsmål, samt rådgivning og tjenester i forbindelse med fusjoner og oppkjøp av foretak, 4. tjenester i tilknytning til valutavirksomhet når dette skjer i forbindelse med ytelse av investeringstjenester som definert i første ledd, 5. utarbeidelse og formidling av investeringsanbefalinger, finansielle analyser og andre former for generelle anbefalinger vedrørende transaksjoner i finansielle instrumenter, 6. tjenester knyttet fulltegningsgaranti, 7. tjenester i tilknytning til underliggende til varederivater og derivater som definert i 2-2 femte ledd nr. 5, når disse tjenestene har sammenheng med investeringstjenester eller tilknyttede tjenester som nevnt i bestemmelsene her Faktiske forhold Hovedformålet med lydopptak hos virksomheten er å sikre overholdelse av lovpålagte plikter, samt adekvat behandling av kunden, f. eks. ved at megler kan kontrollere at han/hun har oppfattet riktig ordre. 3 av 9

10 Lydloggen vil videre bli brukt i forbindelse med foretakets internkontroll. Lydloggen vil også kunne benyttes som dokumentasjon i klagesaker, med de begrensninger som følger av taushetsplikten. Virksomheten tar opp alle fasttelefonsamtaler som foretas i tilknytning til ytelser av investeringstjenester, jf. vphl. 2-1 nr Virksomheten tar opp alt av inngående og utgående samtaler. Dette skjer automatisk uavhengig om det ringes til eller fra sentralbordet eller om det ringes direkte til eller fra en medarbeider Vurdering Virksomheten vil ha et behandlingsgrunnlag, jf. personopplysningsloven 8 (fastsatt i lov), til å foreta lydopptak når virksomheten yter investeringstjenester og tilknyttede tjenester, jf. pkt ovenfor. Når virksomheten foretar lydopptak av samtaler inn og fra sentralbordet, vil det etter Datatilsynet vurdering, falle utenfor virksomhetens lovpålagte plikt til å foreta lydopptak, jf. pkt Det er på det rene at det ikke ytes investeringstjenester eller tilknyttede tjenester fra sentralbordets telefonlinjer. 1 Det innhentes ikke et samtykke fra innringer eller mottaker av samtalen og tilsynet finner ikke at øvrige behandlingsgrunnlag i personopplysningsloven 8 bokstav a) til f) blir oppfylt. Datatilsynet finner derfor at virksomheten ikke har et gyldig behandlingsgrunnlag for de lydopptak som foretas av telefonsamtaler som kommer inn og fra sentralbordet Konklusjon Virksomhetens lydopptak av innkomne og utgående samtaler fra sentralbordet mangler et gyldig behandlingsgrunnlag i personopplysningsloven Informasjon Rettslig grunnlag Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf : a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og 1 Virksomheten har i brev av 31. mai 2013 opplyst at sentralbordet har blitt overført til kundesenteret i Stavanger, og i tillegg til sentralbordoppgaver så er kundesenteret også et servicesenter som bistår virksomhetens kunder med å gjennomføre transaksjoner. Kundesenteret vil således oppfylle et behandlingsgrunnlag, siden kundesenteret bistår virksomhetens kunder med å gjennomføre transaksjoner, jf. personopplysningsloven 8, jf. verdipapirhandelloven 9-11 første ledd nr av 9

11 d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte har en informasjonsplikt, jf. lovens 19. Etter bestemmelsen heter det at: Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f. eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Plikten til å gi informasjon gjelder her før lydopptak settes i gang, eksempelvis før lydopptakets oppstart. Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen virksomheten plikter å gi, jf. personopplysningsloven 19 andre ledd. Terskelen for at unntaket fra informasjonsplikt skal komme til anvendelse («på det rene») er satt høyt. Den behandlingsansvarlige må her være helt sikker på at den registrerte er kjent med samtlige punkter i 19 første ledd. Unntak fra retten til informasjon er også hjemlet i personopplysningsloven 23. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftingsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger Faktiske forhold Virksomheten informerer i sine kundeavtaler og på sin nettside at de foretar lydopptak og lagrer alle telefonsamtaler til og fra virksomhetens fasttelefoner, samt lagrer kommunikasjon via e-post. Det blir ikke gitt noe informasjon til innringere eller avsendere e-post utover dette. 5 av 9

12 5.2.3 Vurdering Datatilsynet legger til grunn at de som henvender seg til virksomheten ikke alltid er kunder og bør kjenne til virksomhetens alminnelige forretningsvilkår. Etter personopplysningsloven 19 skal virksomheten av eget tiltak informere den registrerte om de forhold som er nevnt i personopplysningsloven 19 første ledd bokstav a) til e). Tilsynet ser at det vil være tilstrekkelig å oppgi følgende opplysninger i den anledning: - at det blir foretatt lydopptak - formålet med lydopptaket - hvor lenge lydopptakene lagres - at øvrige informasjon er tilgjengelig på f. eks. virksomhetens nettside Øvrige informasjon viser her til opplysninger som virksomhetens adresse, retten til innsyn og retten til å kreve retting. Det forutsettes at virksomheten har slik informasjon lett tilgjengelig på virksomhetens nettside og at virksomheten informerer den registrerte om denne muligheten. Etter tilsynets vurdering vil ikke virksomheten overholde sin informasjonsplikt, når de kun informerer om at det foretas lydopptak gjennom virksomhetens alminnelige forretningsvilkår eller gjennom øvrig informasjon på virksomhetens nettside, jf. personopplysningsloven Det er tilsynets vurdering at innringer samt mottaker av telefonsamtaler som blir gjenstand for lydopptak må bli kjent med at det foretas lydopptak i forkant, gjerne som en automatisk opplest beskjed, før lydopptaket igangsettes. Er innringer eller mottaker av telefonsamtalen allerede informert om at det foretas lydopptak, vil plikten til å gi informasjon ikke være påkrevd, jf. personopplysningsloven 19 annet ledd Konklusjon Virksomheten overholder ikke sin informasjonsplikt, jf. personopplysningsloven Lagring Rettslig grunnlag Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf (1) skal lydopptak og annen dokumentasjon som nevnt i oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. 2 Virksomheten opplyser imidlertid i brev av 31. mai 2013 at når foretaket ringer til personer eller selskaper som ikke er kunder eller det er tvil om at personen vet at det blir foretatt lydopptak, blir det opplyst om at det blir foretatt lydopptak. En slik rutine/instruks er dog ikke inntatt i virksomhetens internkontroll som tilsynet har mottatt. 6 av 9

13 Plikten til å lagre materiale i tre år gjelder dog kun relevante opplysninger. Den behandlingsansvarlige må av den grunn etablere rutiner for å søke å hindre lagring av overskuddsinformasjon Faktiske forhold Lagring av lydopptakene startet i 2011, og har derfor blitt lagret under tre år. Virksomheten har ikke vurdert om det er nødvendig å lagre opptakene (her må e-post innbefattes) utover de lovpålagte tre årene Konklusjon Tilsynet vil her påpeke at virksomheten her har en plikt til å slette unødvendige personopplysninger. 5.4 Internkontroll Rettslig grunnlag Kravene til internkontroll fremgår av personopplysningslovens 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Rutiner for bruk av ulike informasjonssystemer er en viktig del av en tilfredsstillende internkontroll. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollsystemet har tradisjonelt blitt delt inn i tre deler, et styrende, en gjennomførende og en kontrollerende del Faktiske forhold Virksomheten opplyste under kontrollen at lydloggene ble minst lagret i tre år, men at man ikke hadde vurdert hvor lenge enda, siden man lå godt innenfor tre års fristen Vurdering Etter Datatilsynets vurdering, skulle det vært en skriftlig nedfelt rutine for sletting av hhv. lydopptak og e-postkorrespondanse. En manglende rutine for slik sletting må anses som en mangel etter personopplysningsforskriften 3-1 bokstav c) Konklusjon Virksomhetens manglende sletterutiner er i strid med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c). 5.5 Innsyn Rettslig grunnlag Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve 7 av 9

14 at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Den behandlingssansvarlige plikter å svare innsynsbegjæringen senest innen 30 dager fra henvendelsen ble mottatt Faktiske forhold Kunder kan ved skriftlig henvendelse be om innsyn i lydlogg for egne telefonsamtaler. Av hensyn til ansattes personvern blir kunder eller øvrige registrerte bedt om å møte opp hos virksomheten for å lytte på opptak. Hvis ikke kunden har mulighet til dette kan det bli laget transkripsjoner av lydopptaket. Virksomheten opplyste under kontrollen at det ikke behandlet mange innsynskrav Vurdering Virksomheten gir ikke ut kopier av lydfiler, men utleverer transkripsjoner av lydopptak. Innsynsretten blir, etter Datatilsynets vurdering, avspist hvis den registrerte kun har mulighet ved å møte opp hos virksomheten for å lytte på opptaket. Dette har virksomheten unngått ved å transkribere lydopptaket. Etter Datatilsynets vurdering plikter virksomheten å gi den registrerte innsyn i opplysninger om seg selv, jf. personopplysningsloven 18 annet ledd. Etter personopplysningsloven 24 kan den registrerte kreve en skriftlig kopi hos behandlingsansvarlig. Datatilsynet forstår bestemmelsen slik at den registrerte kan kreve en transkripsjon av lydopptak. Da dette er tidsog ressurskrevende, vil de fleste virksomheter utlevere opptaket som en lydfil eller på en CD. Datatilsynet anser en slik løsning som tilfredsstillende og i tråd med personopplysningsloven Konklusjon Virksomhetens praksis er i tråd med innsynsretten etter personopplysningsloven 18 annet ledd. 5.6 Informasjonssikkerhet Rettslig grunnlag I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble omtalt under kontrollen. 8 av 9

15 5.6.2 Faktiske forhold Virksomheten jobber systematisk og planlagt for å sørge for tilstrekkelig informasjonssikkerhet. Datatilsynet har ikke påvist svakheter med virksomheten sin løsning, Konklusjon Intet avvik funnet. 9 av 9

Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og

Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og Sparebank 1 Markets AS Postboks 1398 Vika 0114 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00864-9/HTE Dato 8. juli 2013 Kontroll hos Sparebanken 1 Markets - lydopptak - vedtak Det vises

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

PERSONVERNERKLÆRING FORUM SECURITIES AS

PERSONVERNERKLÆRING FORUM SECURITIES AS PERSONVERNERKLÆRING FORUM SECURITIES AS Nytt personvernregelverk ble innført i Norge gjeldende fra 1. juli 2018 og Forum Securities AS har oppdatert sin personvernerklæring i tråd med det nye regelverket.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Personvern og kundedata

Personvern og kundedata Personvern og kundedata 19.01.2015 Fra muligheter til begrensninger? MULIGHETENE Hvordan bruke data fra interaksjon med kundene for å få større kundeinnsikt og grunnlag for å forbedre tjenester og produkter?»

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Retningslinjer for ytelse av investeringstjenester

Retningslinjer for ytelse av investeringstjenester Tittel Retningslinjer for ytelse av investeringstjenester Vedtatt av: Styret Dato: 28. november 2018 Tidligere dok: N/A Skal revideres Årlig Tilgjengelig for: Alle Disse retningslinjer bygger på lov om

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013. Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS Innledning Denne personvernerklæringen gjelder for Advokatene på Nordstrand AS (APN). Vi er behandlingsansvarlige for behandlingen av personopplysninger

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen

Detaljer

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar) 12/ /CBR Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR ) PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig

Detaljer

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten Side 1 Innledning Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten 2018-10-22 Advokatfirmaet Judicium/Båtadvokaten behandler dine opplysninger når vi utfører oppdrag for deg. Alle opplysninger

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR HVA ER VIKTIG FOR HR- DATA GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim Oppbevaring og sletting av kundeopplysninger Complianceseminar VFF 1. september 2015 Cecilie Kvalheim 1 Hvem og hva snakker vi om? Fondsforvaltningsselskaper samt AIF-forvaltere Med og uten konsesjon til

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Personvernerklæring for medlemmer

Personvernerklæring for medlemmer Personvernerklæring for medlemmer Denne personvernerklæringen gir deg informasjon om Fontenehuset Asker (heretter kun omtalt som "Fontenehuset") sin behandling av personopplysninger som samles inn i forbindelse

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger

Detaljer

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.

Detaljer

ETISK RÅD AVGJØRELSE I SAK NR. 2008/19

ETISK RÅD AVGJØRELSE I SAK NR. 2008/19 ETISK RÅD AVGJØRELSE I SAK NR. 2008/19 X Innklaget: Agilis Færder Securities ASA Stranden 3A, Aker Brygge 0250 Oslo Saken gjelder: Saken gjelder generell klage over kvaliteten på den rådgivningen klager

Detaljer

Personvernerklæring for Eurofins norske selskaper

Personvernerklæring for Eurofins norske selskaper Personvernerklæring for Eurofins norske selskaper Eurofins i Norge er opptatt av din integritet og ditt personvern. Det er derfor en selvfølge for oss å alltid etterstrebe å beskytte dine personopplysninger

Detaljer

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Hvordan ivareta personvernet ved skikkethetsvurderinger? Hvordan ivareta personvernet ved skikkethetsvurderinger? 25.10.2018 Agenda Overblikk over relevante plikter og rettigheter etter personvernregelverket Behandling av personopplysninger i skikkethetsvurderinger

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Aksjetjenesten i SpareBank 1 nettbank for foretak

Aksjetjenesten i SpareBank 1 nettbank for foretak Aksjetjenesten i SpareBank 1 nettbank for foretak SpareBank 1 Markets AS ( SpareBank 1 Markets ) er innholdsleverandør for aksjetjenesten i SpareBank 1 nettbank. For å oppfylle kravet til etablering av

Detaljer