Vår referanse (bes oppgitt ved svar)

Transkript

1 NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/ /MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises til gjennomført kontroll hos Trumf AS den 13. oktober 2011, påfølgende varsel om vedtak med foreløpig kontrollrapport av 15. desember, og sist Deres brev av 19. januar I brevet gis det en redegjørelse for hvordan Trumf AS har til hensikt å imøtekomme påleggene som ble varslet av Datatilsynet. Vurdering av virksomhetens tilsvar Virksomheten har gitt en ryddig redegjørelse for lukking av avvik og en plan for gjennomføring. Datatilsynet legger til grunn at varslene om vedtak 1, 3, 4 og 5 fra den foreløpige kontrollrapporten er gjennomført på en tilfredsstillende måte av virksomheten, jf. Deres tilsvar av 19. januar Fremdriftsplanen for det resterende punktet i Datatilsynets varsel om vedtak er lagt opp slik at tiltaket implementeres medio juni Datatilsynet har ingen merknader til den oppgitte planen for gjennomføring. Tidligere foreløpig kontrollrapport er gjort endelig og følger vedlagt. Datatilsynet legger virksomhetens fremdriftsplan til grunn, og fatter vedtak i samsvar med tidligere varsel. Vedtakene vil være oppfylt dersom fremdriftsplanen følges. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må slette opplysninger om utmeldte medlemmer hvor det ikke er en plikt til videre oppbevaring (regnskapslovgivningen). Dette i samsvar med personopplysningslovens 28. Det vises til kontrollrapportens Vedtaket må gjennomføres innen 15. juni 2012,, jf. virksomhetens fremdriftsplan. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Trumf AS må innen 30. juni 2012 bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført og vedlegge kopi av de nye skriftlige rutinene. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Leif T. Aanensen avdelingsdirektør Maria Bakke rådgiver Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 11/00832 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Trumf AS Sted: Trollåsveien 36, Oslo Utarbeidet av: Maria Bakke Helge Veum 1 Innledning Datatilsynet gjennomførte kontroll hos Trumf AS den 13. oktober Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med registrering av personopplysninger om privatkunder ved bruk av fordelskort. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Odd Birkenes, daglig leder Trumf AS - Bodil Ibrahim, markedssjef Trumf - Morten Engebretsen, leder kundeservice Trumf - Trine Lise Nakken, tjenesteansvarlig Trumf, NorgesGruppen-data AS - Geir Olav Dybwad, fagansvarlig informasjonssikkerhet, NorgesGruppen- data/norgesgruppen ASA 2.2 Fra Datatilsynet: - Maria Bakke, rådgiver - Helge Veum, senioringeniør 3 Generelt Trumf AS er en del av NorgesGruppen, som er Norges største handelshus. NorgesGruppen ble etablert i 2000 og har egeneid og kjøpmannseid dagligvarehandel og kioskdrift. Gruppen består av 2350 utsalgssteder og har ca medarbeidere. Trumf som bonusordning ble lansert i 1997 og det er registrert aktive husstander som benytter seg av bonusordningen, mens det totalt er registrert 1,7 millioner husstander av medlemmene har samtykket til å bli kontaktet av Trumf på e-post, mens tallet er for samtykker til mobil markedsføring. Trumf AS eies 100% av NorgesGruppen. Flust.no forestår kundeservice, økonomi og regnskap for Trumf AS. 1 av 9

4 4 Kort om bruk av personopplysninger samt formålet med behandlingene Trumf AS er behandlingsansvarlig for personopplysningene til medlemmene i lojalitetsprogrammet. Selskapet behandler personopplysninger om privatkunder i forbindelse med administrering av kundeforholdet og fordelsprogrammet, herunder kontaktinformasjon, fødselsdato, kjøpsinformasjon og samtykke til direkte markedsføring. Virksomheten bruker Direkt Media til vask av lister, men innhenter ikke flere opplysninger derfra. De fleste personopplysninger samles inn direkte fra kundene, og kundene gjøres i den forbindelse klar over bruken og lagringen av personopplysningene gjennom medlemsvilkårene samt personvernpolicyen. Virksomheten har en logg over endringer i forbindelse med den enkeltes medlemskap, for eksempel adresseendring. Virksomheten foretar også analyse av medlemmenes handlemønster, herunder hvilken butikk medlemmet handler mest på og medlemmet kategoriseres etter på forhånd angitte generelle kriterier. Slik analyse lagres i 3 måneder, før den slettes når ny analyse erstatter den foregående. Detaljerte opplysninger om kjøp er knyttet til medlemsnummeret. Disse lagres på en slik måte at det ikke er lett å finne frem til medlemmet. Ved utmelding slettes ikke personopplysningene om medlemmene, men profilen settes som inaktiv. Når et medlem melder seg ut, mottar vedkommende et brev fra Trumf hvor det står at vedkommende har blitt slettet. Trumf AS benytter seg av flere databehandlere som behandler personopplysninger på vegne av selskapet. Virksomheten har fremlagt strukturert informasjon over hvilke personopplysninger som behandles om kunder/medlemmer i forbindelse med fordelsprogrammet. 5 Kort om krav ved behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningslovens 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette etter personopplysningslovens 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningslovens 11 bokstav b). Videre stilles det i personopplysningslovens 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. Ved opphør av for eksempel et 2 av 9

5 kundeforhold skal opplysningene slettes med mindre det foreligger utestående krav eller lagring er regulert i annen lovgivning. Personopplysningslovens 14 stiller krav om at virksomheten etablerer internkontroll for å sikre at kravene i loven ivaretas. Herunder at virksomheten utreder rammene for behandlingen, fastsetter rutiner for gjennomføringen og følger opp at praksis er i samsvar med fastsatte rutiner. Dersom den behandlingsansvarlige benytter en databehandler, en som behandler personopplysninger på vegne av den ansvarlige, skal det foreligge en databehandleravtale, jf. personopplysningslovens Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Behandlingsgrunnlag Krav i regelverket Etter personopplysningslovens 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Behandlingen kan baseres på et samtykke fra den registrerte, lovhjemmel, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål, jf. bokstav a-f Funn Virksomhetens behandlingsgrunnlag for opplysninger om egne medlemmer/kunder vil være at behandling er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, jf. personopplysningslovens 8 bokstav a. For å behandle personopplysninger utover det som anses for å være nødvendig for å oppfylle avtalen med den registrerte, må en eventuell behandling av personopplysninger baseres på et samtykke fra den registrerte. Etter medlemmets utmelding vil virksomhetens behandlingsgrunnlag være avtale med medlemmet i den grad videre lagring er inntatt i medlemsvilkårene. I tillegg er lagring av personopplysninger som er nødvendig for å oppfylle bokføringsplikten hjemlet i regnskapslovgivningen. Virksomheten har ikke foretatt en avklaring av hvilke konkrete opplysninger som må lagres i henhold til regnskapslovgivningen. For behandling av personopplysninger som ikke samles inn for det formål å administrere medlemskapet i dette tilfellet innhenting av e-postadresser og telefonnummer for direkte markedsføring innhentes det samtykke fra medlemmet, jf. personopplysningslovens 8 1. ledd Konklusjon Virksomheten hadde ikke i tilstrekkelig grad utredet og dokumentert hvilket behandlingsgrunnlag den har for personopplysningene i de ulike fasene av medlemskapet. 3 av 9

6 Dette er et avvik fra internkontrollplikten i lovens 14, jf 8 om vilkår for å behandle personopplysninger. Avviket gjelder særlig vurderinger av oppbevaring etter utmelding. For øvrig kan den systematiske tilgjengeligheten av behandlingsgrunnlaget bedres ved at det etableres en oversikt over behandlinger personopplysninger med behandlingsgrunnlag, jf. rapportens omtale om internkontroll. 6.2 Sletting Krav i regelverket I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dersom opplysningene anonymiseres, oppfyller dette også vilkåret i personopplysningsloven 28, da opplysningene ikke lenger kan knyttes til enkeltpersoner og derfor ikke lenger er personopplysninger. Sletting eller anonymisering av opplysninger må skje i alle ledd hvor opplysninger lagres for å oppfylle vilkåret i lovens Funn Sletting generelt Trumf AS opplyste under kontrollen samt i oversendt dokumentasjon at opplysninger om medlemmer lagres i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Dette gjelder samtlige personopplysninger om medlemmet, herunder kontaktinformasjon, kjøpsinformasjon, opptjent bonus, m.m. Dette gjelder også opplysninger om kundekategori. Medlemmer som aktivt melder seg ut settes som inaktive i selskapets register. Dette betyr at de ikke lenger er en del av medlemsprogrammene ved at de ikke opptjener bonus, ikke kan benytte seg av medlemsfordeler og ikke mottar direkte markedsføring. Opplysninger om utmeldte medlemmer slettes likevel ikke, men oppbevares i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Virksomheten har ikke klare sletterutiner for loggen over endringer i den enkeltes medlemskap, for eksempel endring av adresse Utmelding ved passivitet Ved passivitet fra medlemmer slettes ikke medlemmer fra selskapets register. Manglende sletting av passive medlemmer er forklart ved at passive medlemmer vil kunne ha opptjent bonus mens de var aktive medlemmer som de kan benytte seg av i 10 år. Passive medlemmer mottar også direkte markedsføring rettet mot medlemmer, og får dermed påminnelser om sitt medlemskap. Virksomheten har selv foretatt en vurdering av at passivitet fra medlemmer ikke skal medføre en ekskludering av medlemmet ved at medlemskapet settes som inaktivt og etter hvert slettes. 4 av 9

7 Sletting av opparbeidet profil Profil på medlemmer opparbeidet med bakgrunn i medlemmets kjøp ble slettet ved første oppdatering av analysedatabasen etter utmelding. Analysedatabasen ble oppdatert hver tredje måned Konklusjon Sletting generelt Virksomheter er som hovedregel selv ansvarlig for å vurdere hvilke opplysninger de er pliktig til å lagre i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Det er likevel ikke slik at alle opplysninger om medlemmer skal lagres i 10 år, selv om virksomheten er forpliktet å lagre noen av dem. Datatilsynet kan ikke se at opplysningene som virksomheten har vurdert at medlemmet kan slette selv, eller kan be kundeservice om å slette, er en type opplysninger som faller inn under lagringsplikten i regnskapslovgivningen. Dette gjelder telefonnummer, e-postadresse, utgått bankkontonummer, bonusavtaler, person to i husstanden og samtykke til kommunikasjon på produktnivå. Virksomheten er ansvarlig for å vurdere om også andre opplysninger som er registrert om medlemmer ikke er lagringspliktig av hensyn til bokføringsplikten i regnskapslovgivningen. Det vises til rapportens Videre kan ikke tilsynet se at oppbevaring av all endringshistorikk knyttet medlemskapet er nødvendig for å ivareta formålet med behandlingen, jf personopplysningslovens 11 bokstav e. Lagring av samtlige opplysninger om alle medlemmer i 10 år er et avvik fra personopplysningslovens 28. Manglende rutiner for sletting er avvik fra kravet om internkontroll etter personopplysningslovens 14, jf Utmelding ved passivitet Datatilsynet ser det som naturlig at rammene for løpende kundeforhold 1 legges til grunn hvor medlemmet ikke lengre velger å fornye medlemskapet. Hvorvidt det passive medlemmet har disponibel bonus tilgjengelig vil være naturlig å legge til grunn i en konkret vurdering om når et medlem bør anses som utmeldt. Datatilsynet slutter seg med andre ord ikke til virksomhetens vurdering om at passive medlemmer ikke meldes ut. Manglende vurdering for tidspunkt for utmelding og manglende rutiner for gjennomføring av utmelding ved passivitet er et avvik fra krav om internkontroll etter personopplysningslovens 14. Behandling av opplysninger passive medlemmer som regnes som utmeldt må behandles etter de reglene som fastsettes for utmeldte medlemmer, jf. rapportens Se blant annet Datatilsynets notat Direkte Markedsføring, tilgjengelig fra 5 av 9

8 Sletting av opparbeidet profil Ingen avvik avdekket. 6.3 Innsyn for den registrerte Krav i regelverket Enhver har rett til innsyn i informasjon om de behandlinger av personopplysninger en virksomhet foretar i samsvar med personopplysningslovens ledd. Den registrerte har etter ledd i tillegg rett til innsyn i hvilke opplysninger om den registrerte som behandles Funn Virksomheten opplyste at medlemmer kan få innsyn i opplysninger om seg selv enten ved å logge seg inn på Min side på virksomhetens nettsider, eller ved å henvende seg til kundeservice. Medlemmene ville da få innsyn i opplysninger de selv registrerte ved innmelding, som kontaktinformasjon og samtykke til direkte markedsføring, samt opplysninger om opptjent bonus. Medlemmer gis umiddelbart ikke innsyn i detaljert kjøpshistorikk eller i analysen virksomheten har foretatt av medlemmenes handlingsmønster, herunder hvilken butikk medlemmet handler mest på og hvilken kategori medlemmet kategoriseres under Konklusjon At medlemmer ikke gis innsyn i alle opplyninger som er registrert om dem er at avvik fra retten til innsyn i personopplysningslovens ledd. Avviket knyttes til manglende innsyn i opplysninger kjøpshistorikk og medlemmets profil. Manglende rutiner for innsyn er avvik fra kravet om internkontroll etter personopplysningslovens 14, jf ledd. Det bemerkes at det vil ivareta lovens krav dersom en generell forespørsel om innsyn besvares med de opplysninger de er naturlig å anta at den registrerte ønsker innsyn i. Dette forutsatt at det gis eksplisitt informasjon om at det finnes andre registrerte opplysninger av gitt karakter, og at det fremgår at den registrerte har rett til innsyn også i disse opplysningene. 6.4 Informasjonsplikt Krav i regelverket Personopplysningslovens 19 slår fast at den registrerte skal informeres om en rekke forhold når det samles inn opplysninger fra den registrerte selv. Dette gjelder bl.a. formålet med behandlingen og om opplysningene blir utlevert til andre. Personopplysningslovens 20 krever at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv av eget tiltak skal informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i 19. Det er i bestemmelsen gjort enkelte unntak fra informasjonsplikten. 6 av 9

9 6.4.2 Funn Informasjon om lagring etter regnskapslovgivningen Dersom et medlem ønsker å melde seg ut, settes medlemskapet som inaktivt i virksomhetens registre. Medlemmet får et brev fra Trumf AS der det står at opplysninger om vedkommende slettes Det fremkommer derfor ikke for medlemmet at opplysninger om vedkommende ikke slettes, men at det bare foretas en statusendring i registeret og opplysningene lagres videre i 10 år av hensyn til bokføringsplikten i regnskapslovgivningen. Heller ikke de passive medlemmene får noen informasjon om hva som på sikt skjer med deres medlemskap og personopplysninger. Ved innmelding gir ikke medlemsvilkårene noen avklaring med hensyn til hva som skjer med medlemmets personopplysninger ved aktiv utmelding eller passivitet Informasjon om bruk av opplysninger til analyse Det fremkommer verken av Min side eller av informasjonen som gis av kundeservice at virksomheten også innhenter og behandler opplysninger om kunder i forbindelse med en analyse av kundens handlingsmønster Konklusjon Informasjon om lagring etter regnskapslovgivningen 2 Det anses som et avvik fra personopplysningslovens 19 om informasjonsplikt at medlemmet ikke gis tilstrekkelig informasjon om hva som skjer ved utmelding eller vedvarende passivitet. Det vil være naturlig at informasjonen gis i medlemsvilkårene, samt i rutinemessig utsendt materiale for eksisterende medlemmer. Det er et unntak fra varslingsplikten for opplysninger som det er på det rene at den registrerte kjenner til, herunder antatt lovpålagte behandlinger av personopplysninger som bokføringer. Likevel ser Datatilsynet det som nødvendig at det gis informasjon om at opplysninger innsamlet for et formål også vil innebære en senere lovpålagt oppbevaring. Dette kan for eksempel løses ved at det i personvernpolicyen opplyses at deler av medlemskapsinformasjonen også vil inngå i en lovpålagt oppbevaring etter regnskapslovgivningen Informasjon om bruk av opplysninger til analyse Medlemmer har i henhold til personopplysningslovens 19 krav på informasjon om at behandlingsansvarlig behandler deres personopplysninger for analyseformål og kategorisering. 2 Etter kontrollen oversendte virksomheten en revidert informasjon som sendes medlemmer som melder seg ut. Informasjonen er her korrigert slik at det går frem at noe informasjon vil bli laget etter regnskapslovgivningen. Avviket er derfor delvis lukket. 7 av 9

10 6.5 Databehandlerrelasjoner Krav i regelverket Personopplysningslovens 15 oppstiller krav om at den behandlingsansvarlige skriftlig må avtale med databehandlere hvorledes disse skal behandle personopplyninger på vegne av den behandlingsansvarlige. Opplysningen kan ikke overlates til andre for lagring eller bearbeidelse uten slik avtale. 6.6 Funn Virksomheten hadde flere databehandlere. Rollen til Nets ble gjennomgått, og avtale med Nets ble oversendt etter kontrollen. Nets drifter betalingsterminalen for virksomhetene i Norgesgruppen. Nets opererer også som en databehandler for Trumf AS ved at Nets har en oversikt over kontonumre som er knyttet til Trumf. Ved korthandel i en av Norgesgruppens butikker kontrollerer Nets om det benyttede kontonummeret for en debethandel er knyttet til Trumf. Dersom dette er tilfellet kommuniserer Nets summen av handelen til Trumf. Ved kjøp av varer hvor Trumf kortet trekkes i kassen (kontant og ikke-registrerte debetkort), går også kommunikasjonen via Nets til Trumf for bergning av bonus. En gjennomgang av avtalen mellom Norgesgruppen Forbrukeservice AS og BBS (nå Nets) viste at denne ikke omtalte roller etter personopplysningsloven slik det forventes av en avtale mellom behandlingsansvarlig og databehandler etter personopplysningslovens 15. Avtalen regulerte for øvrig taushetsplikt og hvordan oppdraget skulle gjennomføres Konklusjon Datatilsynet vurderer at Nets er en databehandler for Trumf AS ved å lagre informasjon om medlemmer, samt å selektere transaksjoner gjennomført medlemmer for deretter å kommunisere informasjon om transaksjonen til Trumf. Det anses som et avvik fra personopplysningslovens 15 om databehandlere at det ikke går klart frem at Nets behandler personopplysninger på vegen av Trumf AS som databehandler, og at det ikke går frem hvilke plikter Nets har etter personopplysningsloven. Det bemerkes at avtalen forøvrige fremstod som hensiktsmessig. 6.7 Melde- og konsesjonsplikt Behandling av personopplysninger om selskapets kunder er unntatt fra meldeplikt i henhold til personopplysningsforskriftens 7-7. Området ble ikke nærmere behandlet. 6.8 Internkontroll og informasjonssikkerhet Krav i regelverket Personopplysningslovens 14 stiller krav om at virksomheten skal holde vedlike planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av personopplysningsloven. Virksomheten skal dokumentere tiltakene. Dokumentasjonen skal 8 av 9

11 være tilgjengelig for medarbeiderne. Kravene til internkontroll er utdypet i personopplysningsforskriftens kapittel 3. Kravet til internkontroll omfatter også nødvendig sikkerhetsdokumentasjon Funn Merknader knyttet til internkontroll for å sikre etterlevelse av konkrete plikter er behandlet løpende i rapporten. Før kontrollen oversendte virksomheten en ryddig dokumentasjon om ivaretakelse av pliktene etter loven. En systematisk oversikt over behandlinger og behandlingsgrunnla ble ikke fremlagt. Virksomheten hadde imidlertid overordnende vurderinger knyttet til kontrollens tema i øvrig oversendt dokumentasjon Konklusjon Det konstateres ikke generelle avvik knyttet til internkontroll og informasjonssikkerhet. Enkeltavvik knyttet til internkontroll er tidligere omhandlet. Det legges til grunn at virksomheten på selvstendig grunnlag utøver et kontinuerlig forbedringsarbeid i samsvar med krav til informasjonssikkerhet og internkontroll etter personopplysningslovens 13 og 14. Det bemerkes at virksomheten har et forbedringspotensial på den styrende delen av internkontrollen. Det vises i den sammenhengen til Datatilsynets veiledningsmateriale på 7 Andre forhold 7.1 Analyse av kjøp uten Trumf medlemskap Det gikk frem at varekjøp som ikke var knyttet til Trumfmedlemmer også ble sammenstilt og analysert i Norgesgruppen. Dette ble opplyst å foregå hos virksomheten Sylinder (del av Norgesgruppen). Det ble her opplyst at kjøp som var gjennomført med samme bankkonto ble knyttet sammen for analyseformål ved hjelp av et kryptert kontonummer. Behandlingen fant ikke sted hos Trumf AS eller ble ikke vurdert å være under Trumf AS sitt ansvar. Datatilsynet vurderer å følge dette opp med den aktuelle virksomheten. 9 av 9