Endelig kontrollrapport

Størrelse: px
Begynne med side:

Download "Endelig kontrollrapport"

Transkript

1 Saksnummer: 11/01209 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Teletopia Gruppen AS, Servicebyrået AS, Tele Taxi Asker og Bærum AS Sted: Lysaker Utarbeidet av: Stein Erik Vetland Lars-Otto Nymoen Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos Teletopia Gruppen AS (heretter TG) Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med fjernsynsovervåking. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger ringer og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Robert Hercz, bl.a. styreleder i Teletopia Gruppen 2.2 Fra Datatilsynet: - Stein Erik Vetland, overingeniør - Lars-Otto Nymoen, overingeniør - Henok Tesfazghi, juridisk rådgiver 3 Generelt Det er ingen ansatte i TG. TG er et holdingselskap og inngår i et konsern. Virksomheten eier immaterielle rettigheter som selskaper i konsernet benytter seg av i ordinær virksomhet. Virksomheten har forretningsadresse Strandveien 8. Flere av virksomhetens søsterselskaper har kontorene på samme adresse deriblant: Hellas.no AS, Servicebyrået AS, Teletaxi AS, Teletaxi Asker og Bærum AS, Teletopia AS, Teletopia Interactive AS, Medium Forlag AS, Teletopia Avanserte Nettjenester AS, Telecom Solutions AS, Teletopia Networks AS og (morselskapet) Aquarius Holding AS. Det ble estimert til å være ca 30 ansatte som jobbet i konsernet sine lokaler i Strandveien 8. Kontrollen av var uanmeldt. Beslutningstaker i forhold til overvåkningstiltaket og dermed behandlingsansvarlig ngsansvarlig i henhold til personopplysningsloven, var ikke tilstede når

2 representantene fra Datatilsynet først ankom virksomhetens adresse. Beslutningstaker ankom imidlertid forretningsadressen etter ca 1 time. Datatilsynet gjennomførte den uanmeldte kontrollen delvis på bakgrunn av et konkret tips om at virksomheten behandlet personopplysninger i strid med regelverket, og dels som en etterkontroll av virksomheten som ble gjennomført henholdsvis og Kontrollen startet med en kort gjennomgang av rettigheter og plikter for virksomhetens representant på stedet. Det ble overlevert et informasjonsskriv tilpasset uanmeldte kontroller. Tilsynet opplyste at det ville bli stilt en rekke spørsmål angående virksomhetens behandling av personopplysninger generelt og dens bruk av kameraovervåking spesielt. Det ble videre opplyst at tilsynet ville etterprøve (verifisere) de opplysningene som ble gitt under kontrollen opp mot andre objektive holdepunkter. Under kontrollen ble det kopiert over enkelte filer til tilsynets medbrakte eksterne harddisk. Datatilsynet mottok under kontrollen en kopi av en arbeidsavtale samt en politianmeldelse fra TG og Servicebyrået AS mot tidligere daglig leder. Kontrollen var i utgangspunktet rettet mot TG, men under den stedlige kontrollen ble det funnet avvik som TG ikke var behandlingsansvarlig for. Ansvarsforholdet ble først klarlagt i ettertid og denne rapporten omhandler derfor delvis TG sine søsterselskap Servicebyrået AS (heretter Servicebyrået) samt Tele Taxi Asker og Bærum AS (heretter Tele Taxi Asker og Bærum). 4 Kort om bruk av personopplysninger samt formålet med behandlingene 4.1 Kameraovervåking Kameraene som er plassert i TG sine lokaler er tilknyttet ett og samme anlegg, og det legges til grunn at det er det samme anlegget som tilsynet kontrollerte i TG opplyst etter 2008 kontrollen (se e-post av , saksnr 08/ ) at kameraene som var plassert i gangområde for overvåking av trafikk til datarom i teknisk avdeling var nedmontert og fjernet fysisk. 1 Datatilsynet vurderte det den gang at virksomhetens overvåking av resepsjonen måtte opphøre innenfor vanlig arbeidstid. Det vil i praksis medføre at overvåkingskameraene måtte være avslåtte mellom kl Lydopptak Robert Hercz (heretter RH) som er styreleder og eller daglig leder i samtlige konsernselskaper (listet opp i punkt 3 ovenfor) foretar lydopptak av telefonsamtaler han deltar i. Videre tar RH opp interne og eksterne møter han deltar i. Dette gjøres uten at deltagerne blir informert om det. RH opplyste at det er en del av hans «modus operandi», og (som i følge han selv) er godt kjent i hans kretser. 1 Se pkt av 16

3 4.3 Ansattes bruk av elektronisk kommunikasjon og elektronisk hjelpemidler Datatilsynet fikk på anmodning en kopi av en standardarbeidsavtale mellom en ansatt og Servicebyrået AS. I avtalens punkt 16 reguleres arbeidstakers bruk av elektronisk kommunikasjon og elektronisk hjelpemidler. Der heter det at «Av den grunn blir all inn- og utgående elektronisk post til og fra de e-post adressene som benytter bedriftens domenenavn lagret på en slik måte at andre i bedriften har fri tilgang til disse. Eventuell elektronisk kommunikasjon av privat karakter skal ikke forekomme til/fra e-post adresser som tilhører bedriften. Eventuell elektronisk kommunikasjon av privat karakter skal ikke forekomme til/fra e-post adresser som tilhører bedriften.» Videre er følgende regulert om teletrafikk «I egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som eventuelt disponeres av Arbeidstakeren. Arbeidstakeren er oppmerksom på at slik informasjon er åpen og tilgjengelig både for både ledelse og teknikere i bedriften.» 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf 11 bokstav b). Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Det er vanskelig å se hvordan et formål kan være utrykkelig angitt uten at det også er skriftlig nedfelt. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer i bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelig proporsjoner sett opp mot de oppgitte behov og formål, og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningsloven 11 første ledd bokstav a) må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningsloven 8 (og 9 om det er sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for kameraovervåkning vil normalt være lovens 8 bokstav f). Vilkåret etter dette alternativet er at behandlingen av personopplysningene er nødvendig for at den behandlingsansvarlige kan vareta en berettiget interesse, og at hensynet til den registrertes personvern ikke overstiger denne interessen. Med den registrerte menes her enhver som omfattes av opptakene og kan gjenkjennes, herunder ansatte, kunder, besøkende, eller andre. Oppfyller ikke overvåkningen vilkåret i 8, vil den mangle behandlingsgrunnlag, og følgelig være en behandling av personopplysninger i strid med loven. En slik avveining av 3 av 16

4 interesser må skje konkret for hver behandlingsansvarlig og de oppgitte formål sammen med en vurdering av hvor inngripende tiltaket ansees for å være. Virksomheten behandler personopplysninger for flere forskjellige formål. I det følgende vil Datatilsynet kun peke på konkrete mangler som tilsynet avdekket under kontrollen. 5.1 Kameraovervåking Personopplysningsloven og da særlig samt personopplysningsforskriften kapittel 8 stadfester rammer for kameraovervåking. Personopplysningsloven 37 stadfester at personopplysningsloven gjelder i sin helhet for alle former for kameraovervåking, slik dette er definert i 36 første ledd, jf. 3 første ledd bokstav c). Overvåking på en arbeidsplass vil svært ofte være omfattet av et skjerpet krav for å kunne anses som lovlig. Personopplysningsloven 38 krever et særskilt behov for overvåkingen om overvåkingen skjer av sted der en begrenset krets av personer ferdes jevnlig. Et typisk eksempel kan være et produksjonslokale hvor kun ansatte har tilgang. Det er med andre ord en høy terskel for når overvåkning av ansatte vil være et lovlig tiltak i henhold til personopplysningsloven. Dette gjelder særlig hvis overvåkingen i stor grad omfatter de ansattes arbeidsutførelse og gjøremål i løpet av en arbeidsdag. Kameraovervåking er meldepliktig etter personopplysningsloven 31. Overvåkingen skal tydelig varsles med informasjon om hvem som er behandlingsansvarlig, jf personopplysningsloven 40. Bestemmelser om utlevering av billedopptak finnes i personopplysningsloven 39. Personopplysningsforskriftens kapittel 8 om kameraovervåking har utfyllende bestemmelser om sletting i 8-4 og innsynsrett i 8-5. Etter personopplysningsforskriften 8-2 skal billedopptak sikres etter personopplysningsloven 13 med utfyllende bestemmelser i personopplysningsforskriften kapittel Overvåking av resepsjonsområdet Kameraovervåkingen rundt resepsjonsområdet er endret siden kontrollen i 2008 ved at kameraet som tidligere var bak resepsjonen er fjernet. Det er i dag tre kameraer rundt resepsjonsområdet. Et som fanger opp inngangsdøren og to som fanger opp hver sin korridor. Et av de to kameraene som overvåker korridorene fanger i tillegg opp deler av resepsjonsdisken. Opptakene har klare og skarpe bilder, og det er mulig å se hele korridoren der de ansattes kontorer befinner seg. Tilsynet viser til kontrollrapport av 2008: 4 av 16

5 Området rundt resepsjonen og foran døren er et form for knutepunkt i lokalet. Det er derfor ikke bare de som går inn eller ut av kontorets dør som blir filmet. Enhver bevegelse fra den ene siden av kontoret til den andre vil fanges opp av kameraene, eksempelvis om en person skal gå fra sitt kontor til motsatt side hvor kjøkken/ og spiserom er plassert. Med andre ord, overvåkingsbildene viser inn- og utpasseringer av døren, samt ansatte alminnelige bevegelser til eller fra ulike deler av kontoret Rettslig grunnlag Overvåking av resepsjonsområder og korridorer vil som hovedregel ikke ha et gyldig behandlingsgrunnlag etter personopplysningsloven 8 bokstav f), jf. 38. Spørsmålet er her om det foreligger så tungtveiende grunner at vurderingen bør være annerledes for lokalene til TG. Behandlingsgrunnlag etter 8 bokstav f) består av flere elementer i tillegg til en interesseavveining. Det er også et spørsmål om hvorvidt behandlingen av personopplysningene er nødvendig for å ivareta en berettiget interesse. I dette ligger det også en vurdering av om at formålet kunne, eller burde vært løst på en mer personvernvennlig måte. Slik tilsynet forstår saken, er formålet/interessen å kunne oppdage og reagere på at om uautoriserte personer går inn i lokalet, samt eventuelt kunne fremskaffe bevis og en identifisering av disse Faktiske forhold RH opplyste at kameraene i resepsjonsområdet og korridorene kun var slått på etter arbeidstid, det vil si mellom kl RH hevdet videre at det var kun mulig å få innsyn i opptakene, når man fysisk var tilkoblet virksomhetens server. Tilsynet kontrollerte opptakene som lå på virksomhetens server og avdekket at det også var gjort opptak i arbeidstiden, det vil si mellom kl Kontrollen avdekket videre at RH hadde tilgang til opptakene gjennom en offentlig IP-adresse (Internett). Det var synlig gjennom den installerte programvaren (Axsis) at RH hadde profiler til sin bærbar-pc, sin smarttelefon samt hjemme-pc. Datatilsynet kontrollerte RH sin bærbare-pc, der han hadde tilgang til kameraovervåkingssystemet og fikk bekreftet at den bærbare-pc hadde blitt benyttet til å foreta innsyn i systemet. RH innrømmet senere å ha tilgang til systemet og benyttet den Konklusjon Det er Datatilsynets vurdering at overvåkingen knyttet til inngang og resepsjon ikke oppfyller lovens krav, jf. personopplysningsloven 8 bokstav f), jf. 38, for den tid av døgnet hvor kontoret er bemannet på vanlig måte. Overvåking innenfor vanlig kontortid må følgelig opphøre. I Datatilsynets kontroll av virksomheten i 2008, ble TG pålagt å demontere kameraene som overvåket korridorene (saksnr. 08/ ). Datatilsynets etterkontroll avdekket at TG ikke har fulgt opp dette pålegget, noe Datatilsynet ser alvorlig på. Det ansees som skjerpende at TG har behandlet personopplysninger i strid med regelverket i og med at de var gjort oppmerksomme på dette ved tilsynets kontroll i 2008, hvor de fikk pålegg om at denne overvåkningen skulle opphøre. 5 av 16

6 Datatilsynet er videre av den oppfatning at en slik tilgang som RH har til opptakene ikke er forenelig med det formål som virksomheten legger til grunn, og at en slik tilgang vil mangle et gyldig behandlingsgrunnlag, jf. personopplysningsloven Overvåking av sjåførens pauserom Rettslig grunnlag Personopplysningsloven 38 oppstiller skjerpede krav for når en overvåking av sted hvor en begrenset krets av personer ferdes jevnlig kan skje. En slik overvåking vil kun være tillat om det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller at det for øvrig er et særskilt behov for overvåkingen. Personopplysningsloven 38 setter ikke interesseavveiningen etter 8 bokstav f) til side, men oppstiller et skjerpet krav til behov hos den behandlingsansvarlige. Det skjerpede kravet til et særskilt behov vil normalt gjelde ved overvåking av en arbeidsplass, eksempelvis et kontor, eller for områder hvor kun ansatte har tilgang. I praksis inneholder 38 et ekstra vern mot å bli kameraovervåket i arbeidshverdagen fordi tersklene for en lovlig overvåking er høy. Typiske eksempler på et særskilt behov er trussel mot liv og helse Faktiske forhold Under kontrollen ble tilsynet oppmerksom på at virksomheten hadde plassert et overvåkingskamera på et pauserom for sjåfører. Kameraet fanger opp en sofaseksjon samt inngangsdøren til pauserommet. Datatilsynet har i ettertid fått opplyst at behandlingsansvarlig for overvåkingssystemet er TG sitt søsterselskap Tele Taxi Asker og Bærum. RH forklarte at kameraet på pauserommet til sjåførene skyldes et ønske, fra Tele Taxi Asker og Bærum, om å motvirke hærverk, bortvise uvedkommende og innbrudd av lokalet. Det ble videre opplyst at rommet hadde blitt utsatt for hærverk Konklusjon Datatilsynet finner ikke at Tele Taxi Asker og Bærum har et behandlingsgrunnlag etter personopplysningsloven 8. Tilsynet mener videre at formålet med overvåkning av sjåførenes pauserom, å motvirke hærverk og innbrudd, ikke tilfredsstiller krav om et særskilt behov i personopplysningsloven 38. Ved beskyttelse mot innbrudd er for øvrig «skallsikring» (blant annet overvåking av bygningens fasade) mer egnet og mindre personverninngripende. En slik overvåking av sjåførenes pauserom, vil uansett ikke være en behandling som vil tilfredsstille kravet til et særskilt behov. 6 av 16

7 5.1.3 Informasjonsplikt overfor ansatte Rettslig grunnlag Ved innføring av kameraovervåking har behandlingsansvarlig en plikt til å informere de registrerte om at det samles inn opplysninger om dem, jf. personopplysningsloven 19. Behandlingsansvarlig plikter av eget tiltak å informere de registrerte blant annet om, formålet med behandlingen, at opplysningene vil bli utlevert, og eventuelt til hvem. Videre plikter behandlingsansvarlig å informere om annet som gjør den registrere i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. loven 18. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftningsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger Faktiske forhold Flere av de som jobber i TG sine lokaler har opplyst til tilsynets representanter at de ikke har mottatt informasjon om kameraovervåkingen. RH hevder at informasjon om kameraovervåkingen har blitt gitt på et allmøte (tilsynet antar at allmøte gjaldt for samtlige ansatte i Teletopia-systemet). TG kunne ikke fremlegge noe dokumentasjon på når informasjonen ble gitt eller hva informasjonen inneholdt. Videre har ikke virksomheten rutiner for hvordan nyansatte skal få informasjon om overvåkningen som er et krav etter personopplysningsloven Konklusjon Datatilsynet kan ikke se at TG har oppfylt sin informasjonsplikt, jf. personopplysningsloven 19. Tilsynet kan videre ikke se at det er gjennomført drøftinger med tillitsvalgte i tråd med arbeidsmiljøloven 9-2 første ledd. Datatilsynet understreker imidlertid at det er Arbeidstilsynet som håndhever reglene etter arbeidsmiljøloven. De ansatte er formelt ansatt hos Servicebyrået, mens TG er behandlingsansvarlig over kameraovervåkingen. Det kan således settes spørsmålstegn ved om arbeidsmiljølovens regler vedrørende drøftingsplikt kommer til anvendelse. Tilsynet vil likevel påpeke at innføringen av kontrolltiltaket uansett burde vært drøftet med de tillitsvalgte i Servicebyrået Sletting Rettslig grunnlag Personopplysningsforskriften 8-4 stadfester at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningsloven av 16

8 Billedopptak skal senest slettes 7 dager etter at opptakene er gjort. Sletteplikten etter forrige punkt gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager Faktiske forhold Virksomheten var kjent med regelverket på dette område, og RH mente at virksomheten overholdt fristen. Under verifikasjonen fikk tilsynet tilgang til opptak som var ca tre til fire år gamle. I bevissikrings øyemed kopierte tilsynet flere filer over på medbrakt harddisk. Det var særlig to forhold som var av eldre dato. Det første forholdet gjaldt bilder som RH mener var en illojal ansatt som saboterte servere, og det andre forholdet var bilder av en annen person som spaserer gjennom resepsjonen. RH hevder at vedkommende som spaserte gjennom resepsjonen utøvde vold minutter etter at opptaket ble gjennomført, og av den grunn ble opptaket lagret ut over normal lagringstid. RH opplyste videre at opptakene av kameraovervåkingen av serverommet ble lagret i 30 dager Konklusjon Personopplysningsforksriften hjemler en maksimal oppbevaringstid på inntil 30 dager, når det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. Når virksomheten har lagret opptak utover dette, har den forbrutt seg med regelverket. Likeledes vil virksomhetens lagring av bildeopptak fra serverrommet måtte slettes innen 7 dager. Konklusjonen er at virksomheten har lagret opptak i strid med personopplysningsforskriften Lydopptak Rettslig grunnlag Lydopptak må ha et behandlingsgrunnlag etter personopplysningsloven 8. Når det samles inn opplysninger om den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om forhold som er nevnt i 19 første ledd bokstav a) e). Unntak fra informasjonsplikten er hjemlet i personopplysningsloven Faktiske forhold Tilsynet avdekket i forbindelse med kontroll av RH sin bærbare-pc en omfattende lagring av digitale lydfiler, anslagsvis over 500 timer med opptak. Det ble også avdekket filer fra langt tilbake i tid. Deler av lydfilene som var lagret var private opptak. RH erkjenner å ta lydopptak av telefonsamtaler han deltar i. RH viste i den forbindelse også til Teletopia sin tjeneste på og 8 av 16

9 Videre tar RH opp interne og eksterne møter han deltar i med en lydopptaker han har i lommen. Opptakene ble bevisst foretatt uten at deltakeren(e) på henholdsvis møtet eller telefonsamtalen ble informert om det. Formålet med opptakene varierte, men et av disse formålene som ble angitt var sikkerhet Konklusjon Datatilsynet kan ikke se at den virksomheten RH representerer har et behandlingsgrunnlag etter personopplysningsloven 8, for lydopptak gjort i forbindelse med virksomhetsutøvelse. Tilsynet kan videre ikke se at den virksomheten RH representerer har oppfylt sin informasjonsplikt eller at unntak fra informasjonsplikten kommer til anvendelse. Datatilsynet konkluderer med dette at den virksomheten RH representerer ikke har et gyldig behandlingsgrunnlag for de lagrede filer, jf. personopplysningsloven 11, jf. 8. RH sine private opptak faller utenfor personopplysningslovens saklige virkeområde, jf. personopplysningsloven 3 annet ledd. 5.3 Ansattes elektronisk kommunikasjon E-post Rettslig grunnlag Personopplysningsforskriften kapittel 9 regulerer arbeidsgivers rett til innsyn i arbeidstakers e-postkasse mv. Med arbeidstakers e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet i virksomheten, jf. personopplysningsloven 9-1. Vilkår for innsyn er regulert i personopplysningsforskriften 9-2. Det følger av bestemmelsen at arbeidsgiver bare har rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, b) vedbegrunnet mistanke om at arbeidstakers bruk av e-postkassen medrører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Dersom arbeidsgiver mener at vilkårene for innsyn i e-post mv. er oppfylt, skal arbeidsgiver i varsel til arbeidstaker begrunne hvorfor vilkårene i 9-2 anses å være oppfylt, jf. personopplysningslovens 9-3, 1. ledd. Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn. Arbeidstaker skal videre så langt som mulig gis anledning til å være til stede under gjennomføringen av innsynet. Unntak fra retten til informasjon i personopplysningsloven 23 gjelder tilsvarende. Dersom innsyn er foretatt uten forutgående varsel skal arbeidstaker gis skriftlig underretning om dette så snart innsynet er gjennomført, jf. personopplysningsforskriften 9-3, 2. ledd. 9 av 16

10 Det følger av personopplysningsforskriften 9-4 at arbeidstakers e-postkasse mv. skal avsluttes når arbeidsforholdet opphører. Innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid. Begrepet rimelig tid fordrer en konkret vurdering, men det legges i merknadene til bestemmelsen til grunn at det må kunne forventes at arbeidsgiver foretar en vurdering i løpet av seks måneder etter arbeidsforholdets opphør. Personopplysningsforskriften 9-5 stadfester at det ikke er adgang til å fastsette instruks eller inngå avtale om arbeidsgivers innsyn i arbeidstakers e-postkasse mv. som fraviker bestemmelsene i dette kapitlet til ugunst for arbeidstaker Faktiske forhold RH opplyste at Servicebyrået ikke slettet e-poster til tidligere ansatte og at e-postene ble lagret til evig tid. RH anså at en slik omfattende gjennomgang av ansattes e-post ville bli for ressurskrevende. RH viste videre til arbeidsavtalens pkt 16 (omtalt i pkt 4.3 ovenfor) som regulerte bruken av elektronisk kommunikasjon. Der heter det blant annet at «all inn- og utgående elektronisk post til og fra de e-post adressene som benytter bedriftens domenenavn [blir] lagret på en slik måte at andre i bedriften har fri tilgang til disse.» Konklusjon Tilsynet legger til grunn at det her er tale om personlige e-postkontor som identifiserer enkeltpersoner slik som for eksempel Servicebyråets lagring av tidligere ansattes e-poster strider med personopplysningsforskriften 9-4. Arbeidsgivers adgang til å foreta innsyn i inn- og utgående elektronisk post, må vurderes opp mot vilkårene i personopplysningsforskriften 9-2, og må videre følge prosedyrereglene i forskriftens 9-3. Servicebyråets regulering om at alle i bedriften skal ha fri tilgang til lagret e-post, vil således stride med personopplysningsforskriften 9-2 og 9-3. Virksomheten må videre anses avskåret fra å inngå slike avtaler, siden avtalen klart fraviker bestemmelsene i kapittel 9 til ugunst for arbeidstakeren, jf. personopplysningsforskriften Lagring av trafikkdata Rettslig grunnlag Ifølge personopplysningsloven 11 første ledd bokstav a), jf. 8, plikter den behandlingsansvarlige å påse at det foreligger et gyldig rettslig grunnlag for en hver behandling av personopplysninger som faller innenfor dens ansvarsområde. Etter personopplysningsloven 8 kan en behandling av personopplysninger baseres på hjemmel i lov, samtykke, eller en av de nødvendighetsgrunner som er angitt i bokstavene a) til 10 av 16

11 f). Spørsmålet om det foreligger gyldig behandlingsgrunnlag, må i utgangspunktet stilles i relasjon til samtlige personopplysninger som behandles. Videre vil det formålet som ligger til grunn for den enkelte behandling kunne være avgjørende, jf. 8 bokstavene a) til f) Faktiske forhold Virksomheten opplyser i arbeidsavtalen at i egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som disponeres av arbeidstakeren. Slik informasjon er åpen og tilgjengelig både for ledelse og teknikere i bedriften. RH opplyste imidlertid at virksomheten ikke lenger var mobiloperatør, og at man nå kjøpte sine mobiltjenester fra NetCom. I brev av 15. mars 2012 ble TG pålagt å klargjøre hvilket innhold man tilla begrepet teleoperatør, samt hvordan virksomheten behandlet personopplysninger i den forbindelse. TG påklagde vedtaket i brev av 19. mars Klagen ble ikke tatt til følge av Personvernnemnda i avgjørelse av 7. mai 2012 (PVN ). TG opplyser i brev av 16. mai 2012 at «Selskapsgruppen tilbyr i hovedsak telefoni og SMS og tjenester basert på, eller relatert til, disse. Internettrelaterte tjenester som hjemmesider, e- post, FTP, socketserver, webservices osv. tilbys i det vesentligste som støttefunksjoner til slike.» På spørsmål om hvilke konkrete personopplysninger som ble lagret, ble følgende opplysninger gitt: Databasen for telefonirelaterte CDR er 2 inneholder følgende datafelt ( columns ): Datafelt Innhold/Beskrivelse call_id Unik identifikator for hver enkelt samtale a_number Calling Party Number (jf ISUP / ETSI) hidden CLIP/CLIR-markering (jf ISUP) b_number Called Party Number (jf ISUP / ETSI) channel Behandlende trafikk-kanal i telesentralen start Dato og klokkeslett samtalen ble mottatt (ISUP IAM) charge Dato og klokkeslett samtalen ble besvart (ISUP ANM) stop Dato og klokkeslett samtalen ble avsluttet (ISUP REL) seconds Samtalens varighet (Duration jf ETSI) direction Retning orig_callid Refereanse til annen Call_ID program Applikasjon som har behandlet samtalen clearcause Begrunnelse for avslutning av samtalen (ISUP ClearCause) processed Hvorvidt CDR en er prosessert for avregning 2 CDR står for Call Detail Record, og genereres for å kunne fakturer kunder korrekt. 11 av 16

12 Databasen for SMS-relaterte CDR er inneholder flere tabeller, bestående av følgende datafelt ( columns ): Tabell: Incoming (Mobile Originated) Datafelt Innhold/Beskrivelse MessageId Unik identifikator for hver enkelt melding Timestamp Dato og klokkeslett meldingen ble mottatt CpaNumber Nummeret meldingen ble sendt til UserNumber Avsenderidentitet ServiceId Id på tjenesten som behandler meldingen AccountId Id på kontoen som behanlder meldingen Tabell: Outgoing (Mobile Terminated) Datafelt Innhold/Beskrivelse MessageId Unik identifikator for hver enkelt melding Timestamp Dato og klokkeslett meldingen ble sendt CpaNumber Avsenderidentitet UserNumber Nummeret meldingen ble sendt til ServiceId Id på tjenesten som sender meldingen AccountId Id på kontoen som sender meldingen NationalityId Landskode OperatorId Operatør / serviceprovider TerminatingOperatorId Terminerende operatør PricePlan Prisplan Price Pris ved MT-billing PartCount Antall delmeldinger Tabell: Delivery Reports Datafelt Innhold/Beskrivelse MessageId Unik identifikator for hver enkelt melding Timestamp Dato og klokkeslett meldingen ble sendt StatusType Leveringsstatus (levert/ikkelevert) StatusCode Intern kode for status StatusDescription Intern statusbeskrivelse OperatorStatusCode Operatørspesifikk kode for status OperatorStatusDescription Operatørspesifikk statusbeskrivelse 12 av 16

13 TG opplyser videre at «Telekonsesjonen angir at Teletopia Gruppen AS er behandlingsansvarlig, uten hensyn til hvilket selskap i selskapsgruppen som utøver virksomheten.» Konklusjon Datatilsynet legger til grunn at TG er behandlingsansvarlig for behandlingen av trafikkdata. I tråd med TG sin oversikt over behandlingsansvarlige (brev av 6. februar 2012, saksnr. 11/ ) legger tilsynet til grunn at Servicebyrået behandler trafikkdata (personopplysninger) på vegne av TG. Det skal i slike tilfeller opprettes en skriftlig databehandleravtale mellom TG som behandlingsansvarlig og Servicebyrået som databehandler, jf. personopplysningsloven 15. Datatilsynet har gjentatte ganger bedt om en kopi av en slik databehandleravtale, uten at TG har fremlagt en slik avtale. Som databehandler (for TG), får Servicebyrået tilgang til en rekke personopplysninger (trafikkdata), jf. oppramsingen i pkt ovenfor. Når ansatte i Servicebyrået benytter TG som teleoperatør, vil Servicebyrået få tilgang til personopplysninger som en arbeidsgiver i utgangspunktet ikke har et gyldig behandlingsgrunnlag til å behandle, jf. personopplysningsloven 11 og 8. Servicebyrået har i sine arbeidsavtaler en klausul som (nevnt i pkt 4.3) sier at: «I egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som eventuelt disponeres av Arbeidstakeren. Arbeidstakeren er oppmerksom på at slik informasjon er åpen og tilgjengelig både for både ledelse og teknikere i bedriften.» Datatilsynet vil til dette presisere at Servicebyrået ikke er å anse som tilbyder av telefontjenester eller teleoperatør, men en databehandler som kun kan behandle personopplysningene i tråd med en skriftlig inngått databehandleravtale. Datatilsynet setter videre spørsmålstegn ved hvorfor ansattes trafikkdata skal være «åpen og tilgjenglig» for både ledelse og teknikere i bedriften. Tilsynet vil i den anledning fremheve at trafikkdata regnes som taushetspliktige opplysninger, jf. ekomloven 2-9 første og annet ledd. Og i tråd med personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-14, skal virksomheten sikre at personopplysningene kun er tilgjenglig for autoriserte brukere, og kun brukes i henhold til de formål de er innhentet til. Det følger av personopplysningsloven 11 bokstav b) og bokstav d), jf. personopplysningsforskriften 2-12 at den enkelte kun skal ha tilgang til personopplysninger som er saklige og relevante for formålet. Det vil i denne sammenheng si at TG samt Servicebyrået må sørge for at det ikke gis tilgang til personopplysninger ut over det den enkelte ansatte har et tjenstlig behov for. 13 av 16

14 Datatilsynet anser det som et brudd på personopplysningsforskriften 2-11, 2-12 og 2-14, når trafikkdata skal være åpen og tilgjenglig for ledelse og teknikere i bedriften, når en slik tilgang ikke er nødvendig ut i fra en tjenstlig behovs vurdering. 5.4 Internkontroll Rettslig grunnlag Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven og regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Faktiske forhold Virksomheten har ikke kunnet legge frem noen dokumentasjon av systematiske tiltak overfor Datatilsynet Konklusjon På bakgrunn av dette legger Datatilsynet til grunn at virksomheten mangler den overordnede systematikk som personopplysningsloven 14 krever. Dette anses som brudd på personopplysningsloven Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte og være tilgjengelig for medarbeiderne hos den behandlingsansvarlige. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. Kravene i personopplysningsloven 13 og 14 følges opp av mer konkrete bestemmelser i personopplysningsforskriften kapittel 2 og 3. I det følgende vil Datatilsynet påpeke konkrete mangler i forhold til disse bestemmelsene som ble avdekket under kontrollen Risikovurdering Rettslig grunnlag Det følger av personopplysningsforskriftens 2-4 at det skal føres en oversikt over hvilke personopplysninger som behandles. Opplysningene skal kategoriseres i forholdt til behov for beskyttelse med hensyn til konfidensialitet, integritet og tilgjengelighet. På bakgrunn av dette skal det gjennomføres en risikovurdering for å kartlegge sannsynlighet for og konsekvenser 14 av 16

15 av sikkerhetsbrudd. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Resultatet av risikovurderingen skal dokumenteres Faktiske forhold Virksomheten kunne ikke legge frem noen oversikt over hvilke behandlinger av personopplysninger som foretas. Det kunne heller ikke dokumenteres at det er foretatt risikovurdering i forhold til de angitte behandlinger Konklusjon Datatilsynets kontroll gav derfor grunnlag for å minne om nevnte bestemmelse i 2-4 og understreker viktigheten av at de mangler som er påvist i rapporten blir fulgt opp av behandlingsansvarlig. Kravene i 2-4 kan dermed ikke anses som oppfylt. Dette anses som brudd på personopplysningsforskriften Tilgangsstyring Rettslig grunnlag Det følger av personopplysningsloven 13 og personopplysningsforskriften 2-13 og 2-14 at behandlingsansvarlig skal sikre at personopplysninger er utilgjengelig for uvedkommende. Problemstillingen blir så hvem i virksomheten som skal ha tilgang til virksomhetens lagrede personopplysninger Faktiske forhold I virksomheten var tilgangen til overvåkingssystemet og tilgang til opptakene tillagt styreleder. Ingen andre har tilgang til systemet eller opptakene. Kontrollen avdekket at serveren som lagret opptakene fra kameraovervåkingen også lagret personopplysninger fra andre konsernselskaper, deriblant opptak gjort fra taxisjåførenes pauserom (jf. pkt 5.1.2). Opptakene var ikke adskilt fra hverandre til tross for forskjellige behandlingsansvarlige. Virksomheten har ikke differensiert tilgangen til kameraopptakene ut i fra de forskjellige formålene behandlingene har. Videre vil det være ulike behandlingsansvarlige for de opptakene som foretas. Virksomheten kunne heller ikke legge frem dokumentasjon på at det var foretatt en vurdering av behovet for tilgang til opplysninger ut i fra de forskjellige formålene Konklusjon Konsernselskapene (TG og Tele Taxi Asker og Bærum) har lagret personopplysninger uten å ta hensyn til formålet med behandlingen eller hvem som er behandlingsansvarlig. Selskapene har ikke adskilt personopplysningene og videre ikke vurdert noen form for tilgangskontroll. 15 av 16

16 Trolig skyldes dette at RH er den eneste med tilgang til personopplysningene, samt at RH er styreleder og eller daglig leder for virksomhetene Sikring av opptak Rettslig grunnlag Personopplysningsloven 13 stadfester at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Videre sier personopplysningsforskriften 2-11 at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Datatilsynet har gjennom forvaltningspraksis slått fast at overvåkingsvideo regnes som konfidensiell og at kravene i forskriftens 2-11 kommer til anvendelse. Personopplysningsforskriften 2-14 stadfester at sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk Faktiske forhold Virksomheten hadde satt opp en offentlig tilgjengelig pålogging til kameraovervåkingsbildene. For å få tilgang må man ha kjennskap til IP-adresse, samt brukernavn og passord. RH redegjorde at det var kun han som har dette passordet Konklusjon Ved at tilgangen kun er beskyttet med brukernavn og passord på en nettside vil det være mulig for uautorisert tilgang til kameraovervåkingsutstyret. Datatilsynet ser det som påkrevet med en to-faktor autentisering for å minimere denne risikoen. Virksomheten har ikke sikret tilgangen til personopplysningene tilstrekkelig jf. personopplysningsloven 13 og personopplysningsforskriften av 16

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Teletopia Gruppen AS Strandveien 8 1366 LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01209-23/HTE 20. juni 2012 Kontroll hos Teletopia Gruppen AS 22112011 - varsel om vedtak varsel

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/01141 Dato for kontroll: 28.11.2012 Rapportdato: 22.01.2014 Endelig kontrollrapport Kontrollobjekt: Grottebadet AS Sted: Harstad Utarbeidet av: Ragnhild Castberg Stein Erik Vetland 1 Innledning

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00958 Dato for kontroll: 12.09.2011 Rapportdato: 21.11.2012 Endelig kontrollrapport Kontrollobjekt: Horten Næringspark AS Sted: Horten Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00717 Dato for kontroll: 07.09.2012 Rapportdato: 11.10.2013 Foreløpig kontrollrapport Kontrollobjekt: Sandnes Taxisentral BA Sted: Forus Næringspark Utarbeidet av: Stian D Kringlebotn 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00716 Dato for kontroll: 05.09.2012 Rapportdato: 11.10.2013 Endelig kontrollrapport Kontrollobjekt: Stavanger Taxi AS Sted: Forus Næringspark Utarbeidet av: Stian D Kringlebotn 1 Innledning

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

Kontrolltiltak og e-postinnsyn overfor ansatte. Advokat Georg A. Engebretsen og advokat Julie Sagmo

Kontrolltiltak og e-postinnsyn overfor ansatte. Advokat Georg A. Engebretsen og advokat Julie Sagmo Kontrolltiltak og e-postinnsyn overfor ansatte Advokat Georg A. Engebretsen og advokat Julie Sagmo 26. november 2015 2 Filmet ansatte med skjult kamera De nye eierne av Norsk Kylling har funnet flere kamera

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00708 Dato for kontroll: 11.07.2012 Rapportdato: 19.09.2013 Endelig kontrollrapport Kontrollobjekt: Bianco Footwear Sted: Oslo City, Oslo Utarbeidet av: Stian D Kringlebotn Bård S. Ødegaard

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Merknader til personopplysningsforskriften kapittel 9:

Merknader til personopplysningsforskriften kapittel 9: Merknader til personopplysningsforskriften kapittel 9: Til 9-1 Virkeområdet for bestemmelsene er innsyn i arbeidstakers e-postkasse mv. Mv viser til 9-1 2. ledd, der det er nærmere angitt hvilke elektroniske

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01092 Dato for kontroll: 20.10.2014 Rapportdato: 21.05.2015 Endelig kontrollrapport Kontrollobjekt: Energy Fitness Club Sted: Energy Fitness Club Utarbeidet av: Ylva Marrable 1 Innledning

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016)

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag... 3

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Navigea Securities AS Postboks 120 4001 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00863-6/HTE 12. juli 2013 Vedtak om pålegg endelig kontrollrapport for Navigea Security -

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Det vises til Datatilsynets varsel om vedtak og foreløpig kontrollrapport datert 13. juni 2013, samt Deres tilsvar sendt på e-post 16. august 2013.

Det vises til Datatilsynets varsel om vedtak og foreløpig kontrollrapport datert 13. juni 2013, samt Deres tilsvar sendt på e-post 16. august 2013. Yummy Drift AS c/o Robert Solgaard Pilstredet Park 13 B 0176 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00392-6/HTE 11. september 2013 Kontroll hos Yummy Heaven - avslutting av sak

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

3 Generelt om virksomheten og gjennomføring av kontrollen

3 Generelt om virksomheten og gjennomføring av kontrollen Saksnummer: 14/01190 Dato for kontroll: 16.10.2014 Rapportdato: 12.12.2014 Endelig kontrollrapport Kontrollobjekt: Mona Lisa Huset (St. Croix AS) Sted: Grensen 10, Oslo Utarbeidet av: Andreas Jensen Hofstad

Detaljer

Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og

Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og Sparebank 1 Markets AS Postboks 1398 Vika 0114 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00864-9/HTE Dato 8. juli 2013 Kontroll hos Sparebanken 1 Markets - lydopptak - vedtak Det vises

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon Personvern overvåking og kontrolltiltak i arbeidslivet Paratkonferansen, 16. november 2010 Bjørn Erik Thon Disposisjon - Kort om Datatilsynet og det lovverk vi forvalter - Kort om regler som regulerer

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

GPS-overvåkning og personvern hvordan skal arbeidsgiver forholde seg?

GPS-overvåkning og personvern hvordan skal arbeidsgiver forholde seg? GPS-overvåkning og personvern hvordan skal arbeidsgiver forholde seg? 25. Mars 2015, Maskinentreprenørenes Forbund Seniorrådgiver Hågen Thomas Ljøgodt Sentrale rettskilder: Lov om behandling av personopplysninger

Detaljer

Oversendelse til Personvernnemnda - Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi

Oversendelse til Personvernnemnda - Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi Personvernnemnda Postboks 64 3209 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00717-17/SDK 28. mai 2014 Oversendelse til Personvernnemnda - Klage på Datatilsynets vedtak om

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR Disse retningslinjer inneholder bl.a.: Regler for bruk av datautstyr tilhørende arbeidsgiver Sikkerhetspolicy Lagring og oppbevaring av dokumenter på kontorets

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Bruk av sporingsteknologi i virksomheters kjøretøy

Bruk av sporingsteknologi i virksomheters kjøretøy Bruk av sporingsteknologi i virksomheters kjøretøy (januar 2012) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag...

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01089 Dato for kontroll: 12.11.2014 Rapportdato: 05.06.2015 Endelig kontrollrapport Kontrollobjekt: Move treningssenter AS Sted: Arnemannsveien 5 3510 Hønefoss Utarbeidet av: Ylva Marrable

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo - Datatilsynet Saksnummer: 09/01148-3 Dato for kontroll: 13. oktober 2009 Rapportdato: 2. desember 2009 Foreløpig kontrollrapport Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo Utarbeidet

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte

Detaljer

Personopplysningsloven særlig om behandling av studentopplysninger. Mari Hersoug Nedberg Høgskulen i Sogn og Fjordane, 6.

Personopplysningsloven særlig om behandling av studentopplysninger. Mari Hersoug Nedberg Høgskulen i Sogn og Fjordane, 6. Personopplysningsloven særlig om behandling av studentopplysninger Mari Hersoug Nedberg Høgskulen i Sogn og Fjordane, 6. juni 2011 Disposisjon - Generelt om personopplysningsloven - Konkrete problemstillinger,

Detaljer

Kameraovervåking hva er lov? Publisert: 1.6.2012

Kameraovervåking hva er lov? Publisert: 1.6.2012 Kameraovervåking hva er lov? Publisert: 1.6.2012 Kameraovervåking av personer som kan gjenkjennes er et inngrep i personvernet. Overvåkingen er derfor lovregulert, og den ansvarlige har plikt til å sette

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Veileder utlevering av trafikkdata etter fullmakt

Veileder utlevering av trafikkdata etter fullmakt Veileder utlevering av trafikkdata etter fullmakt Innledning Nasjonal kommunikasjonsmyndighet (Nkom) ønsker en felles forståelse mellom tilbydere, politi/påtalemyndighet og Nkom om rekkevidden av samtykke/fullmakt

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer