Endelig kontrollrapport
|
|
- Britt Alexandra Didriksen
- 8 år siden
- Visninger:
Transkript
1 Saksnummer: 12/00753 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Statens vegvesen Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning Datatilsynet gjennomførte kontroll hos Statens vegvesen Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger ved bruk av kjennemerkegjenkjenningssystem, i forbindelse med Statens Vegvesens kjøretøykontroll. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Arne Valdemar Nielsen, seksjonsleder - Silje Aalund, Teamleder for Kontrollteamet - Tor Aksnes, sjefingeniør - Lene Gjengedal Hansen, førstekonsulent 2.2 Fra Datatilsynet: - Cecilie L.B. Rønnevik, fagdirektør - Atle Årnes, fagdirektør teknologi 3 Generelt Automatiske kjennemerkegjenkjenning er et relativt nytt hjelpemiddel, som i de senere årene er tatt i bruk av både veimyndighetene, Tollvesenet og politiet. Datatilsynet har hatt mange enkelthenvendelser fra privatpersoner, med spørsmål om hva slags behandling som skjer ved bruk av slik teknologi, og hvorvidt den er lovlig. Personopplysningsloven er teknologinøytral. Det innebærer at valg av teknologi i utgangspunktet er uten betydning ved vurderingen av om en behandling er lovlig i henhold til personopplysningslovens bestemmelser. Kjennemerkegjenkjenning medfører en imidlertid en betydelig effektivisering av kontrollaktiviteten, som kan medføre at det totale overvåkningstrykket for den enkelte øker. Datatilsynet er også opptatt av at innføring av 1 av 12
2 denne teknologien fort vil medføre en utvidet behandling av personopplysninger, for eksempel at opplysningene lagres og blir gjenstand for ny bruk. I august og september 2009 var Statens vegvesen og Datatilsynet i dialog vedrørende Statens vegvesens planer om å bruke automatisk avlesing av kjennemerker i forbindelse med utvelgelse av biler for manuell kontroll. Datatilsynet tok den gang til etterretning at det beskrevne system for kjennemerkegjenkjenning kun benyttes i forbindelse med utvelgelse av biler for konkret fysisk/manuell kontroll ved vei, jf. brev av 16. september 2009 til Statens vegvesen. Det ble tatt til etterretning at det ikke lagres opplysninger om biler som ikke stoppes ved kontrollen. Systemet skulle lagre opplysninger om biler som faktisk ble stoppet i en time. I en henvendelse den 5. oktober 2009 ytret Statens vegvesen et ønske om også å bruke kjennemerkegjenkjenningssystemet til å målrette informasjonskampanjer mot målgrupper, eksempelvis ungdom (18-25 år). Datatilsynet ba i e-post av 12. oktober 2012 om at saken skulle fremmes for ordinær saksbehandling i tilsynet, da tilsynet i utgangspunket var negativ til denne typen bruk. Det ble ikke fremmet sak. Den 29. mai 2012 fremmet Statens vegvesen på nytt en utvidelse av bruken av kjennemerkegjenkjenningssystemet overfor Datatilsynet. Denne gang var det et ønske om å utvide ordingen på følgende to felt: - stikkprøvekontroll av biler som har vært inne til periodisk kjøretøykontroll, for å kontrollere om verkstedenes overholder sine plikter ved periodisk kontroll. - bruk av automatisk kjennemerkekjennemerkegjenkjenning for å finne og kontrollere vognkort data mot aktuelle kjøretøy Datatilsynet har gjennomført en kontroll med bruk av kjennemerkegjenkjenningsteknologi hos Tollvesenet, med saksnummer 12/ Kort om bruk av personopplysninger samt formålet med behandlingene Under kontrollen framkom det at etaten benytter denne teknologien for to formål. 4.1 Kjøretøykontroll jf vegtrafikklovens 16 Vegvesenet opplyser at de benytter kjennemerkegjenkjenningssystemet som et hjelpemiddel i forbindelse med kjøretøykontroll. Dette skjer ved at systemet leser kjennemerket på kjøretøy som er i trafikken. Opplysningene knyttet til det aktuelle kjennemerket hentes deretter automatisk fra vegvesenets registre (i all hovedsak basert på opplysninger fra Autosys), og presenteres på en skjerm hos en operativ tjenestemann 1. Dersom det fremkommer opplysninger som tilsier det, for eksempel om at kjøretøyet er begjært avskiltet, kan tjenestemannen stoppe kjøretøyet og foreta en mer inngående kontroll. Statens vegvesen 1 En nærmere beskrivelse av selve behandlingen og den tekniske løsningen gis i kontrollrapportens kap 6. 2 av 12
3 har opplyst at mer enn kjøretøy ikke oppfyller vilkårene i vegtrafikklovens 36, og at det derfor er behov for å målrette deres kontrollvirksomhet. Datatilsynet vurderer det slik at denne type kjøretøykontroll medfører behandling av personopplysninger. I all hovedsak vil det bli behandlet opplysninger om den som er registrert eier av kjøretøyet i Autosys. Behandlingen vil imidlertid også generere nye opplysninger om den som er fører av bilen når kontrollen skjer og eventuelle passasjerer. Det vises til at det bildet som tas i forbindelse med kontrollen ikke begrenser seg til kjennemerket, men ofte hele kjøreøyet. Det er dels begrunnet i tekniske hensyn, men også i behovet for at fargen på kjøretøyet skal kunne holdes opp mot registrerte opplysninger. Selv om kvaliteten på bildet er dårlig, mener tilsynet at det i kombinasjon med kjennemerket i mange tilfeller vil være tilstrekkelig for å identifisere den aktuelle føreren og eventuelle passasjerer. Det må derfor legges til grunn at behandlingen kan medføre en behandling av personopplysninger om disse. 4.2 Statistikk Vegvesenet opplyser at kjennemerkegjenkjenningssystemet også benyttes for å lage statistikk. I dag er det to steder i landet hvor kameraer er i kontinuerlig drift, uten at det foreligger en kontrollsituasjon. Da skjer behandlingen for statistikkformål alene. Formålet er blant annet å skaffe opplysninger for å allokere kontrollressursene til tider hvor det erfaringsmessig er en høy treffprosent. Opplysningene behandles her likt som for kjøretøykontroll. Leste kjennemerker med treff oppbevares i 1 time, før det automatisk slettes. I henhold til vegvesenets forklaringer legges det til grunn at kjennemerker uten treff saneres automatisk og umiddelbart etter at statistikk er oppført. Statistikk over antall leste kjennemerker, antall kjennemerker med treff, antall treff med forskjellige grunner, fordelt på installasjonssted formidles tilbake til distribusjonsmaskin inne hos Vegdirektoratet. Datatilsynet vurderer det slik at det også i denne forbindelse behandles personopplysninger, på samme måte som i en kontrollsituasjon, og at personopplysningsloven kommer til anvendelse. 5 Ansvarsforholdene Datatilsynet legger til grunn at Statens vegvesen, ved regionveikontoret, er behandlingsansvarlig etter personopplysningsloven 2 nr 4 for veimyndighetenes behandling av personopplysninger i forbindelse med kjøretøykontroller. Det vises i den forbindelse til vegtrafikkloven Det fremkom under kontrollen at Statens vegvesen også behandler opplysninger på vegne av Tollvesenet, som benytter tilsvarende system for egne kontrollformål. Oppdraget består i å 2 Tilsvarende vil politiet bli behandlingsansvarlig for sin behandling av personopplysninger etter nevnte bestemmelse 3 av 12
4 lage et register, bestående av et uttrekk fra Autosys og påført opplysninger fra Tollvesenets egne registre. Det legges til grunn at dette medfører en behandling av personopplysninger, og legger til grunn at Vegvesenet i denne forbindelse er å anse som en databehandler, jf personopplysningsloven 2 nr 5. Det kunne imidlertid ikke legges frem en databehandleravtale, som ga veimyndighetene rettslig grunnlag for å behandle personopplysninger på vegne av Tollvesenet, jf personopplysningslovens 15. Det fremkom under kontrollen at systemet er levert av TC Connect as, Oslo. Med bakgrunn i vegvesenets redegjørelse av 25. februar 2013 legger Datatilsynet til grunn at TC Connect ikke behandler personopplysninger på vegne av vegvesenet. 6 Oppbyggingen av løsningen Statens vegvesen legger inn en forhåndsdefinert liste over hvilke kjennemerke som skal avstedkomme et varsel til kontrollørene. Listen er i hovedsak basert på opplysninger fra Autosys. Det kan i tillegg angis at andre kjennemerker enn de som har relevante merknader i Autosys også skal avstedkomme tilsvarende varsel. Det var for eksempel lagt inn kjennemerker for kjøretøy som er meldt stjålet. 6.1 Kjøretøy av interesse - KAI KAI listene som benyttes i dag fordeles på følgende «grunn for at de kommer på listen» jf. vegtrafikkloven 36 Aktiv mangellapp (kjøretøy er ikke fremstilt for kontroll etter at tidligere mangel er påvist og pålagt utbedret) Ikke kontrollert (det er ikke innrapportert at kjøretøyet har gjennomgått periodisk kjøretøykontroll innen fastsatt frist) Ikke omregistrert (kjøretøyet er rapportert å være solgt, men det er ikke registrert noen kjøper som overtar ansvaret for kjøretøyet.) Annen årsak (kjøretøy som det er nedlagt bruksforbud for etter vegtrafikklovens 36) Stjålet Kjøretøy som er utført av landet Manglende forsikring (at det ikke er registrert noe forsikringsselskap som forsikrer kjøretøyet) Skyldig årsavgift Skyldig vektårsavgift KAI listene inneholder følgende informasjon i dag: Registreringsnummer Grunn for begjæring Farge på kjennemerke: Hvit, grønt, rødt, blått Kjøretøygruppe: tallkode Kjøretøygruppe: beskrivende tekst Merke: tallkode Merkenavn: tekst 4 av 12
5 Modell: tekst Farge på kjøretøy Registreringsdato: dato for registrering i Norge Begjæringsdato: dato for når gjeldende grunn ble registrert Kommunenummer: kommunenummer for hvor kjøretøy er registrert Målgrupper Statens vegvesen opplyser å ha erfart, etter ca. 2 års bruk av systemet, at den største gruppen av kjøretøy det gis varsel på, er lette kjøretøy. Kjøretøy eid av privatpersoner har derved blitt utvalgt for kontroll i større grad enn tidligere. De opplyser videre at kjøretøyene som kontrolleres (kjøretøyene med mangler) i dag er fra en bredere representasjon av bilparken enn tidligere. Dette kan tilskrives at systemet ikke skiller mellom ny eller gammel bil, eller andre visuelle forhold. Kjennemerkegjenkjenningssystemet kan derfor sikre likebehandling i større grad enn tidligere, da utvelgelsen ble basert på kontrollørens vurderinger alene Grunnlaget for «Hot List» Statens vegvesen er ansvarlig for motorvognregisteret (Autosys), som er myndighetenes register over alle norske kjøretøy. Et kjøretøy med anmerkninger, generert som følge av et vilkår oppstilt i vegtrafikkloven 36, fremkommer i motorvognregistret. Kl 19:45 hver virkedag, gjøres et uttrekk fra Autosys, der alle begjærte kjøretøy listes ut (begjæringsliste). Denne danner grunnlaget for «Hot List» i kjennemerkegjenkjenningssystemet. Begjæringslisten prosesseres, og gis et format som det automatiske kjennemerkegjenkjenningssystemet kan importere. I denne prosessen gjøres begjæringslisten om til ni lister, der hver liste representerer en begjæringsgrunn Kamerasystemet som benyttes Kamerasystemet som benyttes er levert av TC-Connect i henhold til en tjenesteavtale. Anleggene er underlagt serviceavtale med leverandøren, som har det løpende ansvaret for at anleggene fungerer i henhold til avtalen. Ved leveranse av nye anlegg, gjøres en kvalitetskontroll for hvert av anleggene, i henhold til en fastlagt kvalitetsprosedyre. Sletterutinene for bilder er blant de sjekkpunktene som leverandør gjennomgår før enhetene leveres til Statens vegvesen. Ved treff i KAI må grunnen til treff angis (dette kommer fra listen over kjøretøy av interesse). Leste kjennemerker uten treff i liste over kjøretøy av interesse, blir etter det opplyste slettet øyeblikkelig etter at det er lest og kontrollert. Leste kjennemerker med treff i liste over kjøretøy av interesse, beholdes bilde i inntil 1 time for å muliggjøre en nærmere kontroll. Deretter blir det automatisk slettet. Statistikk over antall leste kjennemerker, antall kjennemerker med treff, antall treff med forskjellige grunner, fordelt på installasjonssted (også kjøretøy) formidles tilbake til distribusjonsmaskin i Vegdirektoratet i Oslo forbindelse med synkronisering av lister. 5 av 12
6 6.1.4 Mobile installasjoner Statens vegvesen har i dag 23 mobile anlegg i drift. Disse er montert i tjenestebiler ved de fem operative regionene i Statens vegvesen, og kan i prinsippet settes i drift hvor som helst på det norske veinettet. De mobile enhetene vil kun lagre opplysninger når de benyttes for utvelgelse av biler for kontroll. Informasjon om de biler som skal tas ut for kontroll lagres på kontrollpunktet i 60 minutter. Kjennemerker hvor alt er i orden lagres ikke, men blir stående i oversiktsbildet til antall kjennemerker som er lest overskrives. Det er dette som vises visuelt. Med bakgrunn i vegvesenets redegjørelse av 25. februar 2013 legger Datatilsynet til grunn at det i en normal driftssituasjon ikke lagres bilder i kameraene. I en feilsituasjon, hvor kameraene ikke får videresendt bilder, vil det allikevel lagres inntil 200 bilder. Disse slettes umiddelbart etter at feilen er rettet og bildene er sendt videre Faste installasjoner Statens vegvesen har også to faste installasjoner. Disse følger i hovedtrekk de samme rutinene for bestillinger, og rutiner for dokumentasjon og konfigurasjon. De faste installasjonene er: Taraldrud Kontrollstasjon øst for Oslo Sandmoen Kontrollstasjon (Klætt krysset) Sør for Trondheim De to faste installasjonene er kontinuerlig aktive. Dette ble i utgangspunktet gjort for å generere statistikk når de ikke ble brukt for kontroll. Dette betyr at kameraet tar bilde av kjøretøyet og skiltet. Dette blir prosessert og kan gi grunnlag for følgende opplysninger: Registreringsnummer Grunn for begjæring Farge på kjennemerke (hvitt grønt, rødt, blått) Kjøretøygruppe: (tallkode) Kjøretøygruppe: (beskrivende tekst) Merke: (tallkode) Merkenavn: tekst Farge: farge på kjøretøy Registreringsdato: dato for registrering i Norge Begjæringsdato: dato for når gjeldende grunn ble registrert Kommunenummer: kommunenummer for hvor kjøretøy er registrert. Med bakgrunn i vegvesenets redegjørelse av 25. februar 2013 legger Datatilsynet til grunn at det i en normal driftssituasjon ikke lagres bilder i kameraene. I en feilsituasjon, hvor 6 av 12
7 kameraene ikke får videresendt bilder, vil det allikevel lagres inntil 200 bilder. Disse slettes umiddelbart etter at feilen er rettet og bildene er sendt videre Varsling Felles for all bruk, er at kontrollen varsles med trafikkskilt av typen 558 (Videokontroll). Det brukes ikke underskilt. 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 7.1 Ansvarsforhold Det fremstod på kontrolltidspunktet uavklart hvorvidt Vegvesenet er en databehandler for Tollvesenet, og hvorvidt TC Connect er en databehandler for Vegvesenet. Vegvesenet må avklare ansvarsforholdene og eventuelt inngå avtaler i tråd med personopplysningslovens Rettslig grunnlag for behandling av personopplysninger Det følger av personopplysningsloven 11 første ledd bokstav a at det bare er adgang til å behandle personopplysninger dersom det foreligger et rettslig grunnlag for det etter personopplysningslovens 8. Datatilsynet legger til grunn at det ikke behandles sensitive personopplysninger i denne forbindelse, og at de skjerpede kravene i 9 ikke kommer til anvendelse Kontrollformål Statens vegvesen har anført at det har hjemmel i vegtrafikklovens 10 og 19 til å behandle angjeldende personopplysninger for å gjennomføre kjøretøykontroll. Datatilsynet slutter seg i all hovedsak til dette, men stiller spørsmål ved veivesenets kompetanse til å utøve myndighet i tilfeller hvor det fremkommer opplysninger om at et kjøretøy er meldt stjålet. Dersom etaten ikke har kompetanse til å gjennomføre en kontroll med bakgrunn i denne opplysningen, kan det stilles spørsmål ved om den er relevant og nødvendig i en kontrollsituasjon. Datatilsynet imøteser veivesenets merknader til dette. Datatilsynet vil også bemerke følgende: Umiddelbart synes det for Datatilsynet som om 10 gjelder for trafikkontroll, mens 19 gjelder for kjøretøykontroll. Vegtrafikklovens 19 om kjøretøykontroll gir hjemmel for veimyndighetene til å utarbeide en forskrift som nærmere regulerer etatens gjennomføring av tilfeldig og uanmeldt kontroll langs veien (bestemmelsens annet ledd, siste setning). Den forskriften som er etablert etter nevnte hjemmel gjelder imidlertid kun for tunge kjøretøy. Datatilsynet kan vanskelig se at en forskrift som er gitt med hjemmel i vegtrafikklovens 10 kommer til anvendelse for annet enn trafikkontroller, men nøyer seg her med å anbefale at det etableres en forskrift med hjemmel i lovens 19 som nærmere regulerer tilfeldig og uanmeldt kjøretøykontroll av lette kjøretøy. 7 av 12
8 7.2.2 Statistikkformål At det kontinuerlig foretas en identifisering av biler som passerer punkter i veisystemet er først og fremst et inngrep i førerens og eventuelle passasjerers personvern, idet det genereres opplysninger om hvor disse har vært på et gitt tidspunkt. Videokontrollen for statistikkformål lagrer opplysninger om alle kjøretøy som passerer, i inntil en time. Det foreligger etter tilsynets vurdering ingen lovhjemmel som eksplisitt gir veimyndighetene adgang til å behandle personopplysninger for statistikkformål. Datatilsynet har derfor vurdert hvorvidt behandlingen kan hjemles i en av interesseavveiningene i personopplysningslovens 8. Tilsynet mener at alternativet i litra e ikke er anvendelig, da det ikke er naturlig å se på det å generere statistikk som en del av tradisjonell myndighetsutøvelse. Datatilsynet legger til grunn at det å generere statistikk, for det formål å planlegge egen virksomhet er en berettiget interesse for veimyndighetene. Det er imidlertid vanskelig å vurdere hvor tungtveiende denne interessen er. Tilsynet ber derfor om at veivesenet belyser hvilket behov som foreligger for denne statistikken, herunder om tilfredsstillende statistikk kan genereres på andre måter. Tilsynet kan uansett ikke se at det er nødvendig med en times behandling av opplysningene for å generere statistikk. Slik tilsynet ser det bør det være mulig å generere statistikken nokså umiddelbart etter at det er gjort oppslag i nevnte registre, for deretter å slette/anonymisere også opplysningene om de bilene som genererer et treff. Slik umiddelbar sletting bør da utføres i alle systemets elementer, som for eksempel i kameraer. Datatilsynet ber om at veivesenet opplyser i hvilken grad behandlingstiden kan reduseres i de periodene hvor det genereres statistikk. Forutsatt at behovet for den aktuelle statistikken er tungtveiende, at behandlingstiden begrenses til det som er nødvendig for å vareta statistikkformålet, og derved reduseres betraktelig i forhold til dagens praksis, anser Datatilsynet at behandlingen vil kunne ha rettslig grunnlag i personopplysningslovens 8 litra f Konklusjon Det foreligger hjemmel i lov for vegmyndighetens behandling av personopplysninger i forbindelse med kjøretøykontroll. Datatilsynet imøteser ytterligere opplysninger vedrørende den behandlingen som skjer til statistikkformål, før det konkluderer endelig i spørsmålet om hvorvidt det foreligger et rettslig grunnlag i personopplysningslovens 8 litra f. 7.3 Informasjonsplikt Personopplysningsloven 19 og 20 pålegger den behandlingsansvarlige en plikt til å informere den registrerte om følgende forhold: navn og adresse på den behandlingsansvarlige og dennes eventuelle representant 8 av 12
9 formålet med behandlingen om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker hvorvidt det er frivillig å gi fra seg opplysningene annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og Kontrollformålet Opplysninger om registrert eier Datatilsynet legger til grunn at opplysningene samles inn i medhold av personopplysningslovens 20. Det vises til at identiteten hentes fra kjennetegnet på bilen, mens de øvrige opplysningene hentes fra etatens registre. Opplysningsplikten gjelder ikke for behandling som er uttrykkelig fastsatt i lov, jf 20 annet ledd litra a. Datatilsynet har lagt til grunn at den behandling av personopplysninger som skjer i forbindelse med kontrollvirksomheten er hjemlet i lov, nemlig vegtrafikklovens kapittel 3. Kravet til unntak fra informasjonsplikt er etter sin ordlyd strengere enn lovkravet i personopplysningslovens 8 og 9, idet behandlingen må være uttrykkelig regulert. Samtidig skal det ved vurderingen av unntaket i 20 gjøres en forholdsmessighetsvurdering, basert på hvor inngripende den aktuelle behandlingen er. Jo mer inngripende en behandling er, desto mer skal det til for å unnta fra informasjonsplikten. Datatilsynet har etter en konkret vurdering kommet til at det ikke foreligger informasjonsplikt til registrert eier 3 av bilen, idet behandlingen anses å være uttrykkelig hjemlet i vegtrafikkloven. Det er lagt vekt på at opplysningene om kjøretøyet, som kan knyttes til eier, er i det vesentlige allerede kjent for veimyndighetene. I tillegg er det lagt vekt på at behandlingen har kort varighet jf pkt Opplysninger om fører og passasjer Behandlingen medfører at det genereres nye opplysninger om de kjøretøy hvor det forekommer et treff, nemlig opplysninger om hvor det aktuelle kjøretøyets fører og eventuelle passasjer var på et gitt tidspunkt. Det er naturlig å se det slik at opplysningene hentes inn fra den registrerte selv, basert på dennes handlinger, og at det oppstår informasjonsplikt etter 19. Det betyr at opplysningene som hovedregel skal gis før behandlingen tar til. I henhold til vegtrafikklovens 19 kan vegvesenet gjennomføre kjøretøykontroller uanmeldt. Dette er en særbestemmelse, som etter tilsynets vurdering setter til side plikten til forhåndvarsel etter personopplysningsloven, jf dennes 5. Dette er allikevel ikke til hinder for at opplysningene gis under kontrollen, eller så snart kontrollen er gjennomført. 3 Dersom registrert eier er fører eller passasjer gjelder pkt tilsvarende 9 av 12
10 Når det iverksettes en kjøretøykontroll ved bruk av kjennemerkegjenkjenningssystem setter veimyndighetene opp skilt 558 videokontroll. På de faste kontrollpunktene står skiltet fastmontert. Ved kontroll langs vei vil tjenestebilen være utstyrt med et tilsvarende skilt. I tillegg forekommer det at skiltet settes opp langs den veien hvor kontrollen gjennomføres. Selv om det ikke fremgår av skiltet hvem som er behandlingsansvarlig, mener tilsynet at uniformerte tjenestebiler og annen skilting på stedet vil gi supplerende informasjon om dette, i tråd med kravene i personopplysningsloven. Datatilsynet vurderer det imidlertid slik at skiltet alene ikke gir tilfredsstillende informasjon om hva slags kontroll man blir utsatt for (om det er en fartskontroll eller annen type trafikkontroll, eller om det er en kjøretøykontroll). Dersom det faktisk skjer en ytterligere kontroll av bilen vil den informasjonen som gis direkte fra tjenestemannen i den forbindelse være tilstrekkelig til å oppfylle informasjonsplikten. For å ivareta informasjonsplikten overfor personer som blir registrert, men ikke underlegges en ytterligere kontroll, må det gis ytterligere informasjon om formålet med kamerabruken. Dette kan løses praktisk gjennom bruk av underskilt, for eksempel med teksten kjøretøykontroll Statistikkformålet Opplysninger om registrert eier Datatilsynet legger til grunn at opplysningene samles inn i medhold av personopplysningslovens 20. Det vises til at identiteten hentes fra kjennetegnet på bilen, mens de øvrige opplysningene hentes fra etatens registre. Informasjonsplikten gjelder allikevel ikke dersom varslig av den registrerte er umulig eller uforholdsmessig vanskelig, jf 20 annet ledd litra b. Datatilsynet vurderer det slik at behandlingen medfører en beskjeden krenkelse av den registrerte eiers personvern. Opplysningene om kjøretøyet, som kan knyttes til eier, er i det vesentlige allerede kjent for veimyndighetene. Det forutsettes at behandlingen har kort varighet, jf forutsetningene i pkt Datatilsynet har derved kommet til at det ikke foreligger plikt til å varsle registrert eier 4 etter 20, jf dennes annet ledd litra b Opplysninger om fører og passasjer Behandlingen medfører at det genereres nye opplysninger, nemlig opplysninger om hvor det aktuelle kjøretøyets fører og eventuelle passasjer var på et gitt tidspunkt. Det er naturlig å se det slik at opplysningene hentes inn fra den registrerte selv, basert på dennes handlinger, og at det oppstår informasjonsplikt etter Dersom registrert eier er fører eller passasjer gjelder pkt tilsvarende 10 av 12
11 Når det kjennemerkegjenkjenningssystemet brukes for statistikkformål, på de faste kontrollpunktene, blir man informert gjennom skiltet 558 videokontroll. Selv om det ikke fremgår av skiltet hvem som er behandlingsansvarlig, mener tilsynet at dette til en viss grad kan utledes av plasseringen. Datatilsynet vurderer det imidlertid slik at skiltet og plasseringen ikke gir tilfredsstillende informasjon om hva slags behandling man er gjenstand for, nemlig innhenting av statistikk. Datatilsynet mener derved at det skal gis ytterligere informasjon om hvem som er behandlingsansvarlig og om formålet med den aktuelle kamerabruken. Dette kan løses praktisk gjennom bruk av underskilt. Underskiltet må skille mellom de tilfeller videoanlegget brukes til trafikkontroll og de tilfeller hvor anlegget brukes til statistikkinnhenting. Etter personopplysningslovens 19 skal den registrerte gis informasjon før behandlingen tar til. Dette bør tas hensyn til ved plassering av nevnte skilt, i forhold til plassering av kameraet Konklusjon Det foreligger ikke informasjonsplikt overfor registrert eier av bilen, med mindre denne er fører av eller passasjer i bilen. Fører og eventuell passasjer skal gis informasjon om hvem som er behandlingsansvarlig, og hva slags behandling det er tale om (type kontroll, eventuelt statistikk). Slik informasjon skal gis gjennom skilting på stedet. 7.4 Internkontroll Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også system for avvikshåndtering og nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 2. Tilsynet ønsket en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Under kontrollen kunne det ikke fremlegges dokumentasjon for internkontroll. Datatilsynet anser dette som en mangel i forhold til kravene i personopplysningslovens 14. Etter kontrolltidspunktet er det blitt tilsendt tilsynet systemdokumentasjon. Denne dokumentasjonen er ikke tilstrekkelig dekkende for internkontrollsystemet Konklusjon Virksomheten skal etablere dokumentasjon for internkontroll i henhold til personopplysningslovens av 12
12 7.5 Krav om informasjonssikkerhet I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Virksomheten kunne under tilsynet ikke gjøre rede for nivået for informasjonssikkerhet, for eksempel om tilstrekkelig ivaretakelse av konfidensialitet. Etter kontrolltidspunktet er det blitt tilsendt tilsynet systemdokumentasjon. Denne dokumentasjonen redegjør ikke i tilstrekkelig grad for informasjonssikkerheten Konklusjon Virksomheten skal etablere informasjonssikkerhet i henhold til personopplysningslovens 13, spesielt med tanke på konfidensialitet, risikovurdering og avvikshåndtering, jf. personopplysningsforskriftens kapittel av 12
Endelig kontrollrapport
Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerEndelig kontrollrapport
Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerKontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer
Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerDet vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.
Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets
DetaljerVedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet
Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen
DetaljerKontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø
Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen
DetaljerEndelig kontrollrapport
Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerVår referanse (bes oppgitt ved svar) 12/ /CBR
Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig
DetaljerEndelig kontrollrapport
Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord
Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerVedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011
Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerVedlegg til søknad om konsesjon for behandling av
Vedlegg til søknad om konsesjon for behandling av personopplysninger i henhold til personopplysningsloven (pol.) Paragraf 33 og personopplysningsforskriften (pof.) Sak: Video-overvåking Askøybrua Behandlingsansvarlig:
DetaljerVelferdsteknologi og personvern. Camilla Nervik, Datatilsynet
Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168
DetaljerAvtale mellom. om elektronisk utveksling av opplysninger
Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE
DetaljerForeløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo
- Datatilsynet Saksnummer: 09/01148-3 Dato for kontroll: 13. oktober 2009 Rapportdato: 2. desember 2009 Foreløpig kontrollrapport Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo Utarbeidet
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
DetaljerEndelig kontrollrapport
Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen
DetaljerPERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)
PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerVår referanse (bes oppgitt ved svar)
Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for
DetaljerBruk av sporingsteknologi i virksomheters kjøretøy (april 2016)
Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag... 3
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut
DetaljerVedtak om pålegg - Endelig kontrollrapport for Sømna kommune
Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises
DetaljerAdressemekling. Innhold INNLEDNING AKTØRENE
Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:
DetaljerEU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)
EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION) Hvor er vi nå? Ny personopplysningslov trer i kraft senest 25.5.2018 Ingen «amnestiperiode», virksomheter må være innenfor lovverket
DetaljerEndelig kontrollrapport
Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset
DetaljerEndelig kontrollrapport
Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte
Detaljer14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 01.06.2018 kn 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved NLA Høgskolen. Søknadsweb er knyttet til det studieadministrative
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerEndelig kontrollrapport
Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 06.07.2018 Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved VID vitenskapelige høgskole. Søknadsweb er knyttet til
DetaljerDet vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.
Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune
DetaljerLydopptak og personopplysningsloven
Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...
DetaljerVedtak om pålegg - endelig kontrollrapport
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerEndelig kontrollrapport
Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet
DetaljerPersonvern og kundedata
Personvern og kundedata 19.01.2015 Fra muligheter til begrensninger? MULIGHETENE Hvordan bruke data fra interaksjon med kundene for å få større kundeinnsikt og grunnlag for å forbedre tjenester og produkter?»
DetaljerKort innføring i personopplysningsloven
Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,
DetaljerDatatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.
Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av
DetaljerPersonvernerklæring for EVUweb - søkere
Personvernerklæring for EVUweb - søkere Sist endret: 21.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon som lar deg melde deg på kurs og andre arrangementer og å søke om opptak til Nord universitet.
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/01141 Dato for kontroll: 28.11.2012 Rapportdato: 22.01.2014 Endelig kontrollrapport Kontrollobjekt: Grottebadet AS Sted: Harstad Utarbeidet av: Ragnhild Castberg Stein Erik Vetland 1 Innledning
DetaljerGenerelle regler om behandling av personopplysninger i Eika Forsikring AS
Generelle regler om behandling av personopplysninger i Eika Forsikring AS 1. INNLEDNING Selskapet vil nedenfor gi generell informasjon om sin behandling av personopplysninger. Med personopplysninger forstås
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerEndelig kontrollrapport
Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig
DetaljerKontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu
Saksnummer: 14/01291 Dato for kontroll: 02.12.2014 Rapportdato: 30.03.2015 Kontrollrapport Kontrollobjekt: Telenor Objects AS Sted: Fornebu Utarbeidet av: Camilla Nervik 1 Innledning og bakgrunn for kontrollen
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerKF Brukerkonferanse 2013
KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom
DetaljerPersonvernerklæring for Søknadsweb
Personvernerklæring for Søknadsweb Sist endret: 07.06.2018 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søknad om opptak til studier ved MF vitenskapelig høyskole. Søknadsweb er knyttet til
DetaljerKontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo
Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen
DetaljerBrevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerPersonvernerklæring for Kong Arthur Admin (KA Admin)
Personvernerklæring for Kong Arthur Admin (KA Admin) -for søkere og studenter ved Norsk Gestaltinstitutt Høyskole Sist endret: 27.06.2018 Innhold: 1) Kort om Kong Arthur Admin (KA Admin) 2) Hva er en personvernerklæring?
DetaljerPersonvernerklæring for EVUweb - søkere
Personvernerklæring for EVUweb - søkere Sist endret: 06.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon for påmelding til kurs og andre arrangementer ved MF vitenskapelig høyskole. EVUweb er knyttet
DetaljerBehandlingsansvarlig Daglig leder i Enovate AS er øverste behandlingsansvarlig for personopplysningene vi behandler om deg.
Personvernerklæring i Flexite!Fire Enovate AS behandler personopplysninger i Flexite!Fire i forbindelse med registrering av kompetanse, opplæring, øvelser, og uønskede hendelser i brannvesenet. Dette registreres
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerBEHANDLING AV PERSONOPPLYSNINGER
BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3
Detaljer