Følgende stod i oversendelsesbrevet til alle banker og finansinstitusjoner:
|
|
- Ole-Kristian Nilssen
- 8 år siden
- Visninger:
Transkript
1 Følgende stod i oversendelsesbrevet til alle banker og finansinstitusjoner: Omgjøring av konsesjon for banker og finansinstitusjoners behandling av Personopplysninger Datatilsynet viser til konsesjonen som banken har til å behandle personopplysninger i dag, og som er lik for alle banker. Datatilsynet har i lengre tid sett et behov for å oppdatere og endre bankkonsesjonen, blant annet basert på de funn som tilsynet avdekket under kontrollene rettet mot finanssektoren i2006. Tilsynet har over tid arbeidet med endringer av konsesjonen, og har i den forbindelse samarbeidet med Sparebankforeningen og Finansnæringens Fellesorganisasjon. Flere banker er ytterligere gitt anledning til å bidra med innspill. Endringene i konsesjonen er derfor kjent for en rekke banker. Det gjøres spesielt oppmerksom på at konsesjonen som gjelder i dag regulerer behandling av personopplysninger for et formål, mens denne nye konsesjonen vil gjelde for flere formål: 1. Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester 2. Markedsføring og finansiell rådgivning 3. Risikoklassifisering av kunder og kredittporteføljer 4. Forebygging og avdekking av straffbare handlinger I tillegg gir Datatilsynet ved denne konsesjonen en generell dispensasjon med tilhørende vilkår, jf. personopplysningsforskriftens 8-4 siste ledd, for: Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold knyttet til bankvirksomhet. Dispensasjonen er avgrenset til områder i umiddelbar nærhet til betalingsterminaler for bank i butikk og frittstående minibanker. Konsesjonsregulering av formål nummer 1 følger av personopplysningsforskriften 7-3. Dagens konsesjon inneholder tolkninger knyttet til formål nummer 2, til tross for at konsesjonen ikke regulerer selve formålet. Datatilsynet finner det hensiktsmessig å videreførepraksis knyttet til tolkninger av markedsføringsloven. Det er viktig av pedagogiske hensyn attolkningene synliggjøres i konsesjonsdokumentet. Konsesjonsreguleringen forankres i personopplysningsloven 33 andre ledd. Nevnte bestemmelse er videre hjemmel for konsesjonens formål nummer tre. Det er tilsynets oppfatning at formålet risikoklassifisering, hvor store mengder detaljerte personopplysninger samles over lang tid, utfordrer personvernet, til tross for at hensikten kun er å benytte opplysningene til statistikk. Hovedbegrunnelsen er likevel at det i dag er uklart hvilke opplysninger som faktisk kan benyttes til risikoklassifisering, og at det heller ikke foreligger en forskrift med hjemmel i finansvirksomhetsloven 2-9c som regulerer dette i dag. Formål nummer fire er konsesjonspliktig i følge personopplysningsloven 33 første ledd, jf. lovens 2 nr 8 bokstav b. Den nye konsesjonen er i hovedsak en videreføring av konsesjonen som gjelder i dag, samt kodifisering av praksis. Enkelte vilkår er imidlertid å anse som nye, og vil kanskje kunne oppfattes som et vedtak til skade for den enkelte bank. Datatilsynet finner uansett å kunne gjennomføre endringene med henvisning til forvaltningsloven 35 siste ledd.
2 Nevnte bestemmelse åpner for en omgjøringsadgang til skade for banken, dersom endringer i situasjonen og erfaringene tilsier det. Tilsynet er av den oppfatning at vilkår nummer 1 tredje ledd, 2 og 6 kanskje kan oppfattes som omgjøring til skade for banken. Datatilsynet vil for ordens skyld presisere at disse tre vilkårene er resultater av tolkninger av personopplysningsloven. De aktuelle bestemmelsene og tolkningene av disse fremgår av konsesjonen og merknadene til denne. Datatilsynet vil i det følgende kort redegjøre for den vurderingen som er foretatt etter forvaltningsloven 35 siste ledd. Vilkår nummer 1 tredje ledd Det fremgår av konsesjonens vilkår nummer 1 tredje ledd, andre punktum, at kunden kan kreve innsyn i antall elektroniske oppslag samt tidspunktet for oppslaget som ansatte i banken eller bankens oppdragstakere har foretatt i kontoer eller øvrige kundeengasjement. Innsynsretten gjelder for et tidsrom på minst tre måneder etter oppslaget. Tilsynene rettet mot finsanskonsern i 2006, avdekket at ansatte i bankene har svært vide tilganger til detaljerte kundeopplysninger. Det har videre vært et par større saker de senere årene hvor det er blitt avslørt at ansatte i banker utleverer personopplysninger til uvedkommende. Datatilsynet finner at det er viktig at den enkelte gis en mulighet til å kontrollere hvorvidt ansatte og oppdragstakere i banken går utover sine fullmakter/autorisasjoner eller ikke. Ved utformingen av en slik ny regel er personvernet til bankens ansatte ivaretatt, ved at kunden ikke kan få vite hvem av de ansatte som foretok innsynet. Vilkår nummer 2 Konsesjonens vilkår nummer to knytter seg til tilgangsbegrensninger, og skal bidra til at det kun er ansatte med tjenstlig behov som får tilgang til kundeopplysningene. Begrunnelsene for reglene som fremgår av dette vilkåret er delvis de samme som er nevnt ovenfor i tilknytning til vilkår nummer en. Det er viktig at den enkelte som har en mistanke om at ansatte ser ens personopplysninger, som det ikke foreliger et tjenstlig behov for, kan kreve at banken foretar undersøkelser som bekrefter eller avkrefter mistanken. Dersom den enkelte har særlige behov for at tilgangen begrenses, skal banken utarbeide egnede tiltak. Banken innehar detaljerte opplysninger om hva og hvor enkeltpersoner handler. Dette er opplysninger som den enkelte opplever som svært følsomme opplysninger. Det er viktig at det gis regler som ivaretar kunder som mistenker at uberettigede personer har innsyn i slike opplysninger. Videre er det viktig av personvernhensyn at nødvendige prosesser som bekrefter eller avkrefter mistanken iverksettes. Vilkår nummer 6 Konsesjonens punkt seks gir særlige regler om risikoklassifisering av kunder og kredittporteføljer. I hovedsak er det finansieringsvirksomhetsloven 2-9 og 2-9a-2d og kapitalkravforskriften som gir regler om risikoklassifisering. Slike regler går foran personopplysningsloven. Problemet er imidlertid at nevnte regelverk eksempelvis ikke sier noen ting om hvilke opplysninger som er relevante og hvilke kilder som det kan innhentes personopplysninger fra. Datatilsynet har erfaring med at banken i liten grad er klar over at personopplysningslovens regler supplerer kapitalkravsregelverket. Selv om opplysningene i utgangspunktet kun skal benyttes til statistikkformål er
3 personverntrusselen samtidig stor fordi banken over tid vil inneha detaljerte opplysninger som lagres i lang tid. Datatilsynet er kjent med at noen banker har vurdert bruk av opplysningene til andre formål uten å se hen til personopplysningsloven. Datatilsynet har derfor vurdert det som særs viktig å klargjøre reglene på dette området. Datatilsynet vil for ordens skyld bemerke at kredittopplysningskonsesjonen, som også er en standardisert konsesjon, har vært omgjort til skade for kredittopplysningsforetakene. Personvernnemnda har akseptert omgjøringene, se PVN 2004/05. 4 Banken gis en frist til å ha implementert den nye konsesjonen innen utgangen av Vedtaket kan påklages innen tre 3 uker fra mottak av dette brevet etter reglene i forvaltningsloven. Dersom det er aktuelt å påklage vedtaket, oppfordrer tilsynet til at banken tar kontakt med sin forening for en eventuell utarbeidelse av en fellesklage. Med hilsen Kim Ellertsen (sign) avdelingsdirektør Christine Ask Ottesen Seniorrådgiver Vedlegg: Ny konsesjon med tilhørende merknader
4 Konsesjon til å behandle personopplysninger Banktjenester Med hjemmel i personopplysningsforskriftens 7-3, personopplysningslovens 33 første og andre ledd, gir Datatilsynet konsesjon for å behandle personopplysninger til følgende formål: Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester Markedsføring og kundeoppfølging Risikoklassifisering av kunder og kredittporteføljer Forebygging og avdekking av straffbare handlinger I tillegg gir Datatilsynet ved denne konsesjonen en dispensasjon med tilhørende vilkår, jf. personopplysningsforskriftens 8-4 siste ledd, for: Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold knyttet til bankvirksomhet. Dispensasjonen er avgrenset til områder i umiddelbar nærhet til betalingsterminaler for bank i butikk og frittstående minibanker. Konsesjonen er gitt under forutsetning av at behandlingen foretas i henhold til søknaden, fastlagte konsesjonsvilkår, vedlagte merknader og de bestemmelser som følger av Personopplysningsloven med forskrifter. Navn- og organisasjonsendringer må skriftlig underrettes til Datatilsynet. Dersom det skjer endringer i behandlingen i forhold til de opplysninger som er gitt i søknaden, må det fremmes ny konsesjonssøknad. I medhold av personopplysningslovens 35, fastsettes i tillegg følgende vilkår for behandlingen: 1. Informasjonsplikt og innsynsrett Banken skal gi informasjon og innsyn til kunden i henhold til kapittel III i personopplysningsloven. Banken skal sørge for at generell informasjon om bankens rutiner for behandling av personopplysninger er lett tilgjengelig for kunder og publikum til enhver tid. Slik oppdatert informasjon vil tilfredsstille personopplysningslovens 18 første ledd dersom den legges ut på bankens hjemmeside, tilgjengeliggjøres i den enkelte kundes nettbank eller gis i papirbasert form. Alle kunder har krav på innsyn i de registrerte personopplysningene om seg selv etter personopplysningslovens 18 andre ledd, jf. 2 nr 1. Dette omfatter også antall elektroniske oppslag samt tidspunktet for oppslaget som ansatte i banken eller bankens oppdragstakere har foretatt i kontoer eller øvrige kundeengasjement. Innsynsretten i elektroniske oppslag gjelder for et tidsrom på minst tre måneder etter oppslaget. 2. Tilgangsbegrensninger Banken skal påse og jevnlig kontrollere at kun ansatte, databehandlere og andre som utfører oppgaver på vegne av banken, er autorisert for tilgang til, og har innsynsrett i, de registrerte personopplysningene. Tilgangen skal knyttes til en vurdering av den enkeltes tjenstlige behov. Banken skal gjennom stikkprøver, eller andre former for kontroll,
5 undersøke om ansatte gjør innsyn i personopplysninger uten at det er begrunnet i tjenstlig behov, jf. personopplysningsforskriftens Ansattes elektroniske oppslag i personopplysninger skal loggføres og oppbevares på elektronisk medium i minst tre måneder, jf. personopplysningslovens Avdekkes innsyn som ikke er begrunnet i den ansattes tjenstlige behov, eller annen form for uautorisert innsyn, skal banken behandle hendelsen som avvik etter personopplysningsforskriftens 2-6. Resultatet av avviksbehandlingen skal dokumenteres og rapporteres til Datatilsynet uten ugrunnet opphold. Dersom en kunde har mistanke om slikt uautorisert innsyn i vedkommendes personopplysninger i løpet av de seneste tre måneder, og kunden skriftlig begrunner dette overfor banken, skal banken gjennomføre interne undersøkelser for å få bekreftet eller avkreftet mistanken. Banken skal gi kunden en skriftlig redegjørelse om resultatet av undersøkelsen. Dersom det er foretatt innsyn i kundens personopplysninger som ikke er begrunnet i tjenstlige behov, skal kunden også gjøres oppmerksom på at banken har avviksrapportert forholdet til Datatilsynet, jf. personopplysningsforskriftens 2-6. Banken skal utarbeide tiltak som ivaretar enkeltkunders særlige behov for at kun et begrenset antall ansatte i banken skal ha tilgang til, og innsyn i, kundens personopplysninger. Tiltakene skal dokumenteres. Banken skal informere sine kunder om muligheten for å begrense tilgang til personopplysninger i henhold til punkt Utlevering Banken kan utlevere personopplysninger når et av vilkårene i personopplysningslovens 8 og eventuelt 9 er oppfylt. Bankansatte mv. og databehandleres tjenstlige tilgang til personopplysninger regnes ikke som utlevering. Personopplysninger kan utleveres til et annet foretak i finanskonsernet eller konserngruppen, så fremt utlevering er nødvendig for å tilfredsstille konsernbaserte styrings-, kontroll- og/eller rapporteringskrav fastsatt i lov, eller i medhold av lov. Det forutsettes at behandlingen av personopplysningene er underlagt en lovbestemt taushetsplikt i det foretaket opplysningene utleveres til. Banken kan utlevere følgende opplysninger til annet foretak i konsernet eller konsernkunderegister til bruk for markedsføring og finansiell rådgivning uten samtykke: Kundens navn, kontaktopplysninger, fødselsdato samt hvilket selskap og hvilke tjenester eller produkter kunden har inngått avtale om. Fødselsnummer kan utleveres til og registreres i et felles konsernkunderegister når formålet er administrasjon av kundeforholdet, jf. personopplysningslovens Sletting Banken skal slette personopplysningene når formålet med den enkelte behandling er oppfylt, jf. personopplysningslovens 28 og 11. Sletting betyr at personopplysningene skal tilintetgjøres fysisk eller anonymiseres. Når personopplysningene skal slettes i henhold til personopplysningslovens 28, vil det kunne oppstå tilfeller hvor opplysningene likevel lovlig kan behandles for andre formål. I
6 slike tilfeller kan kravet om sletting være oppfylt dersom det treffes tiltak som medfører at opplysningene ikke lenger kan behandles for det opprinnelige formålet. Banken må utarbeide konkrete sletterutiner for hvert behandlingsformål, og rutinene skal dokumenteres i tråd med personopplysningslovens 14 og personopplysningsforskriftens 3-1 andre ledd og tredje ledd bokstav c. Når et behandlingsformål opphører generelt, eller i forhold til enkeltkunder, skal banken vurdere om de personopplysningene som har vært behandlet for formålet må slettes, eller om opplysningene fortsatt kan behandles for andre lovlige formål. Er det adgang til fortsatt behandling, må de tiltak som iverksettes i forhold til det opphørte behandlingsformål være tilstrekkelige til å sikre at behandlingen opphører. Banken skal jevnlig vurdere om behandlingsformålet er opphørt, herunder om opplysningene kan behandles til et nytt lovlig formål, om det skal gjøres tilgangsbegrensninger eller hvorvidt opplysningene skal slettes. Med jevnlig menes det at banken minimum årlig må foreta en gjennomgang. Ved gjennomgangen skal banken etterprøve at de sletterutiner som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. 5. Særlig om markedsføring og kundeoppfølging Med markedsføring menes her aktivitet der formålet er å inngå tjenesteavtale med nye eller eksisterende kunder om et produkt i en ny produktkategori. Bankens produkter deles i følgende kategorier: Betalingstjenester Spare- og innskuddsprodukter Lån og andre kreditter Egne kunder Følgende nøytrale opplysninger kan benyttes til markedsføring og finansiell rådgivning uten samtykke fra kunden: Kundens navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter kunden har inngått avtale om. Markedsføres det produkter innen en annen produktkategori enn den som banken og kunden har inngått avtale om, kreves det samtykke fra kunden for å benytte andre kundeopplysninger enn de nøytrale. Det er dermed anledning til å drive aktiv kundeoppfølging ved at banken informerer om produkter innen de produktkategoriene hvor det allerede foreligger et avtaleforhold mellom kunden og banken. Dersom banken i markedsføringsøyemed utarbeider en personprofil om kunden og bruker opplysninger utover de nøytrale i denne sammenheng, skal det foreligge et behandlingsgrunnlag som nevnt i personopplysningslovens 8. Kunden skal informeres, i samsvar med kravene i personopplysningslovens 21, når personprofilen benyttes. Informasjonsplikten gjelder også når profilen er utarbeidet kun på bakgrunn av nøytrale personopplysninger.
7 Konsernkunder Nøytrale opplysninger som nevnt over kan innhentes fra et eventuelt felles konsernkunderegister og benyttes til markedsføring og finansiell rådgivning uten samtykke fra kunden. Den adgang banken har til å benytte kundeopplysninger til markedsføring og kundeoppfølging overfor egne kunder etter vilkårene foran i punkt 5, gjelder tilsvarende overfor låntakere som har fått overdratt sitt boliglån til boligkredittforetak innenfor samme finanskonsern som banken. Lånekunden skal informeres i samsvar med kravene i personopplysningsloven Særlig om risikoklassifisering av kunder og kredittporteføljer Banken kan behandle personopplysninger ved bruk av interne målemetoder for klassifisering og kvantifisering av kunder og kredittrisiko når dette følger av kapitalkravsreglene i finansieringsvirksomhetslovens 2-9 og 2-9a 2-9d. Personopplysninger til dette formålet kan innhentes fra kredittopplysningsforetak. Før banken innhenter personopplysninger fra andre eksterne kilder, skal bankens tolkning av personopplysningslovens 8 sendes til Datatilsynet. Banken må utarbeide rutiner for sletting av opplysningene i tråd med vilkår 4, og innføre tilfredsstillende tilgangsbegrensninger i henhold til punkt 2. I generell kundeinformasjon, se punkt 1, og ved førstegangsetablering av et kredittengasjement, skal banken på en klar og forståelig måte informere kunden om formålet med, og de viktigste egenskaper ved, et system for interne målemetoder og kredittklassifisering av kunder. 7. Særlig om forebygging og avdekking av straffbare handlinger Banken skal gi generell kundeinformasjon om behandling av personopplysninger for forebygging og avdekking av straffbare handlinger i tråd med personopplysningslovens 18 og punkt 1. Det kan gjøres unntak fra retten til innsyn og plikten til informasjon, jf. personopplysningslovens 23 bokstav f. Banken må konkret vurdere hvorvidt unntaket kommer til anvendelse både hva gjelder tidsrom og omfang. Personopplysninger som registreres om kunden med det formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger mot banken eller annet selskap i konsernet eller konserngruppen, skal slettes senest ti år etter registreringen. Se punkt Særlig om utvidet lagringstid for fjernsynsovervåking Datatilsynet gir med dette en dispensasjon for oppbevaring av billedopptak i inntil tre måneder, når opptak er gjort i forbindelse med bankvirksomhet og med det formål å avdekke og oppklare straffbare forhold, jf. personopplysningslovens 37 jf. 8 bokstav f. Dispensasjonen er gitt med hjemmel i personopplysningsforskriftens 8-4 siste ledd. Banken skal vurdere hvorvidt det foreligger et særlig behov for utvidet lagringstid i det enkelte overvåkingstilfellet. Et slikt særlig behov for utvidet lagringstid skal
8 dokumenteres, jf. personopplysningslovens 14 og personopplysningsforskriftens 3-1 andre ledd. Dispensasjonen gjelder for den fjernsynsovervåkingen som banken selv er behandlingsansvarlig for, og er kun knyttet til bankvirksomhet. Banken må selv ha kontroll, eventuelt gjennom en databehandleravtale, over overvåkningsutstyret som benyttes. Dersom banken benytter en databehandler til å foreta fjernsynsovervåkingen, skal det inngås en databehandleravtale jf. personopplysningslovens 15. Eventuelle opptak skal lagres adskilt fra eventuelle opptak som butikken selv er behandlingsansvarlig for. Det må fremgå klart av skiltingen/merkingen i henhold til personopplysningslovens 40, at det er banken som er ansvarlig for overvåkingen. Utveksling av opptak mellom banken som behandlingsansvarlig og butikken som behandlingsansvarlig, vil være å regne som utlevering av billedopptak etter personopplysningslovens 39. Med hilsen Kim Ellertsen (sign) avdelingsdirektør Christine Ask Ottesen seniorrådgiver
9 MERKNADER BANKKONSESJON Datatilsynet er av den oppfatning at det av pedagogiske hensyn vil være en fordel for bankene med en samlekonsesjon, i det en mer samlet oversikt over regulering av bransjen på denne måten kan forefinnes på et sted. Utvidelse av konsesjonen til å gjelde flere formål vil etter tilsynets vurdering heller ikke medføre en uforholdsmessig byrde for den enkelte konsesjonshaver, sett i forhold til dagens praksis. De vilkår som er gitt i konsesjonen er satt for å begrense kundens personvernulemper. Vilkårene er ment å supplere eller presisere personopplysningsloven med tilhørende forskrifter. Merknadene som følger forklarer og utdyper de vilkårene som er satt i konsesjonen. Konsesjonen setter begrensninger for bruk av personopplysninger til andre formål enn de som er angitt i konsesjonen. Datatilsynet har derfor funnet det hensiktsmessig å kommentere tilgrensende behandlinger av opplysningene som skjer til andre formål. Kommentarene må således betraktes som Datatilsynets tolkning av personopplysningslovens anvendelse på disse behandlingene. Nærmere kommentarer til de ulike formålene som er angitt i konsesjonen Behandlingsformålene i konsesjonen er, med unntak av kundeadministrasjon, fakturering og gjennomføring av bank og finansieringstjenester, fastsatt på grunnlag av Datatilsynets forvaltningspraksis og de senere års tilsyn med banker og finanskonserner. Behovet for utvidelse av konsesjonens virkeområde omtales nærmere nedenfor. Følgende fem formål er regulert i konsesjonen: a) Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester Formålet tilsvarer personopplysningsforskriftens 7-3, som pålegger konsesjonsplikt for bankers- og finansinstitusjoners behandling av personopplysninger, jf. personopplysningslovens 33. b) Markedsføring og finansiell rådgivning Banker og finansinstitusjoner driver en utstrakt grad av markedsføring og finansiell rådgivning. Denne behandlingen er i seg selv ikke konsesjonspliktig. Datatilsynet har likevel valgt å konsesjonsregulere behandling av personopplysninger til markedsføring og rådgivning i tråd personopplysningslovens 33 andre ledd. Av bestemmelsen følger det at Datatilsynet kan pålegge konsesjonsplikt for behandling av ikke-sensitive personopplysninger dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. Hensynene bak bestemmelsen om konsesjonsplikt for kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester taler også for konsesjonsregulering av markedsføring og finansiell rådgivning. Banker og finansieringsvirksomheter behandler store mengder personopplysninger av følsom karakter. Disse opplysningene benyttes og videreforedles til bruk i markedsføring, og det er Datatilsynets oppfatning at slik behandling av personopplysninger bør konsesjonsreguleres. De fastsatte konsesjonsvilkårene om bruk av personopplysninger i markedsføringsøyemed viker ikke fra dagens forvaltningspraksis, og vil i praksis ikke medføre endringer for virksomhetene.
10 c) Risikoklassifisering av kunder og kredittporteføljer Kapitalkravreglene i finansieringsvirksomhetsloven har regler om bankers forpliktelse til å risikoklassifisere kunder og kredittporteføljer. Finansdepartementet har etter finansieringsvirksomhetsloven 2-9c hjemmel til i forskrift å fastsette nærmere bestemmelser som gjør unntak fra personopplysningsloven. Slik forskrift er ennå ikke fastsatt. Ettersom det foreløpig er uklart hvilke opplysninger som kan benyttes ved risikoklassifisering har Datatilsynet vurdert det slik at denne behandlingen bør underlegges konsesjonsplikt i tråd med personopplysningslovens 33 andre ledd. d) Forebygging og avdekking av straffbare handlinger Banker og finansinstitusjoner behandler personopplysninger også med det formål å forebygge og avdekke straffbare handlinger. Slike opplysninger er sensitive, og behandlingen vil derfor utløse en selvstendig konsesjonsplikt i tråd med personopplysningslovens 33 jf. 2 nr 8 bokstav b. Det gjøres oppmerksom på at det ikke gjelder konsesjonsplikt for hvitvaskingsregistret og tilknyttet behandling av personopplysninger, jf. personopplysningsforskriftens På tross av at behandling av personopplysninger for dette formålet er vanlig praksis i banker, har Datatilsynet kun mottatt konsesjonssøknader fra to banker i denne forbindelse. Tilsynet finner det derfor nødvendig å klargjøre bankenes plikt på dette området. e) Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold Det følger av personopplysningsforskriftens 8-4 første ledd at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningslovens 28. Av personopplysningsforskriftens 8-4 andre ledd fremgår det videre at opptakene skal slettes senest syv dager etter at opptak er gjort. For billedopptak gjort i post- eller banklokaler er det gitt en utvidet lagringsfrist. Etter forskriftens 8-4 tredje ledd skal disse opptakene slettes senest innen tre måneder. Datatilsynet har, etter henvendelse fra Finansnæringenes Hovedorganisasjon og Sparebankforeningen, funnet å kunne gi en dispensasjon for lagring av billedopptak gjort i forbindelse med bankvirksomhet i inntil tre måneder. Begrunnelsen for å gi en dispensasjon er at bankene skal slippe å søke dispensasjon for en kurant bruk og lagring av fjernsynsovervåking, som er ment omfattet av den utvidede lagringsfristen i personopplysningsforskriftens 8-4 tredje ledd. Dispensasjonen er gjort på nærmere vilkår, se punkt 8 og tilhørende merknader.
11 Datatilsynet utfyllende merknader til konsesjonsvilkårene Til punkt 1. Informasjonsplikt og innsynsrett I forbindelse med opprettelse av et kundeforhold skal banken gi slik informasjon som følger av personopplysningslovens kapittel III. Dersom opplysningene senere skal benyttes til andre lovlige formål, og det foreligger et gyldig behandlingsgrunnlag for dette, er det viktig at kunden enkelt kan skaffe seg en oversikt over behandlingene. Konsesjonen stiller derfor i tillegg krav til at banken til enhver tid skal ha en oversikt, som er lett tilgjengelig, over de ulike behandlingene med tilhørende formål og hvilke typer personopplysninger som behandles med mer. Banken er forpliktet til uoppfordret å gjøre opplysninger som nevnt i personopplysningslovens 18 første ledd kjent både for kunder og publikum. Det følger av personopplysningslovens 24 at informasjon og innsyn kan kreves skriftlig. For de kundene som har en nettbankavtale, kan informasjonen gjøres tilgjengelig via nettbanken. Informasjonen kan også tilgjengeliggjøres på bankens hjemmeside. Dersom kunden ikke kan lese elektroniske dokumenter skal informasjonen gis i papirform. Det følger av Datatilsynets praksis knyttet til personopplysningsforskriftens 2-8, 2-14 og 2-16 tredje ledd, at banken skal registrere elektroniske oppslag som er foretatt i kundens konto og kundeengasjement. Bestemmelsene skal sikre at behandling av personopplysninger skjer innenfor regelverkets rammer, herunder at det kun er ansatte mv som har tjenstlig behov som har tilgang, og at det kun gjøres oppslag ved saklig behov. Oppslagene vil knyttes til kundens personopplysninger, og vil dokumentere hvem som har benyttet en tilgang til opplysningene. Det er et viktig personvernprinsipp at den enkelte gis en mulighet til å kontrollere og etterprøve hvem som har tilgang til ens opplysninger. Innsynsretten må derfor også gis i disse tilfellene, jf. personopplysningslovens 18 andre ledd. Innsynretten gjelder også antall ganger og tidspunktet for når banken har gjort oppslag i kundens elektronisk lagrede personopplysninger. Retten til innsyn gjelder likevel ikke for oppslag som er begrunnet i systemteknisk og driftsmessige forhold, for eksempel av IT-avdelingen. Personvernhensyn taler for at kunden skal kunne ha en mulighet for å kontrollere hvorvidt ansatte og oppdragstakere i banken går utover sine fullmakter/autorisasjoner eller ikke. Av hensyn til den bankansattes personvern har kunden i utgangspunktet likevel ikke rett til å få vite hvem som faktisk har gjort oppslaget. Denne begrensningen i innsynretten tilsvarer tilsynets praksis når det gjelder innsyn hos kredittopplysningsbyråene. Til punkt 2. Tilgangsbegrensninger Tilgang til personopplysninger skal bare gis til bankens ansatte mv. som har tjenstlig behov for slike opplysninger. I utgangspunktet er det banken selv som må definere og autorisere de som skal ha tilgang til personopplysninger basert på tjenstlig behov. En kunde skal kunne be banken om å begrense ansattes tilgang til sine personopplysninger ved særlige behov. Det vil være opp til den enkelte bank hvordan et slikt ønske skal gjennomføres i praksis. Banken plikter jevnlig å kontrollere hvorvidt behov for tilgang fortsatt er tilstede. For eksempel kan behovet for tilgang endre seg ved bytte av stilling internt. Banken må selv vurdere konkret hvor ofte det vil være behov for en slik gjennomgang av tildelte autorisasjoner. Rutinene skal dokumenteres i internkontrollsystemet.
12 For å hindre at ansatte mv. benytter tilgangen i strid med det som det faktisk er behov for, skal banken foreta stikkprøver eller lignende. Av personvernhensyn er det viktig å være oppmerksom på uautoriserte oppslag hvor tilgangen kun benyttes til å lese informasjonen. Banken må ha rutiner for hvordan en slik kontroll skal skje og hvor ofte denne skal gjennomføres, jf. personopplysningsforskriftens kapittel 2 og 3. Videre kan kunden be om at banken foretar en intern undersøkelse av forholdet, se punkt 2 tredje ledd i konsesjonsvilkårene. Vilkårene er ment å virke preventive og skape et tillitsforhold mellom kunden og banken. Det følger av personopplysningsforskriftens 2-16 siste ledd, at registrering av autorisert bruk av informasjonssystemet, og av forsøk på uautorisert bruk, skal lagres i minst tre måneder. Banken kan kreve skriftlig begrunnelse dersom en kunde henvender seg til banken på bakgrunn av mistanke om uautorisert innsyn, jf. personopplysningslovens 24. I den forbindelse kan det også stilles krav om at vedkommende redegjør for hvorfor han eller hun har en slik mistanke. Banken kan ikke avslå kravet fordi begrunnelsen ikke er god nok, med mindre det er åpenbart at henvendelsen er rettet mot banken i ren sjikanehensikt. Mistanken skal likevel begrunnes og bør begrenses i tid. Fordi den enkelte har krav på å få vite antall oppslag kan det være naturlig at kunden starter med å be om innsyn i nettopp dette. Kunden har som omtalt foran under merknadene til punkt 1, ikke uten videre krav på å få vite hvem av bankens ansatte som eventuelt har gått utover kravet til saklig behov for opplysningene. Dersom kunden er i tvil om at banken faktisk har redegjort for det korrekte resultatet, kan saken klages videre til Datatilsynet. Til punkt 3. Utlevering Utlevering av personopplysninger er en behandling som nødvendiggjør et behandlingsgrunnlag etter personopplysningslovens 8 og eventuelt 9 dersom opplysningene er sensitive. Ansattes mv. tilgang til personopplysninger for utføring av tjenstlige gjøremål anses ikke som utlevering. Datatilsynet har lagt til grunn at utlevering av personopplysninger til annet foretak i samme finanskonsern eller konserngruppe som banken, kan være i overensstemmelse personopplysningslovens 8 og 9. Dette gjelder så fremt utlevering er nødvendig for å tilfredsstille konsernbaserte styrings-, kontroll- og/eller rapporteringskrav som er fastsatt i lov eller i medhold av lov, for eksempel kapitalkravsreglene i finansieringsvirksomhetsloven, og opplysningene vil være underlagt lovbestemt taushetsplikt i det foretak de utleveres til. Videre vil nærmere angitte nøytrale personopplysninger kunne utleveres innenfor konsernet/konserngruppen i markedsføringsøyemed uten samtykke fra kunden. Se mer om dette i punkt 5 i konsesjonen. Det gjøres spesielt oppmerksom på at fødselsnummer som utveksles mellom banken og konsernet bare kan benyttes til administrasjon av kundeforholdet, og kan følgelig ikke brukes i forbindelse med markedsføring. I tråd med personopplysningslovens 19 må banken sørge for å informere kunden om hvem det vil bli utlevert kundeopplysninger til og hvilke opplysninger som blir utlevert i den forbindelse.
I tillegg gir Datatilsynet ved denne konsesjonen en dispensasjon med tilhørende vilkår, jf. personopplysningsforskriftens 8-4 siste ledd, for:
Konsesjon til å behandle personopplysninger Banktjenester Med hjemmel i personopplysningsforskriftens 7-3, personopplysningslovens 33 første og andre ledd, gir Datatilsynet konsesjon for å behandle personopplysninger
DetaljerGenerelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1
Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov
DetaljerGenerelle regler om behandling av personopplysninger i Eika Forsikring AS
Generelle regler om behandling av personopplysninger i Eika Forsikring AS 1. INNLEDNING Selskapet vil nedenfor gi generell informasjon om sin behandling av personopplysninger. Med personopplysninger forstås
DetaljerAdressemekling. Innhold INNLEDNING AKTØRENE
Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den
DetaljerPERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)
PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger
DetaljerVår referanse (bes oppgitt ved svar)
Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012
DetaljerBEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING
BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for
DetaljerPERSONVERNERKLÆRING FORUM SECURITIES AS
PERSONVERNERKLÆRING FORUM SECURITIES AS Nytt personvernregelverk ble innført i Norge gjeldende fra 1. juli 2018 og Forum Securities AS har oppdatert sin personvernerklæring i tråd med det nye regelverket.
DetaljerPERSONVERN I FINANSSEKTOREN
CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet
DetaljerOppdatert 14. juni
GENERELLE REGLER OM BEHANDLING AV PERSONOPPLYSNINGER (KUNDEOPPLYSNINGER) I SKANDINAVISKA ENSKILDA BANKEN AB (PUBL) OSLOFILIALEN OG SEB KORT BANK AB OSLOFILIALEN (SAMLET SEB ) Oppdatert 14. juni 2018 1
DetaljerVår referanse (bes oppgitt ved svar)
Kiwi Norge AS Postboks 551 3412 LIERSTRANDA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00853-13/BSO 21. juni 2013 Vedtak om pålegg Den 10. oktober 2012 gjennomførte Datatilsynet en kontroll
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato
Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov
DetaljerLydopptak og personopplysningsloven
Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...
DetaljerDet vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.
Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til
DetaljerPERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS
PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS Denne personvernerklæringen forteller hvordan BWAS Group AS samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon
DetaljerI denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.
Personvernerklæring Kunder og potensielle kunder hos Flügger AS Som behandlingsansvarlig virksomhet er vi opptatt av å ivareta ditt personvern. Vi verner om de personopplysninger vi håndterer, og vi sikrer
DetaljerBrevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerPERSONVERNPOLICY Slik behandler ABAX personopplysninger
17.04.2018 PERSONVERNPOLICY Slik behandler ABAX personopplysninger Vi er avhengige av tillit fra våre kunder. Derfor er vi også opptatt av å ivareta ditt personvern. Alle dine personopplysninger skal være
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
DetaljerPERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS
PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS Innledning Denne personvernerklæringen gjelder for Advokatene på Nordstrand AS (APN). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerPERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond
PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond Når du er i kontakt med stiftelsen Prinsesse Märtha Louises Fond kan
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerPERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA
PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerEndelig kontrollrapport
Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerPERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS
PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS Advokathuset Just AS tilbyr advokattjenester til privatpersoner, næringsliv og offentlige institusjoner. For at vi skal kunne gjøre jobben vår og oppfylle vårt
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerPersonvernforordningen
Personvernforordningen Complianceseminaret Advokat Nils Henrik Heen Personvernforordningen Desember 2015 Mai 2016 Juli 2017 Mars 2018 25. Mai 2018 Forordningsteksten vedtatt Forordningen vedtatt Høringsnotat
Detaljerom konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.
Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerVEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT
VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT INNHOLD OG FORMÅL Næringsdrivende benytter i økende grad Internett til å innhente og ta i bruk personopplysninger fra forbrukere.
DetaljerPersonvern for mobilkunder hos Fjordkraft
Personvern for mobilkunder hos Fjordkraft Sist oppdatert januar 2019 www.fjordkraft.no Fjordkraft AS, Postboks 3507, Fyllingsdalen, 5845 Bergen Kundeservice: 23 00 6100 - Chat: www.fjordkraft.no/chat 1.
DetaljerGDPR FOR EIENDOMSSELSKAPER
GDPR FOR EIENDOMSSELSKAPER Forord EUs nye personvernregler (GDPR) stiller strenge krav til alle som håndterer personvernopplysninger. Dette gjelder også bedrifter i eiendomsbransjen. For det første stilles
DetaljerPERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:
PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )
PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig
DetaljerVedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak
Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
Detaljer1.1 Hvilke typer. personopplysninger samles inn? 1. Personvern i Bulder Bank. Generelle opplysninger. Formue, inntekt og likviditet.
1. Personvern i Bulder Bank Bulder Bank («banken») er en del av Sparebanken Vest. Behandlingsansvarlig Behandlingsansvarlig for personopplysninger i Sparebanken Vest er Administrerende direktør. Adresse:
DetaljerUtkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet - høringsuttalelse
Kommunal- og moderniseringsdepartementet Leveres elektronisk Dato: 19.03.2018 Vår ref.: 18-327 Deres ref.: 17/3091 Utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet - høringsuttalelse
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerEndelig kontrollrapport
Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik
DetaljerEksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter
DetaljerPersonvernerklæring informasjon om behandling av personopplysninger
Personvernerklæring informasjon om behandling av personopplysninger For å kunne tilby bank- og finansieringstjenester må Jernbanepersonalets sparebank (Js) bruke personopplysninger. Her kan du lese om
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerKlage fra SpareBank 1 Markets AS på Datatilsynets vedtak
Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet
DetaljerPosten ønsker å godta signaturstempel som underskrift ved utlevering av PUM-sendinger for de som ikke kan skrive
Vår ref. Deres ref. Dato: 10/735-20-MBA 05.10.2011 Posten ønsker å godta signaturstempel som underskrift ved utlevering av PUM-sendinger for de som ikke kan skrive Postens PUM tjeneste er Personlig Utlevering
DetaljerPersonvernerklæring for EVUweb - søkere
Personvernerklæring for EVUweb - søkere Sist endret: 21.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon som lar deg melde deg på kurs og andre arrangementer og å søke om opptak til Nord universitet.
DetaljerPERSONVERNERKLÆRING. Innledning
PERSONVERNERKLÆRING Innledning Advokatene i Eikesdal advokatfelleskap («Eikesdal advokatfellesskap» eller «vi») behandler personopplysninger om eksisterende og potensielle klienter (de «registrerte»).
DetaljerPersonvernerklæring for medlemmer
Personvernerklæring for medlemmer Denne personvernerklæringen gir deg informasjon om Fontenehuset Asker (heretter kun omtalt som "Fontenehuset") sin behandling av personopplysninger som samles inn i forbindelse
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerPERSONVERNERKLÆRING FOR STIFTELSEN SIKT
PERSONVERNERKLÆRING FOR STIFTELSEN SIKT 1 Behandling av personopplysninger ved Stiftelsen SIKT Når du er i kontakt med SIKT kan det forekomme at vi innhenter og behandler personopplysninger om deg. Vi
DetaljerPersonvernerklæring for Handelsbanken Norge
Her får du informasjon om hvordan vi håndterer personopplysninger om deg og andre, slik at du kan få en oversikt over hvilke rettigheter du har, og forstå hvordan vi ivaretar personvernet ditt. Personvernerklæring
DetaljerHar du spørsmål om hvordan Hausta ivaretar ditt personvern, kan du kontakte oss på
Personvernerklæring Hausta Kapitalforvaltning AS («Hausta») er opptatt av å ivareta ditt personvern. Du kan ha tillit til at dine personopplysninger er trygge hos oss. Du bør gjøre deg godt kjent med denne
DetaljerLagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen
Lagringsbegrensning Cecilie L. B. Rønnevik, advokat Personvernkonferansen 2018 www.svw.no Når personopplysningene ikke lengre er nødvendige for å nå det opprinnelige formålet med behandlingen: Alternativ
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og
DetaljerLagring av advarsler i personalmapper - Datatilsynets veiledning
DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig
DetaljerOversendelse av sak til klagebehandling - kameraovervåking i bank i butikk - Personvernnemnda
Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00853-19/HTE 6. november 2013 Oversendelse av sak til klagebehandling - kameraovervåking i bank
DetaljerKunngjort 16. juni 2017 kl PDF-versjon 19. juni 2017
NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 16. juni 2017 kl. 16.15 PDF-versjon 19. juni 2017 16.06.2017 nr. 47 Lov om gjeldsinformasjon
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerPERSONVERNERKLÆRING Behandling av personopplysninger i Øst-Revisjon DA
PERSONVERNERKLÆRING Behandling av personopplysninger i Øst-Revisjon DA Denne personvernerklæringen forteller hvordan Øst-Revisjon DA samler inn og bruker personopplysninger. Målet er å gi deg overordnet
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerDatabehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale mellom Behandlingsansvarlig Tjenesteleverandøren Iris skolefoto as Postboks
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerLagring av forskningsdata i Tjeneste for Sensitive Data
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1
DetaljerVerdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.
Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL
PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen
DetaljerEndelig kontrollrapport
Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg
DetaljerBarne- og likestillingsdepartementet. Høringsnotat. Utkast til forskrift om virksomhet etter gjeldsinformasjonsloven
Barne- og likestillingsdepartementet Høringsnotat Utkast til forskrift om virksomhet etter gjeldsinformasjonsloven 1 1. Innledning Barne- og likestillingsdepartementet sender med dette utkast til forskrift
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerMARKEDSFØRING AV KREDITTKORT OG FORBRUKSLÅN
Bransjenorm MARKEDSFØRING AV KREDITTKORT OG FORBRUKSLÅN 1. Innledning Tilgang på kreditt er et gode for forbruker. Kredittkort og forbrukslån kan være hensiktsmessige produkter for mange forbrukere i og
DetaljerRundskriv RUNDSKRIV: 3/2019 DATO:
Rundskriv Veiledning om taushetsplikt etter finansforetaksloven, verdipapirhandelloven (verdipapirforetak), verdipapirfondloven og lov om forvaltning av alternative investeringsfond RUNDSKRIV: 3/2019 DATO:
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 01.06.2018 kn 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved NLA Høgskolen. Søknadsweb er knyttet til det studieadministrative
DetaljerPersonvernerklæring for Edvarda (Consortia Manager)
Personvernerklæring for Edvarda (Consortia Manager) Innhold: 1) Kort om Edvarda (Consortia Manager) 2) Hva er en personvernerklæring? 3) Hva regnes som personopplysninger? 4) Formålet med og rettslig grunnlag
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerPersonvernerklæring for Webstep AS
Personvernerklæring for Webstep AS Terminologi «Personopplysninger» Betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger er typisk navn, adresse, telefonnummer,
DetaljerPERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om
PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerGDPR - Personvern
Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren
DetaljerHVILKE PERSONOPPLYSNINGER SAMLER VI INN?
Personvernerklæring 1. HVILKE PERSONOPPLYSNINGER SAMLER VI INN? Personopplysninger samles i de fleste tilfeller inn direkte fra deg, eller de genereres i forbindelse med at du bruker våre tjenester og
Detaljer