Vår referanse (bes oppgitt ved svar)
|
|
- Alexander Hagen
- 8 år siden
- Visninger:
Transkript
1 Navigea Securities AS Postboks STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ /HTE 12. juli 2013 Vedtak om pålegg endelig kontrollrapport for Navigea Security - lydopptak Det vises til Datatilsynets kontroll hos Navigea Securities AS (heretter Navigea) den 30. oktober 2013 og Datatilsynets varsel om vedtak av 9. april Vurdering av tilsvar Datatilsynet har i brev av 31. mai 2013 mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. pkt. 1 Lydopptak av samtaler til og fra sentralbordet Virksomheten plikter etter vpf å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. I varsel om vedtak vurderte tilsynet at lydopptak av samtaler til og fra sentralbordet manglet et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8. Navigea opplyser i brev av 31. mai 2013 at sentralbordet ble den 26. april 2013 overført til kundesenteret i Stavanger, og i tillegg til sentralbordoppgaver så er kundesenteret også et servicesenter som bistår virksomhetens kunder med å gjennomføre transaksjoner. Etter Navigeas syn yter derfor kundesenteret investeringstjenesten ordreformidling på vegne av virksomheten, og vil følgelig ha et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8, jf. verdipapirhandelloven 9-11 første ledd nr. 7. Datatilsynet tar merknadene til etterretning og vil ikke fatte vedtak under dette punkt. Ad. pkt. 2 Informasjon om lydopptak Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf : a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av k ommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:
2 d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte vil ha en informasjonsplikt, jf. personopplysningsloven 19. Plikten til å gi informasjon inntrer før behandlingen (lydopptak) foretas. Navigea mener det er allment kjent at verdipapirforetak foretar lydopptak. Navigea opplyser at når virksomheten ringer til personer eller selskaper som ikke er kunde (eller det er tvil om at personen kjenner til at det foretas lydopptak), blir det opplyst om at samtalen blir tatt opp. Videre informerer virksomheten om at det er lagt til at «Mer informasjon om opptaket kan du lese på våre nettsider.» For å sikre at både prospekter og kunder har informasjon om at telefonsamtaler blir tapet. Personopplysningsloven 19 annet ledd gjør unntak fra informasjonsplikten, slik at det ikke er nødvendig å gi informasjon til den registrerte som han eller hun allerede kjenner til. Etter merknadene til bestemmelsen heter det at «For at unntaket skal få anvendelse stilles det strenge beviskrav det må være klart at den registrerte har slik kunnskap fra før.» 1 For eksisterende kunder som har fått opplyst at samtlige telefoner til og fra virksomhetens meglere vil bli tatt opp, vil vilkåret i 19 annet ledd være oppfylt. For innringere som ikke er kunde eller som ikke har fått slik informasjon, vil det etter tilsynets vurdering ikke være på det rene, jf. lovens 19 annet ledd, at den registrerte kjenner til at det foretas lydopptak. Unntak fra plikten til å gi informasjon, jf. 19 annet ledd, vil følgelig ikke være oppfylt. En praktisk problemstilling blir i denne sammenheng hvordan virksomheten skal klare å skille mellom eksisterende kunder som har mottatt informasjon vedrørende lydopptak og øvrige registrerte som virksomheten plikter å gi informasjon til. Tilsynet er kjent med at kunder ofte har en fast kontaktperson med et direktenummer. En praktisk løsning vil i den anledning kunne være at virksomheten informerer om at det foretas lydopptak i tråd med vpf for telefoner som kommer til virksomhetens sentralbord/kundesenter. For eksisterende kunder med et direktenummer til megler, vil det være naturlig å legge til grunn at personopplysningsloven 19 annet ledd er oppfylt. En slik løsning vil ivareta informasjonsbehovet til personer som presumtivt ikke er informert, samt ta hensyn til eksisterende kunder som tidligere er informert. Tilsvarende kan det etableres to numre til sentralbordet, et for eksisterende informerte kunder og et for øvrige innringere. Virksomheten står her fritt til å velge den løsningen som etterlever informasjonsplikten, jf. personopplysningsloven 19. Det fattes vedtak som tidligere varslet. 1 Ot prp nr 92 ( ) Om lov om behandling av personopplysninger (personopplysningsloven) side
3 Ad. pkt. 3 Lagring og sletting av personopplysninger Kravene til internkontroll fremgår av personopplysningsloven 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf (1) skal lydopptak og annen dokumentasjon som nevnt i oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. Virksomheten har i sine merknader lagt til grunn at lydopptak skal lagres i minst fem år, jf. vphl nr 7. Etter vpf nr. 1 heter det at «verdipapirforetak skal oppbevare den dokumentasjon som kreves etter verdipapirhandelloven og forskrifter fastsatt i medhold av verdipapirhandelloven i minst 5 år.» Lydopptak som inneholder slik dokumentasjon som vpf nr. 1, jf. vphl nr. 7, viser til skal etter dette lagres i minst fem år, øvrige lydopptak som ikke inneholder slik dokumentasjon skal minst lagres i minst tre år, jf. vpf Etter at lagringsplikten er utløpt må virksomheten vurdere om det fortsatt er nødvendig å lagre lydopptaket, jf. personopplysningsloven 11 bokstav e), jf. personopplysningsloven 28. Det fattes vedtak som tidligere varslet. Ad. pkt. 4 Øvrige kommentarer (innsynsrett) Navigea opplyser i brev av 31. mai 2013 at virksomheten ikke lenger gir transkripsjon av lydopptak. Årsaken opplyses å være at det systemet som ble benyttet ikke var nøyaktig nok og gikk utover kvaliteten. Videre bemerker virksomheten følgende: «Ved oversendelse av opptak viser vi til at ansattes personvern bør ivaretas så langt det er mulig og at man som hovedregel skal komme til et av våre kontorer for å gjennomgå materialet. Dersom dette ikke er mulig, følger vi NFMFs standarder og viser til at man kan oversende til kundens advokat eller så langt vi kan tilpasse oss situasjonen i hvert enkelt tilfelle ut fra en konkret vurdering.» Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf. personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve 3
4 at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Navigea har endret på praktiseringen av innsynsretten siden kontrolltidspunktet. Virksomhetens praksis, vil etter tilsynets vurdering, være i strid med innsynsretten til den registrerte, jf. personopplysningsloven 18 og 24. Datatilsynet legger til grunn for sine vurderinger at opptakene kan bestå av flere timer, og virksomhetens gjennomføring av innsynsretten ikke var særlig egnet i slike tilfeller. Dette vil være tilfelle når det er behov for å engasjere profesjonell bistand i f. eks. en klagesak. Datatilsynet har forståelse for at virksomheten ønsker å ivareta de ansattes personvern. Tilsynet finner imidlertid ikke at det hensynet, kan være grunnlag for å avskjære den registrerte den lovhjemlede retten til å motta transkripsjon av lydopptak, jf. personopplysningsloven 24. Datatilsynet vil av denne grunn fatte vedtak om at virksomheten må gi slik innsynsrett som hjemles i personopplysningsloven 18 og 24. Forhåndsvarsling av vedtaket unnlates, jf. forvaltningsloven 16 bokstav c), siden virksomheten har fått kjennskap til at vedtak skal treffes og har hatt rimelig foranledning og tid til å uttale seg. Vurdering av merknader fra Norges Fondsmeglerforbund Norges fondsmeglerforbund (NFMF) har i e-post av 3. juli 2013 gitt en tilleggskommentar til spørsmålet om innsynsrett. NFMF viser til verdipapirforetakenes plikt til å etablere betryggende interne rutiner for ansattes og tillitsvalgtes innsyn i lydopptak og annen kommunikasjonskanal, jf. verdipapirforskriften Rutinen skal minst bestå av hvilke tjenstlige formål og hvilke prosedyrer som skal åpnes for slikt innsyn. NFMF er videre av den oppfatning at: «Det ligger i forskriften at lovgiver har sett behovet for å verne ansatte mot ukontrollert innsyn fra, kollegaer, overordnede m.fl. Derfor er det også strenge rutiner i verdipapirforetakene for slikt innsyn. Dersom kunder skulle få anledning til ukontrollert innsyn i lydopptak for eksempel ved utlevering, vil den beskyttelse som ansatte er gitt gjennom kravene i forskriften bli verdiløs.» Datatilsynet bemerker: Vpf pålegger finansforetakene å etablere interne rutiner for ansattes og tillitsvalgtes innsyn i blant annet lydopptak. Bestemmelsen regulerer ikke når tillitsvalgte eller andre ansatte skal få innsyn til lydopptakene. Pliktene verdipapirforetakene har etter vpf er sammenfallende med pliktene som følger av personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Kravene etter personopplysningsloven 14 vil sågar utfylle pliktene som følger av vpf , siden personopplysningsloven 14 også vil pålegge verdipapirforetakene å etablere prosedyrer for 4
5 hvordan innsynsretten skal gjennomføres overfor kunder som har vært gjenstand for lydopptak. Vpf er etter tilsynets vurdering ment å klargjøre og dokumentere virksomhetens interne behov for innsyn i lydopptak og hvordan innsyn skal gjennomføres i praksis. I tillegg bidrar bestemmelsen til at behandlingen av personopplysninger i virksomheten blir transparent og kjent blant de ansatte, og vil derfor være et viktig verktøy for å kunne etterleve personopplysningslovens regler. Plikten til å hindre uvedkommende (interne og eksterne individer) tilgang til lydopptakene er regulert i personopplysningsloven 13. Personopplysningsloven 13 stiller en del krav til behandlingsansvarlig (finansforetaket) når det gjelder informasjonssikkerheten ved behandling av personopplysninger. Bestemmelsen fastslår at den behandlingsansvarlige skal gjennom planlagte og systematisk tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Kravet til konfidensialitet innebærer at personopplysningene skal være utilgjengelig for uvedkommende. Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelige for autoriserte brukere for bruk i henhold til de formål de er innhentet. I dette ligger blant annet at kun de som har tjenstlig behov for personopplysninger skal ha tilgang til dem. Hvilke personer som oppfyller kravet til tjenstlig behov er det i utgangspunktet virksomheten selv som må ta stilling til. Virksomheten må imidlertid være beredt til å begrunne sitt valg av antall personer som er gitt tilgang til visse typer opplysninger. Etter tilsynets vurdering og ut i fra et personvernperspektiv er det mindre betenkelig å gi den registrerte (kunden eller den aktuelle ansatt) innsyn i et lydopptak vedkommende selv deltar i, enn det er å gi øvrige ansatte i finansforetaket fri tilgang/innsynsrett. Dette syn gjenspeiles i regelverket når ansatte som ikke har deltatt i samtalen må vise til et tjenstlig behov/formål for å få tilgang/innsyn til lydopptakene, jf. vpf , mens en slik begrunnelse ikke er nødvendig for den registrerte, jf. personopplysningsloven 18 annet ledd. Den registrerte (kunde eller den aktuelle ansatt) som ønsker innsyn i lydopptak, jf. personopplysningsloven 18 annet ledd, vil etter dette ikke være å anse som «uvedkommende», men en med lovlig tilgang/innsynsrett når unntak fra innsynsretten, jf. personopplysningsloven 23, ikke kommer til anvendelse. Etter personopplysningsloven 24 vil virksomheten ha en plikt til å utlevere en transkribert versjon av samtalen eller en lydfil. Finansforetakene plikter følgelig å ha rutiner på plass for å behandle innsynskrav fra de registrerte som ønsker innsyn i lydopptak, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må gi tilstrekkelig informasjon til den registrerte i samsvar med personopplysningslovens 19. Det vises til tilsynsrapportens pkt
6 2. Virksomheten må utarbeide rutiner for sletting av personopplysninger i tråd med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Det vises til tilsynsrapportens pkt Virksomheten må gi innsynsrett til de registrerte i tråd med personopplysningsloven 18 annet ledd, jf. lovens 24. Det vises til tilsynsrapportens pkt Lukking av avvik Datatilsynet anbefalte i brev 9. april 2013 at det ble oversendt et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Det ble videre opplyst at tilsynet vil se hen til denne fremdriftsplanen når det skal vedtas en frist for virksomhetens gjennomføring av påleggende. Datatilsynet har ikke mottatt slikt forslag til fremdriftsplan. Datatilsynet gir på denne bakgrunn en frist for gjennomføring av samtlige pålegg til 31. oktober Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom virksomheten har kommentarer til fristen for gjennomføring av påleggende, bes det om en rask tilbakemelding på dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen syv uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum Avdelingsdirektør Henok Tesfazghi rådgiver Kopi: Norges fondsmeglerforbund, Pb Vika, 0117 OSLO Vedlegg: Endelig kontrollrapport 6
7 Saksnummer: 12/00863 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Navigea Securities AS Sted: Oslo Utarbeidet av: Martha Eike Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos Navigea Securities AS 30. oktober Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, sninger, særlig i forbindelse med lydopptak. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets ts vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ole Jørgen Jacobsen, adm. dir. Navigea Securities AS - Kjersti Aksnes Gjesdahl, Head of Legal & Compliance Navigea Securities AS - Trond Geitung-Larsen, Legal Counsel Navigea Securities AS - Per Christian Holmberg, IT Director Agasti Business Services AS - Sven Terje Hansen, Operations Manager Agasti Business Services AS 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Henok Tesfazghi, rådgiver - Stein Erik Vetland, overingeniør 3 Generelt Verdipapirforskriftens stadfester at verdipapirforetak skal foreta lydopptak av alle telefonsamtaler i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven 2-1 første ledd nr. 1 til 6. Med investeringstjenester menes 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, 4. aktiv forvaltning av investorers s portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 1 av 9
8 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten plikter å foreta lydopptak av telefonsamtaler som foretas i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven (vphl.) 2-1 første ledd nr. 1 til 6, jf. verdipapirforskriften (vpf.) Plikten til å foreta lydopptak vil omfatte alle telefonsamtaler i tilknytning til investeringstjenester, herunder investeringsrådgivning samt mottak og formidling av ordre. Videre foreligger det en utstrakt plikt til å dokumentere innholdet i annen kommunikasjon med kunder, som ved bruk av e-post, SMS, Bloomberg, Reuters Messenger og ulike chattekanaler på Internett. Videre plikter virksomheten å etablere betryggende rutiner for dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler når disse benyttes i til tilknytning til ytelse av investeringstjenester som nevn ovenfor. Personopplysningsloven vil her gjelde utfyllende. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. 11 bokstav b). Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Det er vanskelig å se hvordan et formål kan være uttrykkelig angitt uten at det også er skriftlig nedfelt. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer i bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelig proporsjoner sett opp mot de oppgitte behov og formål, og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningsloven 11 første ledd bokstav a) må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningsloven 8 (og 9 om det behandles sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for lydopptak er hjemmel i lov, jf vphl , jf. vpf av 9
9 5.1 Lydopptak Rettslig grunnlag Verdipapirforetakene plikter, jf. vphl , etter nærmere regler fastsatt av departementet å: 1. foreta lydopptak i tilknytning til yting av investeringstjenester og tilknyttede tjenester, samt 2. oppbevare lydopptak og annen type dokumentasjon i tilknytning til slike tjenester Verdipapirforetakene plikter etter vpf å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. Dvs. 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, 4. aktiv forvaltning av investorers portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter, Verdipapirforetakene plikter ikke å foreta lydopptak eller dokumentere annen kommunikasjon som gjelder yting av tilknyttede tjenester etter vphl. 2-1 annet ledd. Tilknyttede tjenester er etter vphl. 2-1 annet ledd: 1. oppbevaring og forvaltning av finansielle instrumenter, 2. kredittgivning, 3. rådgivning med hensyn til foretaks kapitalstruktur, industriell strategi og beslektede spørsmål, samt rådgivning og tjenester i forbindelse med fusjoner og oppkjøp av foretak, 4. tjenester i tilknytning til valutavirksomhet når dette skjer i forbindelse med ytelse av investeringstjenester som definert i første ledd, 5. utarbeidelse og formidling av investeringsanbefalinger, finansielle analyser og andre former for generelle anbefalinger vedrørende transaksjoner i finansielle instrumenter, 6. tjenester knyttet fulltegningsgaranti, 7. tjenester i tilknytning til underliggende til varederivater og derivater som definert i 2-2 femte ledd nr. 5, når disse tjenestene har sammenheng med investeringstjenester eller tilknyttede tjenester som nevnt i bestemmelsene her Faktiske forhold Hovedformålet med lydopptak hos virksomheten er å sikre overholdelse av lovpålagte plikter, samt adekvat behandling av kunden, f. eks. ved at megler kan kontrollere at han/hun har oppfattet riktig ordre. 3 av 9
10 Lydloggen vil videre bli brukt i forbindelse med foretakets internkontroll. Lydloggen vil også kunne benyttes som dokumentasjon i klagesaker, med de begrensninger som følger av taushetsplikten. Virksomheten tar opp alle fasttelefonsamtaler som foretas i tilknytning til ytelser av investeringstjenester, jf. vphl. 2-1 nr Virksomheten tar opp alt av inngående og utgående samtaler. Dette skjer automatisk uavhengig om det ringes til eller fra sentralbordet eller om det ringes direkte til eller fra en medarbeider Vurdering Virksomheten vil ha et behandlingsgrunnlag, jf. personopplysningsloven 8 (fastsatt i lov), til å foreta lydopptak når virksomheten yter investeringstjenester og tilknyttede tjenester, jf. pkt ovenfor. Når virksomheten foretar lydopptak av samtaler inn og fra sentralbordet, vil det etter Datatilsynet vurdering, falle utenfor virksomhetens lovpålagte plikt til å foreta lydopptak, jf. pkt Det er på det rene at det ikke ytes investeringstjenester eller tilknyttede tjenester fra sentralbordets telefonlinjer. 1 Det innhentes ikke et samtykke fra innringer eller mottaker av samtalen og tilsynet finner ikke at øvrige behandlingsgrunnlag i personopplysningsloven 8 bokstav a) til f) blir oppfylt. Datatilsynet finner derfor at virksomheten ikke har et gyldig behandlingsgrunnlag for de lydopptak som foretas av telefonsamtaler som kommer inn og fra sentralbordet Konklusjon Virksomhetens lydopptak av innkomne og utgående samtaler fra sentralbordet mangler et gyldig behandlingsgrunnlag i personopplysningsloven Informasjon Rettslig grunnlag Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf : a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og 1 Virksomheten har i brev av 31. mai 2013 opplyst at sentralbordet har blitt overført til kundesenteret i Stavanger, og i tillegg til sentralbordoppgaver så er kundesenteret også et servicesenter som bistår virksomhetens kunder med å gjennomføre transaksjoner. Kundesenteret vil således oppfylle et behandlingsgrunnlag, siden kundesenteret bistår virksomhetens kunder med å gjennomføre transaksjoner, jf. personopplysningsloven 8, jf. verdipapirhandelloven 9-11 første ledd nr av 9
11 d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte har en informasjonsplikt, jf. lovens 19. Etter bestemmelsen heter det at: Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f. eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Plikten til å gi informasjon gjelder her før lydopptak settes i gang, eksempelvis før lydopptakets oppstart. Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen virksomheten plikter å gi, jf. personopplysningsloven 19 andre ledd. Terskelen for at unntaket fra informasjonsplikt skal komme til anvendelse («på det rene») er satt høyt. Den behandlingsansvarlige må her være helt sikker på at den registrerte er kjent med samtlige punkter i 19 første ledd. Unntak fra retten til informasjon er også hjemlet i personopplysningsloven 23. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftingsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger Faktiske forhold Virksomheten informerer i sine kundeavtaler og på sin nettside at de foretar lydopptak og lagrer alle telefonsamtaler til og fra virksomhetens fasttelefoner, samt lagrer kommunikasjon via e-post. Det blir ikke gitt noe informasjon til innringere eller avsendere e-post utover dette. 5 av 9
12 5.2.3 Vurdering Datatilsynet legger til grunn at de som henvender seg til virksomheten ikke alltid er kunder og bør kjenne til virksomhetens alminnelige forretningsvilkår. Etter personopplysningsloven 19 skal virksomheten av eget tiltak informere den registrerte om de forhold som er nevnt i personopplysningsloven 19 første ledd bokstav a) til e). Tilsynet ser at det vil være tilstrekkelig å oppgi følgende opplysninger i den anledning: - at det blir foretatt lydopptak - formålet med lydopptaket - hvor lenge lydopptakene lagres - at øvrige informasjon er tilgjengelig på f. eks. virksomhetens nettside Øvrige informasjon viser her til opplysninger som virksomhetens adresse, retten til innsyn og retten til å kreve retting. Det forutsettes at virksomheten har slik informasjon lett tilgjengelig på virksomhetens nettside og at virksomheten informerer den registrerte om denne muligheten. Etter tilsynets vurdering vil ikke virksomheten overholde sin informasjonsplikt, når de kun informerer om at det foretas lydopptak gjennom virksomhetens alminnelige forretningsvilkår eller gjennom øvrig informasjon på virksomhetens nettside, jf. personopplysningsloven Det er tilsynets vurdering at innringer samt mottaker av telefonsamtaler som blir gjenstand for lydopptak må bli kjent med at det foretas lydopptak i forkant, gjerne som en automatisk opplest beskjed, før lydopptaket igangsettes. Er innringer eller mottaker av telefonsamtalen allerede informert om at det foretas lydopptak, vil plikten til å gi informasjon ikke være påkrevd, jf. personopplysningsloven 19 annet ledd Konklusjon Virksomheten overholder ikke sin informasjonsplikt, jf. personopplysningsloven Lagring Rettslig grunnlag Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf (1) skal lydopptak og annen dokumentasjon som nevnt i oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. 2 Virksomheten opplyser imidlertid i brev av 31. mai 2013 at når foretaket ringer til personer eller selskaper som ikke er kunder eller det er tvil om at personen vet at det blir foretatt lydopptak, blir det opplyst om at det blir foretatt lydopptak. En slik rutine/instruks er dog ikke inntatt i virksomhetens internkontroll som tilsynet har mottatt. 6 av 9
13 Plikten til å lagre materiale i tre år gjelder dog kun relevante opplysninger. Den behandlingsansvarlige må av den grunn etablere rutiner for å søke å hindre lagring av overskuddsinformasjon Faktiske forhold Lagring av lydopptakene startet i 2011, og har derfor blitt lagret under tre år. Virksomheten har ikke vurdert om det er nødvendig å lagre opptakene (her må e-post innbefattes) utover de lovpålagte tre årene Konklusjon Tilsynet vil her påpeke at virksomheten her har en plikt til å slette unødvendige personopplysninger. 5.4 Internkontroll Rettslig grunnlag Kravene til internkontroll fremgår av personopplysningslovens 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Rutiner for bruk av ulike informasjonssystemer er en viktig del av en tilfredsstillende internkontroll. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollsystemet har tradisjonelt blitt delt inn i tre deler, et styrende, en gjennomførende og en kontrollerende del Faktiske forhold Virksomheten opplyste under kontrollen at lydloggene ble minst lagret i tre år, men at man ikke hadde vurdert hvor lenge enda, siden man lå godt innenfor tre års fristen Vurdering Etter Datatilsynets vurdering, skulle det vært en skriftlig nedfelt rutine for sletting av hhv. lydopptak og e-postkorrespondanse. En manglende rutine for slik sletting må anses som en mangel etter personopplysningsforskriften 3-1 bokstav c) Konklusjon Virksomhetens manglende sletterutiner er i strid med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c). 5.5 Innsyn Rettslig grunnlag Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve 7 av 9
14 at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Den behandlingssansvarlige plikter å svare innsynsbegjæringen senest innen 30 dager fra henvendelsen ble mottatt Faktiske forhold Kunder kan ved skriftlig henvendelse be om innsyn i lydlogg for egne telefonsamtaler. Av hensyn til ansattes personvern blir kunder eller øvrige registrerte bedt om å møte opp hos virksomheten for å lytte på opptak. Hvis ikke kunden har mulighet til dette kan det bli laget transkripsjoner av lydopptaket. Virksomheten opplyste under kontrollen at det ikke behandlet mange innsynskrav Vurdering Virksomheten gir ikke ut kopier av lydfiler, men utleverer transkripsjoner av lydopptak. Innsynsretten blir, etter Datatilsynets vurdering, avspist hvis den registrerte kun har mulighet ved å møte opp hos virksomheten for å lytte på opptaket. Dette har virksomheten unngått ved å transkribere lydopptaket. Etter Datatilsynets vurdering plikter virksomheten å gi den registrerte innsyn i opplysninger om seg selv, jf. personopplysningsloven 18 annet ledd. Etter personopplysningsloven 24 kan den registrerte kreve en skriftlig kopi hos behandlingsansvarlig. Datatilsynet forstår bestemmelsen slik at den registrerte kan kreve en transkripsjon av lydopptak. Da dette er tidsog ressurskrevende, vil de fleste virksomheter utlevere opptaket som en lydfil eller på en CD. Datatilsynet anser en slik løsning som tilfredsstillende og i tråd med personopplysningsloven Konklusjon Virksomhetens praksis er i tråd med innsynsretten etter personopplysningsloven 18 annet ledd. 5.6 Informasjonssikkerhet Rettslig grunnlag I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble omtalt under kontrollen. 8 av 9
15 5.6.2 Faktiske forhold Virksomheten jobber systematisk og planlagt for å sørge for tilstrekkelig informasjonssikkerhet. Datatilsynet har ikke påvist svakheter med virksomheten sin løsning, Konklusjon Intet avvik funnet. 9 av 9
Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og
Sparebank 1 Markets AS Postboks 1398 Vika 0114 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00864-9/HTE Dato 8. juli 2013 Kontroll hos Sparebanken 1 Markets - lydopptak - vedtak Det vises
DetaljerKlage fra SpareBank 1 Markets AS på Datatilsynets vedtak
Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet
DetaljerVerdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.
Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
DetaljerLydopptak og personopplysningsloven
Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...
DetaljerVedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011
Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerBrevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
DetaljerDet vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.
Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets
Detaljer14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
DetaljerPERSONVERNERKLÆRING FORUM SECURITIES AS
PERSONVERNERKLÆRING FORUM SECURITIES AS Nytt personvernregelverk ble innført i Norge gjeldende fra 1. juli 2018 og Forum Securities AS har oppdatert sin personvernerklæring i tråd med det nye regelverket.
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014
Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerVedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet
Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011
Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerDet vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.
NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets
DetaljerVi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.
Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerVedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet
Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet
DetaljerVedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi
Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato
Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov
DetaljerVår referanse (bes oppgitt ved svar)
Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for
DetaljerBEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING
BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet
Detaljerom konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.
Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll
DetaljerVedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet
Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerVår referanse (bes oppgitt ved svar)
Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerPersonvern og kundedata
Personvern og kundedata 19.01.2015 Fra muligheter til begrensninger? MULIGHETENE Hvordan bruke data fra interaksjon med kundene for å få større kundeinnsikt og grunnlag for å forbedre tjenester og produkter?»
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas
DetaljerVedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak
Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Blålys
Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises
DetaljerEndelig kontrollrapport
Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik
DetaljerVår referanse (bes oppgitt ved svar)
Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg
DetaljerPERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA
PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som
DetaljerVår referanse (bes oppgitt ved svar)
NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerRetningslinjer for ytelse av investeringstjenester
Tittel Retningslinjer for ytelse av investeringstjenester Vedtatt av: Styret Dato: 28. november 2018 Tidligere dok: N/A Skal revideres Årlig Tilgjengelig for: Alle Disse retningslinjer bygger på lov om
DetaljerVedtak om pålegg - Endelig kontrollrapport for Sømna kommune
Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises
DetaljerKontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester
TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerDet vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.
Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerPERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS
PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS Innledning Denne personvernerklæringen gjelder for Advokatene på Nordstrand AS (APN). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerKontroll av reseptformidleren 11122013 endelig kontrollrapport
Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig
DetaljerBEHANDLING AV PERSONOPPLYSNINGER
BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3
DetaljerDet vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.
Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL
PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen
DetaljerVår referanse (bes oppgitt ved svar) 12/ /CBR
Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )
PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig
DetaljerPERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)
PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerPersonvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten
Side 1 Innledning Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten 2018-10-22 Advokatfirmaet Judicium/Båtadvokaten behandler dine opplysninger når vi utfører oppdrag for deg. Alle opplysninger
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
Detaljer13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune
Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerEndelig kontrollrapport
Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerDet vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.
Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune
DetaljerOppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim
Oppbevaring og sletting av kundeopplysninger Complianceseminar VFF 1. september 2015 Cecilie Kvalheim 1 Hvem og hva snakker vi om? Fondsforvaltningsselskaper samt AIF-forvaltere Med og uten konsesjon til
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerGenerelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1
Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov
DetaljerPersonvernerklæring for medlemmer
Personvernerklæring for medlemmer Denne personvernerklæringen gir deg informasjon om Fontenehuset Asker (heretter kun omtalt som "Fontenehuset") sin behandling av personopplysninger som samles inn i forbindelse
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerDeres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015
Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerEndelig kontrollrapport
Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg
DetaljerLagring av advarsler i personalmapper - Datatilsynets veiledning
DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig
DetaljerPERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om
PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerPERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:
PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.
DetaljerETISK RÅD AVGJØRELSE I SAK NR. 2008/19
ETISK RÅD AVGJØRELSE I SAK NR. 2008/19 X Innklaget: Agilis Færder Securities ASA Stranden 3A, Aker Brygge 0250 Oslo Saken gjelder: Saken gjelder generell klage over kvaliteten på den rådgivningen klager
DetaljerPersonvernerklæring for Eurofins norske selskaper
Personvernerklæring for Eurofins norske selskaper Eurofins i Norge er opptatt av din integritet og ditt personvern. Det er derfor en selvfølge for oss å alltid etterstrebe å beskytte dine personopplysninger
DetaljerHvordan ivareta personvernet ved skikkethetsvurderinger?
Hvordan ivareta personvernet ved skikkethetsvurderinger? 25.10.2018 Agenda Overblikk over relevante plikter og rettigheter etter personvernregelverket Behandling av personopplysninger i skikkethetsvurderinger
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerDatabehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO
Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerAksjetjenesten i SpareBank 1 nettbank for foretak
Aksjetjenesten i SpareBank 1 nettbank for foretak SpareBank 1 Markets AS ( SpareBank 1 Markets ) er innholdsleverandør for aksjetjenesten i SpareBank 1 nettbank. For å oppfylle kravet til etablering av
Detaljer