Saken avsluttes - Endelig kontrollrapport for Sporveien Oslo AS

Størrelse: px
Begynne med side:

Download "Saken avsluttes - Endelig kontrollrapport for Sporveien Oslo AS"

Transkript

1 Sporveien Oslo AS Postboks 2857 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /AHO 22. november 2013 Saken avsluttes - Endelig kontrollrapport for Sporveien Oslo AS Vi viser til varsel om vedtak og foreløpig kontrollrapport av 12. juni 2013, og deres merknader i brev av 12. september s.å. Endelig kontrollrapport Som vedlegg til dette brev oversender vi endelig kontrollrapport. I deres tilsvar ble det understreket at samtykkeklausulen i ansettelseskontrakten hva gjelder rusmiddeltesting kun brukes overfor sikkerhetspersonell, og ikke samtlige ansatte. Dette er lagt til grunn i den endelige kontrollrapporten. Datatilsynet avslutter saken I deres brev av 12. september 2013 er det fremholdt at alle avvik som er tatt opp i den foreløpige kontrollrapporten og i varselet om vedtak, er lukket. Det er redegjort for gjennomførte tiltak og endringer, og dokumentasjon er oversendt. Datatilsynet finner at Sporveien Oslo AS har gjort nødvendige og tilfredsstillende tiltak, og saken avsluttes med dette. Med vennlig hilsen Hågen T. Ljøgodt seniorrådgiver Andreas Hobæk rådgiver Vedlegg: Endelig kontrollrapport Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 2

3 Saksnummer: 13/00226 Dato for kontroll: 13. mars 2013 Rapportdato: Endelig kontrollrapport Kontrollobjekt: Sporveien Oslo AS Sted: Oslo Utarbeidet av: Andreas Hobæk Hågen Thomas Ljøgodt 1 Innledning Den 13. mars 2013 gjennomførte Datatilsynet et stedlig tilsyn hos Kollektivtransportproduksjon Navnet har i etterkant blitt endret til Sporveien Oslo AS (heretter Sporveien). I rapporten blir kun Sporveien benyttet. Kontrollen skjedde med hjemmel i personopplysningsloven 44, jf. 42 tredje ledd nr. 3. Temaet for kontrollen var virksomhetens behandling av personopplysninger i forbindelse med rusmiddeltesting av ansatte. Kontrollen fant sted ved virksomhetens faste forretningsadresse. Kontrollens hovedformål var virksomhetens behandling av personopplysninger i forbindelse med rusmiddeltesting av selskapets ansatte. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Konserndirektør Ingeborg Holten (med fullmakt fra konsernsjefen) - Personalsjef Odd Sverre Norrøne - IT-sjef Christian Thindberg - Hovedtillitsvalgt Sveinar Bones - Advokat Mette Borchgrevink - HMS-sjef Jan Ole Kokkim 2.2 Fra Datatilsynet: - Hågen Thomas Ljøgodt, seniorrådgiver - Andreas Hobæk, rådgiver - Bård Soløy Ødegaard, seniorrådgiver 1 av 17

4 3 Generelt Sporveien er et produksjonskonsern som eies 100 prosent av Oslo kommune. Sporveien består av datterselskapene Oslo T-banedrift, Oslotrikken AS og Unibuss AS (med datterselskapene Unibuss, Unibuss Ekspress og Unibuss Tur) Videre består produksjonskonsernet av Produksjonsenheten med ansvar for verksted og vedlikeholdsprosjekter. Eiendom og infrastruktur leveres av forvaltnings- og utviklingstjenester til operatørenhetene. 4 Kort om behandling av personopplysninger Sporveien behandler personopplysninger for ulike formål. Rapporten tar i hovedsak for seg behandling av personopplysninger i forbindelse med gjennomføring av rusmiddeltest. Det vil si når formålet er å teste mot rusmidler for å sikre oppfyllelse av sikkerhetskrav jf. personopplysningsloven 11 bokstav b jf. arbeidsmiljøloven 9-4. I punkt 6.2 vil imidlertid behandling av rusopplysninger utenfor dette formålet bli omtalt. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Plassering av behandlingsansvaret Regelverkets krav Behandlingsansvarlig defineres i personopplysningsloven 2 nr 4. Der står det at behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som kan brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet å ha behandlingsansvaret klart plassert. Behandlingsansvarlig vil ofte være en juridisk person. Ansvaret for å gjennomføre den behandlingsansvarliges oppgaver vil ligge hos virksomheten som sådan, representert ved virksomhetens ledelse. Ledelsen må sørge for at loven etterleves, og som ledd i dette må ledelsen foreta en intern arbeidsdeling slik at det er klart i hvilken stilling det tilliger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reell daglig innflytelse på behandlingene som foretas. 1 Plassering av behandlingsansvaret avhenger av hvordan virksomheten er organisert og strukturert og hvem som avgjør hva som er formålet med behandlingen av personopplysninger. Selv om ansvaret skal plasseres hos virksomhetens ledelse, er ikke personopplysningsloven til hinder for at den daglige utøvelsen av ansvaret delegeres. Det 1 Se Ot.prp. nr 92 ( ) side 102 til av 17

5 daglige behandlingsansvaret for kundebehandlingen kan for eksempel plasseres hos markedsavdelingen i en bank, mens det daglige ansvaret for kameraovervåkningen kan tillegges sikkerhetsansvarlig. Delegasjon av det daglige ansvaret har imidlertid ingen betydning for det formelle behandlingsansvaret Faktisk forhold Datatilsynet ba i varselet om kontroll å få utlevert den delen av internkontrollen som var relevant for rusmiddeltesting. I brev av 5. mars 2013 oversendte Sporveien dokumentasjon. Dokumentasjonen som ble oversendt inneholdt ingen klar beskrivelse av plassering av behandlingsansvaret, og hvordan det daglige ansvaret eventuelt var delegert. Det ble i forkant av kontrollen i e-post av 6. mars 2013 også stilt spørsmål ved plasseringen av behandlingsansvaret i konsernet. Dette ble ikke besvart i forkant av kontrollen. Under kontrollen ble det imidlertid avklart at Sporveien er behandlingsansvarlig for opplysninger fra rusmiddeltester om egne ansatte. Videre at de enkelte datterselskapene har behandlingsansvar for tilsvarende opplysninger om sine ansatte. I brev av 5. april 2013 har Sporveien lagt ved dokumentasjon. Den omfatter blant annet lederhåndboken kapittel 21 om personalarkiv. Lederhåndboken gjelder både for Sporveien og datterselskaper. Der går det frem at HR- staben har ansvaret for at personopplysninger kun utleveres i henhold til gjeldende lover og retningslinjer. Som hovedregel er det også kun ansatte i HR- staben og den enkelte overordnede i linjen som kan gis innsyn i personalsaker. For innsyn i personalmapper skal arkivansvarlig eller personalstab i organisasjonen kontaktes for å avtale tid. Det er i lederhåndboken ikke klart beskrevet hvilke stillinger det daglige ansvaret er delegert til. Det er også lagt ved et styringsdokument av 5. april Der går det frem at konsernsjefen er øverste IKT-ansvarlig og ivaretar behandlingsansvaret. Videre at det operative ansvaret ivaretas av den enkelte virksomhet i konsernet og av Konsern- IT Datatilsynets vurdering Det er naturlig at plassering av behandlingsansvaret inngår i den styrende delen av internkontrollen. For et konsern med flere datterselskap er det ved etablering av et internkontrollsystem viktig å få plassert behandlingsansvaret. En annen viktig avklaring er den øverste interne delegeringen av ansvar. Datatilsynet legger til grunn at både Sporveien og datterselskapene har selvstendig behandlingsansvar. Dette samsvarer ikke med plasseringen av behandlingsansvaret i styringsdokumentet, jf. punktet ovenfor. Det er også uklart for Datatilsynet i hvilken grad HRstaben har fått delegert det daglige ansvaret for utøvelse behandlingsansvar for både Sporveien og datterselskaper. Det foreligger ingen internkontrolldokumentasjon som tilsier at konsernet er organisert og strukturert på en slik måte at også HR- staben kan utøve det daglige ansvaret for behandling av personopplysninger hos datterselskaper. 3 av 17

6 Det er ikke klart for Datatilsynet i hvilke stilling[er] i Sporveien det daglige ansvaret for overholdelse av personopplysningsloven med forskrift eventuelt er delegert til Konklusjon Både Sporveien og datterselskaper har et selvstendig behandlingsansvar etter personopplysningsloven 14 jf. 2 nr 4. Det anses som et avvik at ansvaret for å gjennomføre den behandlingsansvarliges oppgaver ikke er klart plassert mellom Sporveien og datterselskaper, jf. personopplysningsloven 14 jf. 2 nr 4. Det anses som et avvik at ansvaret for å gjennomføre den behandlingsansvarliges oppgaver i Sporveien ikke er klart plassert, jf. personopplysningsloven 14 jf. 2 nr 4. Det vises til det ovennevnte om at ledelsen i virksomheten som har behandlingsansvaret må sørge for at loven etterleves, og som ledd i dette må ledelsen foreta en intern arbeidsdeling slik at det er klart i hvilken stilling(er) det tilligger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til (en) lederstilling(er) slik at stillingsinnehaveren(e) har reell daglig innflytelse på behandlingene som foretas. 5.2 Internkontroll Som det følger nedenfor er internkontroll relevant for alle lovens krav. Her diskuteres dokumentasjonsplikten generelt. Internkontrollplikten er også behandlet i rapportens øvrige kapitler Regelverkets krav Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av hhv. personopplysningsloven og helseregisterloven. Bestemmelsene er utdypet i personopplysningsforskriftens kapittel 3. Personopplysningsloven 14 innebærer en plikt til å gå igjennom hele loven med forskrift, og på det grunnlaget vurdere om det er behov for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det er med andre ord ingen plikt til å iverksette tiltak for alle lovens krav, jf ordlyden nødvendig i bestemmelses første ledd. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. 4 av 17

7 Personopplysningsforskriften 3-1 stiller utfyllende krav. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse. Det er krav om at den behandlingsansvarlige kjenner reglene for behandling av personopplysninger og at det utarbeides nødvendige rutiner. For å tilfredsstille kravet til internkontroll bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordnede rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For mer informasjon om hvordan et internkontrollsystem kan bygges opp vises det til Datatilsynets hjemmeside, 2 Virksomhetens internkontroll skal også omfatte nødvendig sikkerhetsdokumentasjon etter personopplysningsloven 13 og personopplysningsforskriften kapittel 2. Datatilsynet har ikke gått inn på dette i rapporten Internkontroll for Sporveien Faktiske forhold Datatilsynet ba i forkant av kontrollen om å få tilsendt den delen av internkontrollen som gjelder rusmiddeltesting. I brev av 5. mars 2013 mottak Datatilsynet dokumentasjon. Det vises for eksempel til dokument av 10. desember 2008 om felles policy om rusmiddeltesting i konsernet. Der fremgår det at policyen er utarbeidet i samarbeid med representanter for datterselskaper. Den er også drøftet med ansatte i organisasjoner. I dokument av 15. juli 2008 er gjennomføring av rusmiddeltesting ved stikkprøver beskrevet. Under og etter kontrollen har Sporveien beskrevet de praktiske rutinene i forbindelse med gjennomføring av rusmiddeltester. I brev av 5. april 2013 gis det en beskrivelse av behandling av personopplysninger fra en rusmiddeltest. Det vises til blant annet følgende beskrivelse, (som i stor grad er gjengitt direkte fra brevet): - Negativ test: Her skjer det ingen registrering av personopplysninger, jf definisjonen av personopplysninger i personopplysningsloven. - Positiv test: Under 0,2: Testpersonen skyller munn og ny test tas, dersom det fortsatt viser under 0,2: Den som foretar blåsetesten ringer ansattes leder som tar 2 Det vises for eksempel til dokumentet: En veiledning om internkontroll og informasjonssikkerhet 5 av 17

8 en samtale så fort som mulig med den ansatte. Den ansatte tas ut av trafikk/tjeneste den dagen. Mulig AKAN-avtale dersom det er grunnlag for dette Her skjer det ingen manuell eller elektronisk registrering av personopplysninger, og det faller derfor utenfor personopplysningslovens virkeområde. - Dersom testen viser over 0,2: Den ansatte blir tatt ut av tjenesten. Den som foretar blåsetesten ringer til vedkommende leder, og som tar samtale fort som mulig, tas ut av trafikk/ tjeneste den dagen. Testresultater registreres ikke, men opplysningen går muntlig til nærmeste leder. Her skjer det ingen manuell eller elektronisk registrering av personopplysninger, og behandlingen av personopplysninger hos KTP faller derfor utenfor personopplysningslovens virkeområde. Leder ringer HMS-avdelingen og bestiller time for å vurdere AKAN-avtale, og legen får muntlig oppgitt testresultat. Behandlingen av personopplysninger hos bedriftslegen/hms reguleres av helseregisterloven. KTP er behandlingsansvarlig. Hvis mistanke om beruselse uten at test er foretatt: Trafikkleder tar blåsetest på mistanke. Rutine som over, avhengig av om resultatet er over eller under 0,2. Personopplysninger om rustesting vil reguleres av personopplysningsloven, dersom de registreres i personalmappene som er på papir. I brev av 5. april 2013 er også personalhåndboken lagt ved. Personalhåndboken inneholder blant annet instrukser om bruk av informasjons- og kommunikasjonsteknologi. Det er også utarbeidet en rutine om innsyn i e-postkasse og reserverte områder i systemet. Under kontrollen ble det ført samtaler med ansatte i konsernet. Samtalene viste at internkontrolldokumentasjon generelt, herunder for rusmiddeltesting, i liten grad var kjent for ansatte. Et sentralt formål med et internkontrollsystem er at det skal være tilgjengelig for ansatte. Det var også i liten grad dokumenterte rutiner som var tilgjengelige for medarbeidere. Datatilsynet understreker at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for ansatte, jf. personopplysningsloven 14 annet ledd Datatilsynets vurdering: Datatilsynet har i punkt 5.1 flg. vurdert at det foreligger avvik når det kommer til plassering av behandlingsansvaret. Plassering av behandlingsansvaret og ansvaret for å gjennomføre den behandlingsansvarliges plikter er sentralt ved etablering av et internkontrollsystem. Det forelå mangelfull dokumentasjon på kravene som følger av personopplysningsloven 14 og personopplysningsforskriften kapittel 3 når det gjelder behandling av personopplysninger fra rusmiddeltester. Dette gjelder spesielt den gjennomførende og kontrollerende delen av internkontrollen. 6 av 17

9 Virksomheten dokumenterte imidlertid en gjennomtenkt og drøftet rusmiddelpolicy. Datatilsynet er også positive til rutinene for behandling av opplysninger fra rusmiddeltester som er beskrevet under kontrollen, og i brev av 5. april Rutinene har imidlertid ikke inngått i internkontrolldokumentasjonen. De er heller ikke beskrevet i dokument av 15. juli Datatilsynet anbefaler at rutinebeskrivelsene tas inn eller refereres til i internkontrolldokumentasjonen. Rutinene vil spesielt være relevante for den gjennomførende og kontrollerende delen av et internkontrollsystem Konklusjon: Mangelfull dokumentasjon på internkontroll regnes som avvik, jf. personopplysningsloven 14 jf. personopplysningsforskriften kapittel 3. Datatilsynet ser behov for at virksomheten på generelt grunnlag gjennomfører en revisjon av internkontrollen slik at denne er i samsvar med kravene i personopplysningsloven Særlig om oversikt over behandlinger og behandlingsgrunnlag Regelverkets krav For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt og danner grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være grunnlag for risikovurderinger. Se også personopplysningsforskriften 2-3, 2-4 og 3-1. Oversikten må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. 3 Oversikten bør foreligge på overordnet nivå i de styrende dokumentene. Disse skal være tilgjengelig for de ansatte Faktiske forhold Datatilsynet fikk ikke i forkant av kontrollen dokumentasjon på behandlingsgrunnlag for gjennomføring av rusmiddeltester. Under kontrollen fikk Datatilsynet et dokument som beskrev behandlingsgrunnlag for gjennomføring av rusmiddeltesting. 3 Kravene til oversikt over behandlinger og behandlingsgrunnlag er beskrevet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet. 7 av 17

10 Datatilsynet mottok i etterkant av kontrollen et styringsdokument, datert 5. april 2013 versjon Dokumentet har en generell oversikt over behandlinger og behandlingsgrunnlag, herunder opplysninger fra rusmiddeltester. Oversikten gjelder for både KTP og datterselskaper Datatilsynets vurdering Ut fra sakens opplysninger legger Datatilsynet til grunn at virksomheten ikke hadde utarbeidet dokumentasjonen på kontrolltidspunktet, men i etterkant av kontrollen. Datatilsynet foretar ikke noen vurdering av dokumentasjonen, utover det som fremkommer i punkt 6.2. flg. At det på overordnet nivå er oversikt over samtlige behandlinger av personopplysninger er grunnleggende for å legge til rette for at regelverket blir fulgt. Dette er grunnlaget for senere å utarbeide de nødvendige rutinene som det er behov for Konklusjon Virksomheten manglet en samlet oversikt over alle behandlinger av personopplysninger med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven 14 jf. personopplysningsforskriften 3-1. Virksomheten utarbeidet imidlertid en oversikt over behandlinger i etterkant av kontrollen. 5.3 Krav til gyldig behandlingsgrunnlag Etter 11 bokstav a kan personopplysninger bare behandles når behandlingen har grunnlag i et av vilkårene i 8 og i et av vilkårene i 9. Personopplysningsloven 8 og 9 gir adgang til behandling av personopplysninger dersom det foreligger samtykke, lovhjemmel eller dersom konkrete, nødvendige kriterier er oppfylt. I punktene nedenfor vil grunnlag for å behandle personopplysninger etter personopplysningsloven fra en rusmiddeltest bli vurdert etter grunnlagene hjemmel i lov (etter arbeidsmiljøloven 9-4) og samtykke Arbeidsmiljøloven 9-4 som behandlingsgrunnlag Generelt om bestemmelsen Arbeidsmiljøloven kapittel 9 suppleres av personopplysningsloven jf arbeidsmiljøloven 9-1 nummer 2. Der fremgår det at personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov. I lovforarbeidene er følgende uttalt: 4 «Ved eventuell behandling av personopplysninger som fremkommer ved et kontrolltiltak, vil personopplysningslovens regler om hjemmel til behandling gjelde, men unntak av 9-4 som vil være lex specialis. Øvrige regler i 4 Se Ot.prp. nr 49 ( ) side av 17

11 personopplysningsloven vil i alle tilfeller gjelde fullt ut ved behandling av slike personopplysninger.» Arbeidsmiljøloven 9-4 gir hjemmel for gjennomføring av medisinske undersøkelser av arbeidssøkere og arbeidstakere. En rusmiddeltest faller inn under definisjonen av medisinske undersøkelser. 5 Det følger av bestemmelsen at arbeidsgiver bare kan kreve at medisinske undersøkelser foretas i følgende tilfeller: a) det følger av lov eller forskrift b) ved stillinger som innebærer særlig risiko c) når arbeidsgiver finner det nødvendig for å verne liv eller helse Oppregningen er uttømmende og det kan ikke gis samtykke utover de tilfeller som er positivt hjemlet. Med «stillinger som innebærer særlig risiko» menes stillinger der arbeidstakeren ofte har arbeidsoppgaver hvor konsekvensen av feil i utførelsen er særlig store, enten for arbeidstakeren selv, for tredjepersoner eller har store samfunnsmessige konsekvenser, og hvor det må stilles særlige krav til aktsomhet og oppmerksomhet. Begrepet «liv eller helse» i bokstav c gjelder både i relasjon til arbeidstakeren selv, andre arbeidstakere og tredjeperson. Nødvendighetskriteriet skal tolkes strengt. Faren må være alvorlig og fremstå som konkret, nærliggende og sannsynlig. Datatilsynet viser også til brev av 6. februar 2013 hvor Arbeidstilsynet beskriver adgangen til å gjennomføre rusmiddeltesting. Det vises til følgende uttalelse: «Rusmiddeltesting av arbeidstakere gjennom stikkprøvekontroll med alkotester, må anses å innebære store inngrep i enkeltindividets rettsvern. Det såkalte legalitetsprinsippet tilsier at det normalt må kreves hjemmel i lov for å kunne iverksette et slikt tiltak. I flere virksomheter stilles det imidlertid høye krav til sikkerhet, det være seg sikkerhet for de som arbeider der og for de som er i kontakt med virksomheten, for eksempel i kollektivtransportbransjen. I disse virksomhetene tilsier hensynet til sikkerhet både for arbeidstakerne selv, passasjerer og medtrafikanter at arbeidstakere ikke skal være påvirket av rusmidler når de er på jobb. I transport- og personbefordringsbransjen er disse også forpliktet til dette etter lov om pliktmessig avhold for personer i visse stillinger 1 d.» (Vår utheving) Faktiske forhold I brev av 5. mars 2013 er det opplyst at det i 2012 ble gjennomført totalt 259 rustester i konsernet. Formålet med gjennomføring av rusmiddeltesting som stikkprøver er å kontrollere at kravet til pliktmessig avhold blir respektert av de ansatte. Det er videre opplyst at det kun er sikkerhetspersonell som rustestes, ikke ansatte i administrative stillinger eller andre stillinger. Det følger også av brev av 10. desember 2008 om felles policy for rusmiddeltesting i konsernet at stikkprøvekontroller bør gjennomføres som et minimum 2 ganger per år i hvert selskap/resultatenhet. 5 Se Ot.prp. nr 49 ( ) side av 17

12 I brev av 5. april 2013 beskriver virksomheten at sikkerhetspersonell er omfattet av jernbaneloven 3 b om pliktmessig avhold. Videre at sikkerhetspersonell omfatter personell som nevnt fråhaldspliktforskriften fastsatt med hjemmel i jernbaneloven Datatilsynets vurdering Datatilsynet deler Arbeidstilsynets vurdering i brev av 6. februar 2013 om adgang til stikkprøvekontroll. Datatilsynet legger til grunn at Sporveien har adgang til å gjennomføre stikkprøvekontroller med hjemmel i arbeidsmiljøloven Konklusjon Sporveien har adgang til å gjennomføre stikkprøvekontroll med alkotester etter arbeidsmiljøloven kapittel 9, herunder 9-4. I den grad rusmiddelkontroll, herunder stikkprøvekontroll, skjer innenfor rammene av arbeidsmiljøloven 9-4, vil behandlingsgrunnlaget for behandling av analyseresultatet være hjemmel i lov etter personopplysningsloven 11 bokstav a jf 8 og Samtykke som behandlingsgrunnlag Regelverkets krav Der hvor samtykke fra den registrerte er behandlingsgrunnlaget etter personopplysningsloven 8 første ledd og personopplysningsloven 9 a), må samtykket tilfredsstille kravene i personopplysningsloven 2 nr 7. Etter personopplysningsloven 2 nr 7 er et samtykke definert som «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av personopplysninger om seg selv.» Det må klart og utvetydig fremgå at det samtykkes, hvilke behandlinger samtykket omfatter og hvilke behandlingsansvarlige det er rettet til, jf. kravet til at samtykket skal være «uttrykkelig». I kravet til at samtykket skal være «frivillig» ligger det at det ikke må være avgitt under noen form for tvang fra den behandlingsansvarlige eller andre. Kravet til at samtykke skal være «informert» medfører at den registrerte må gis tilstrekkelig informasjon slik at vedkommende vet hva det samtykkes i. 6 Hva det skal informeres om må også ses i sammenheng med lovens 19 om informasjonsplikt. Informasjonsplikt blir beskrevet nedenfor. Normalt vil samtykke til rustester ikke kunne utgjøre et gyldig behandlingsgrunnlag. Dette fordi et slikt samtykke ikke vil være et frivillig samtykke etter personopplysningsloven 2 nr 7. 6 Se Ot.prp. nr 92 ( ) side 103. I NOU 1997: 19 kapittel 21 står følgende om kravet til at samtykket må være informert: I dette ligger at den registrerte må forstå hva erklæringen gjelder, og hvilke konsekvenser denne får eller kan få. I EUs personverndirektiv (95/46/EF) artikkel 2 bokstav h er samtykke definert som: enhver frivillig, spesifikk og informert viljesytring om at den registrerte gir sitt samtykke til at personopplysninger om vedkommende blir behandlet. 10 av 17

13 I forarbeidene til arbeidsmiljøloven står følgende om samtykke som grunnlag for gjennomføring av medisinske undersøkelser: 7 «Lovforslaget innebærer en uttømmende regulering av arbeidsgivers adgang til å gjennomføre medisinske undersøkelser. Samtykke vil således ikke være et selvstendig hjemmelsgrunnlag for gjennomføring av helsekontroll eller testing av arbeidstakere eller arbeidssøkere. For ordens skyld vil departementet understreke at selv om arbeidsgiver skulle ha hjemmel for å pålegge arbeidstaker å gjennomgå en helseundersøkelse, innebærer dette ikke at arbeidsgiver på noen måte kan tvangsgjennomføre undersøkelsen. Eventuell gjennomføring av en helseundersøkelse med tvang vil kreve klar og særskilt hjemmel.» I brev av 6. februar 2013 skriver Arbeidstilsynet følgende om samtykke: «En del arbeidstakere blir bedt om å samtykke til promillekontroller eller rusmiddeltester som rutinetiltak. Dette blir gjort enten ved underskrift av arbeidsavtaler eller i løpet av arbeidsforholdet. Arbeidsgiver kan imidlertid ikke kreve ruskontroll enn andre tilfeller enn det som følger av 9-4. Det er heller ikke lov til å be om den ansattes samtykke til andre kontroller.» Faktiske forhold I brev av 5. mars 2013 la Sporveien ved ansettelseskontrakt og tillegg til ansettelseskontrakt hvor det samtykkes til rusmiddeltesting. Det er opplyst at slik samtykkeklausul i kontrakten bare brukes i ansettelseskontrakter for sikkerhetspersonell, og tilsynet legger det til grunn. Det vises til tillegg til kontrakt for Oslotrikken AS. Der står følgende: «Undertegnede gir med dette samtykke til at Oslotrikken AS kan foreta rusmiddeltesting av meg på et hvilket som helst tidspunkt hvor undertegnede er i eller skal tiltre tjeneste for Oslotrikken AS. Testingen foretas ved bruk av utåndningsprøve (alkometer). Videre oppfølging av positive tester vil bli håndtert som personal-, AKAN-, eller politisak. Dette gjelder også ved mistanke om misbruk av narkotika, medikamenter eller andre rusmidler.» I brev av 5. april 2013 har Sporveien lagt ved egen ansettelseskontrakt. Der står blant annet følgende: «Jeg gir med dette samtykke til at Kollektivtransportproduksjon AS kan foreta rusmiddelrelatert testing av meg på et hvilket som helst tidspunkt hvor undertegnede er i eller skal tiltre tjeneste for Kollektivtransportproduksjon AS. Testing foretas ved bruk av utåndingsprøve (alkometer). Videre oppfølging av positive tester vil bli håndtert som personal-, AKAN-, eller politisak. Dette gjelder også ved mistanke om misbruk av narkotika, medikamenter eller andre rusmidler.» 7 Ot.prp. nr 49 ( ) side 149 til av 17

14 I brev av 5. april 2013 er det lagt ved et notat om rusmiddeltesting av vognførere. Notatet er utarbeidet av advokatfirmaet BUGGE, ARENTZ-HANSEN & RASMUSSEN. Bakgrunnen for notatet er at Sporveien ba om en gjennomgang av styresak vedrørende felles policy for rusmiddeltesting i konsernet. Notatet beskriver adgangen til å gjøre stikkprøvebaserte rusmiddelkontroller minimum to ganger i året for ansatte med sikkerhetstjenesten til konsernrutine. Notatet beskriver kravet om behandlingsgrunnlag etter personopplysningsloven 8 og 9. I relasjon til 9 er det opplyst at arbeidsavtalebasert samtykke fra arbeidstaker vil være et praktisk viktig rettsgrunnlag Datatilsynets vurdering Datatilsynet påpeker at arbeidsmiljøloven 9-4 ikke åpner for at helseundersøkelser kan gjennomføres med samtykke fra arbeidstakeren som det rettslige grunnlaget. Samtykke kan heller ikke utgjøre grunnlaget etter personopplysningsloven 11 bokstav a for å behandle personopplysninger fra rusmiddeltester som omfattes av arbeidsmiljøloven 9-4. Virksomheten har som nevnt erklært at det kun er sikkerhetspersonell som rustestes, ikke ansatte i administrative stillinger eller andre stillinger. Datatilsynet har ikke foretatt noen verifikasjon av dette, og legger virksomhetens erklæring til grunn. Datatilsynet har på dette grunnlaget ikke avdekket avvik i form av at samtykke i praksis har vært behandlingsgrunnlaget for å gjennomføre rusmiddeltesting. Det vil altså si i tilfeller hvor kravene i arbeidsmiljøloven 9-4 ikke har vært oppfylt. Datatilsynet anser imidlertid at bruk av samtykke i arbeidskontrakter er egnet til å skape uklarhet hos ansatte om adgangen til å gjennomføre stikkprøvebaserte rustester. Det bemerkes at informasjon om rusmiddeltesting naturligvis kan inngå i arbeidsavtaler m.v. som en del av informasjonen som gis de ansatte Konklusjon Sporveien har ikke adgang til å behandle personopplysninger fra rusmiddeltester som er basert på samtykke fra de ansatte jf. personopplysningsloven 11 bokstav a jf. 8 og 9 jf. arbeidsmiljøloven Informasjonsplikt når det samles inn opplysninger fra den registrerte selv Regelverkets krav Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, 12 av 17

15 c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Datatilsynet legger til grunn at informasjonsplikten normalt er en plikt til å gi informasjon individuelt til den registrerte. Bestemmelsen nevner i bokstav e informasjon om retting og sletting som andre forhold den behandlingsansvarlige kan være pliktig å opplyse om. Det er i utgangspunktet behandlingsansvarlig som må vurdere om det er behov for å gi tilleggsinformasjon som nevnt i bokstav e. Det følger av bestemmelsens annet ledd at varsling ikke er påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd. Det er altså kun når det er på det rene at den registrerte allerede kjenner informasjonen at unntaket kommer til anvendelse. Dette er et strengt krav som innebærer at behandlingsansvarlige må være helt sikker på at den registrerte allerede er kjent med den informasjon som skal gis. Den registrerte må dessuten kjenne til all informasjon som er beskrevet i bokstav a til e. Unntak fra informasjonsplikten følger også av personopplysningsloven Faktiske forhold Virksomheten hadde ikke dokumenterte rutiner på ivaretakelse av kravet til informasjonsplikt etter personopplysningsloven 14 jf. 19. Virksomheten kunne heller ikke sannsynliggjøre at informasjonsplikten ble ivaretatt i praksis Datatilsynets vurdering Datatilsynet anser ikke kravene til informasjonsplikt i personopplysningsloven 19 for å være oppfylt. Datatilsynet trekker spesielt frem at den registrerte må gis informasjon om det er frivillig å gi fra seg opplysningene og annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven, jf. lovens 19 bokstav d og e. Ivaretakelse av informasjonsplikten er spesielt viktig når ansettelseskontrakter er egnet til å skape uklarhet om behandlingsgrunnlaget for gjennomføring av rusmiddeltester Konklusjon Virksomhetens manglende rutine for ivaretakelse av informasjonsplikten regnes som avvik jf, personopplysningslovens 14 jf. 19. Virksomhetens manglende oppfyllende av informasjonsplikten i praksis regnes som avvik, jf personopplysningsloven av 17

16 5.5 Sletteplikt for rusopplysninger Regelverkets krav I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige ut fra formålet med behandlingen. Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side Faktiske forhold Virksomheten hadde dokumenterte rutiner for sletting av personopplysninger. I brev av 5. april 2013 er det lagt ved en lederhåndbok. Der er det beskrevet at disiplinærmappen skal «makuleres etter 3 år, både i mappen og elektronisk, såfremt vedkommende har visst korrekt forhold i tjenesten. Kommer det en ny sak før de 3 årene har gått, skal mappen tas vare på.» Det forelå ikke kontrollerende internkontrolldokumentasjon på oppfølging av rutinen om sletting av opplysninger etter 3 år. Datatilsynet foretok heller ingen verifikasjon av dette Konklusjon Virksomheten hadde dokumenterte rutiner for sletting av opplysninger, herunder fra en rusmiddeltest, etter personopplysningsloven 14 jf. 11 bokstav e, jf. 28. Det anses som avvik at virksomheten manglet en kontrollerende del av internkontroll for å sikre etterlevelse av sletterutinen jf. 14 jf. 11 bokstav e, jf Melde- og konsesjonsplikt Regelverkets krav Det kreves i utgangspunktet konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Dette følger av personopplysningsloven 33 første ledd første punktum. Unntak fra dette kravet følger av personopplysningsloven 33 og personopplysningsforskriften. Meldeplikt følger av personopplysningsloven 31. Unntak fra meldeplikten følger også av personopplysningsforskriften. Personopplysningsforskriften 7-16 gjør unntak fra konsesjons- og meldeplikt. Det følger av bestemmelsens annet ledd at dersom det behandles sensitive personopplysninger, er 14 av 17

17 behandlingen unntatt fra konsesjonsplikten etter personopplysningsloven 33 første ledd, men underlagt meldeplikten etter 31 første ledd. Unntak fra konsesjonsplikten gjelder under forutsetning av at: a) den registrerte har samtykke i behandlingen eller behandlingen er fastsatt i lov, b) opplysningene er knyttet til arbeidsforholdet, og c) personopplysningene behandles som ledd i personaladministrasjon Faktiske forhold Virksomheten hadde ikke dokumentasjon på en vurdering av hvorvidt oppbevaring av rusopplysninger var konsesjons- eller meldepliktig. På kontrolltidspunktet var det ikke sendt inn konsesjonssøknad eller melding om behandlingen av personopplysninger. I dokument av 5. april 2013 er imidlertid behandlingen av opplysninger i personanalmappe vurdert til å være unntatt meldeplikt etter personopplysningsforskriften Datatilsynets vurdering Positivt analyseresultatet fra en rusmiddeltest vil normalt være å anse som sensitive personopplysninger etter personopplysningsloven 2 nr 8. Utgangspunktet er derfor at behandling av slike opplysninger er konsesjonspliktige. Rusmiddeltesting er som nevnt foran hjemlet i arbeidsmiljøloven 9-4. Datatilsynet legger til grunn at den beskrevne behandlingen av rusopplysninger i personalmappen er unntatt konsesjonsplikt etter personopplysningsforskriften 7-16 annet ledd. Behandlingen av opplysninger er imidlertid meldepliktig, jf annet ledd Konklusjon Det anses som avvik at virksomheten ikke hadde sendt melding om behandling jf. personopplysningsloven 14 jf. personopplysningsforskriften 3-1 tredje ledd bokstav f. 6 Andre forhold 6.1 Datterselskaper i konsernet Datatilsynet anser det som sannsynlig at enkelte avvik som er avdekket gjennom denne kontrollen også gjelder for datterselskaper i konsernet. 6.2 Forholdet til helselovgivningen 15 av 17

18 6.2.1 Kort om regelverket Det rettslige utgangspunkt er at personopplysningsloven gjelder for all behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten, jf. personopplysningsloven 5. Dersom helseregisterloven får anvendelse vil den særskilt regulere behandling av helseopplysninger. Helseregisterlovens saklige virkeområde er nedfelt i lovens 3. Loven er begrenset til å gjelde for behandling av helseopplysninger i helse- og omsorgstjenesten og helse- og omsorgsforvaltningen. Det følger også av 3 at loven er begrenset til å gjelde for behandling av helseopplysninger for å fremme formål som er beskrevet i 1. Eksempler på behandlinger som faller utenfor vil typisk være behandling av helseopplysninger etter arbeidsmiljøloven. En behandling som omfattes av helseregisterloven må forholde seg til de særskilte kravene som følger av denne loven. Det følger for eksempel av en tolkning av helseregisterloven 6 og 13 at det i utgangspunktet foreligger et forbud mot etablering av virksomhetsovergripende helseregistre. Se for eksempel også 13 og 14 om tilgangsstyring, rett til innsyn i logg og utlevering av helseopplysninger. Datatilsynet påpeker at internkontrollplikten etter helseregisterloven 17 på tilsvarende måte omfatter å dokumentere tiltak som sikrer etterlevelse av helseregisterlovens bestemmelser. Helseregisterloven 16 inneholder bestemmelse om informasjonssikkerhet, og det vises i den forbindelse til norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren. 8 Plassering av databehandlingsansvaret etter helseregisterloven må vurderes ut fra en tolkning av helseregisterloven 2 nr 8 jf. helseregisterloven 6. For behandlingsrettede helseregistre må dette også vurderes opp mot helsepersonelloven Dette fordi det følger av helsepersonelloven 16 at virksomhet som yter helsehjelp skal organiseres slik at helsepersonellet blir i stand til å overholde sine lovpålagte plikter, herunder plikten til å føre journal. Dette innebærer at virksomheter hvor en eller flere personer yter helsehjelp har en selvstendig plikt til å opprette et journalsystem i forbindelse med at helsehjelpen ytes, jf. også journalforskriften 4. I tillegg til kravene i helseregisterloven gjelder øvrige bestemmelser i helselovgivningen for behandling av helseopplysninger. Det vises for eksempel til pasient- og brukerrettighetsloven 5-3 om overføring av journal og 3-6 om rett til vern mot spredning av opplysninger. Dersom det behandles humant biologisk materiale humant biologisk materiale for andre formål enn det som følger av arbeidsmiljøloven 9-4, må dette også skje i samsvar med relevant regelverk. Behandlingsbiobanklovens virkeområde følger av 3. Det påpekes at behandlinger av materiale, innenfor denne lovens virkeområde, må oppfylle lovens særskilte krav. Det vises for eksempel til 14 og Helseinformasjonssikkerhetsforskriften har ikke trådt i kraft på nåværende tidspunkt. 9 Se for eksempel Datatilsynets vurdering av plassering av databehandlingsansvar i oversendelsesbrev med referanse 06/ til Personvernnemnda. Se også Personvernnemndas vedtak i saken med referanse PVN av 17

19 6.2.2 Faktiske forhold Temaet for kontrollen var gjennomføring av rusmiddeltesting for å kontrollere oppfyllelse av sikkerhetskrav jf. personopplysningsloven 11 bokstav b jf. arbeidsmiljøloven 9-4. Datatilsynet har ikke foretatt noen vurdering av hvorvidt behandling av rusopplysninger utenfor dette formålet skjer i henhold til krav i personopplysningsloven og/ eller helseregisterloven. Sporveien legger til grunn at helseregisterloven kommer til anvendelse. Det er vist til at behandling av opplysninger hos bedriftslegen/hms reguleres av helseregisterloven og at ProfDoc brukes. Det er opplyst at Sporveien er behandlingsansvarlig. Det følger av styringsdokumentet at behandlingsgrunnlaget for rusmiddeltesting i ProfDoc er vurdert til å være helseregisterloven 4-1. Det er også beskrevet at personopplysninger om rusbruk i forbindelse med AKAN-avtaler reguleres av helseregisterloven, og at virksomheten er behandlingsansvarlig. Behandlingsgrunnlaget er opplyst å være pasientrettighetsloven Datatilsynets vurdering Datatilsynet har i denne forbindelse ikke tatt stilling til om Sporveien er å anse som databehandlingsansvarlig etter helseregisterloven for enkelte behandlinger av opplysninger. Det er for eksempel uklart for Datatilsynet om Sporveien er å anse som databehandlingsansvarlig etter helseregisterloven for behandlinger av helseopplysninger hos bedriftshelsetjenesten/hms. Plassering av databehandlingsansvaret etter helseregisterloven for bedriftshelsetjenesten vil blant annet avhenge av om Sporveien har ansatt eget helsepersonell i sin virksomhet, eller om helsepersonellet er ansatt i en annen virksomhet. Dersom Sporveien er å anse som databehandlingsansvarlig for behandling av helseopplysninger i bedriftshelsetjenesten/hms, er det uklart for Datatilsynet om virksomheten har etablert internkontroll for disse behandlingene i samsvar med helseregisterloven 17, og om krav til nødvendig sikkerhetsdokumentasjon etter helseregisterloven 16 er oppfylt. Datatilsynet påpeker i denne forbindelse at helseregisterloven ikke har en 4-1, samt at pasient- og brukerrettighetsloven 4-1 ikke gir hjemmelsgrunnlag for behandling av helseopplysninger. Det bemerkes at det aktuelle behandlingsgrunnlaget for behandling av helseopplysninger i behandlingsrettede helseregistre (pasientjournal) er helsepersonelloven 39 og 40. Andre typer helseregistre må ha et annet rettslig grunnlag for behandling av helseopplysninger, jf. helseregisterloven av 17

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport Advokatfirma Ræder DA v/adv. Vebjørn Søndersrød Postboks 2994 Solli 0230 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01153-11/HTE 18. januar 2012 Kontroll hos SUSS - Senter for ungdomshelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kiwi Norge AS Postboks 551 3412 LIERSTRANDA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00853-13/BSO 21. juni 2013 Vedtak om pålegg Den 10. oktober 2012 gjennomførte Datatilsynet en kontroll

Detaljer

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger BEST Helse Nordstrand Postboks 104 Bekkelagshøgda 1109 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/01093-10/CGN 8. april 2014 BEST Helse Nordstrand pålegg om avslutning av urettmessig

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/3404 12/01097-2/DIJ 16. januar 2013 Dato Datatilsynets høringssvar- Regulering av epikriseutsending

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Vår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO

Vår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO Dato 16. mars 2012 Datatilsynets høringsuttalelse - Utkast

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger. Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Lagring av advarsler i personalmapper - Datatilsynets veiledning DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig

Detaljer

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO. MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt

Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt Barne- likestillings- og inkluderingsdepartementet Postboks 8036 Dep 0030 OSLO 12/6321 12/01211-2/AHO 10. januar 2013 Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

likestillings- og inkluderingsdepartementet

likestillings- og inkluderingsdepartementet Barne- likestillings- og inkluderingsdepartementet Postboks 8036 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/3288 12/00849-2/DIJ 15. november 2012 Dato Høring - Forslag til endringer

Detaljer

Rusmiddeltesting i arbeidslivet

Rusmiddeltesting i arbeidslivet Rusmiddeltesting i arbeidslivet Adgang og begrensninger til generell rusmiddeltesting Advokat Nina Melsom, NHO 20. september 2007 Bruk av rusmidler. Bruk av rusmidler i arbeidslivet kan representere risiko

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven Skattedirektoratet Postboks 9200 Grønland 0134 OSLO Deres ref Vår ref Dato 14/1258 SL JGA/MAV 04.02.2015 Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven Departementet

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no Samtykke som behandlingsgrunnlag i arbeidsforhold 3. September 2015 Kari Gimmingsrud www.haavind.no TEMA Samtykke som grunnlag for behandling av personopplysninger i arbeidsforhold Aktualitet Før - under

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Finansdepartementet Postboks 8008 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/01410 SL HS/KR 13/00439-2/JSK 10. juni 2013 Dato Høringsuttalelse - Om gjennomføring av avtale mellom

Detaljer

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/3724-14/01084-2/EOL 14. november 2014 Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Oversendelse endelse av klage til Personvernnemnda - klage på vedtak

Oversendelse endelse av klage til Personvernnemnda - klage på vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01153-15/HTE 3. juli 2012 Oversendelse endelse av klage til Personvernnemnda - klage på vedtak

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer