Endelig kontrollrapport

Transkript

1 Saksnummer: 11/00589 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Bring Dialog Norge AS Sted: Oslo Utarbeidet av: Helge Veum Aslaug Bendiksen 1 Innledning Datatilsynet gjennomførte kontroll hos Bring Dialog Norge AS (Bring Dialog) den 29. juni Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var i hovedsak virksomhetens behandling av personopplysninger i forbindelse med virksomhetens adresseformidling og adressevask. Kontrollen ble gjennomført ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket ket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Når kunde omtales i denne rapporten menes virksomheter som er kunder av Bring Dialog. De registrerte i kundenes kontaktregister eller leide adresseregister register omtales som registrerte. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Arild Horsberg, administrerende direktør (kontrollens innledning) - Gry E. Arnesen, direktør presisjon - Egil Nygaard, systemutvikler/database - Erik Poppe, analyseansvarlig - Sten-Are Storsveen, systemdirektør 2.2 Fra Datatilsynet: - Aslaug Bendiksen, seniorrådgiver - Helge Veum, senioringeniør 3 Generelt Bing Dialog et selskap spesialisert på kundedialog og CRM, og er en aktør i markedet for kundeprosesser og outsourcing av kundeprosesser. Selskapet er heleid av Posten Norge AS. Adressetjenestene finner sted i virksomhetens avdeling kalt Presisjon. Virksomheten er tidligere kjent som talk2me og CDG Sandberg. Konsumentdatabasen som ligger til grunn for adresseringstjenestene har opprinnelse tilbake til 2001 ved etableringen av 1 av 13

2 basen til CDG Sandberg. CDG Sandberg ble senere ble kjøpt av Posten Norge AS og overført til Bring Dialog fra september Tjenestene virksomheten leverer innen adressering er a) utleie av adresser (adresseformidling), b) vask og ajourhold av kundenes kundeliste (adressevask) og c) analyse av kunders data. Under kontrollen hadde Datatilsynet fokus på de to førstnevnte områdene adresseformidling og adressevask, heretter adresseringstjenester hvor de omtales samlet. Virksomheten drev i særdeles liten grad med tradisjonell adressemekling (maks 1-2 oppdrag per år). Grensedragninger mot nummeropplysningsvirksomhet slik dette forstås etter ekomforskriften er også relevant for kontrollen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene 4.1 Behov for nærmere gjennomgang Med bakgrunn i denne og andre kontrollrapporter knyttet til adresseformidling, adressevask og nummeropplysning ser Datatilsynet behov for å vurdere sektoren mer overordnet og helhetlig på et senere tidspunkt. Dette gjelder blant annet spørsmål knyttet til i hvilken grad enkelte av behandlingene kan sies å ha behandlingsgrunnlag etter personopplysningsloven 8 f). Det følger også naturlig at det føres en dialog med andre fagmyndigheter i en slik prosess. Det tas derfor forbehold om at enkelte punkter i denne rapporten kan bli vurdert annerledes på et senere tidspunkt. For disse punktene er virksomhetens redegjørelse og praksis lagt til grunn for denne kontrollens del. 4.2 Behandlinger av personopplysninger Personopplysningsloven 11 jf. 8 krever et behandlingsgrunnlag for å behandle personopplysninger. De alternative behandlingsgrunnlagene er lovhjemmel, samtykke fra den registrerte eller at bruken er nødvendig for et nærmere angitt formål, jf. bokstav a til f. Innenfor kontrollens fokusområde foregår det to ulike behandlinger av personopplysninger etter Datatilsynets syn, adresseformidling og adressevask. Begge er etter tilsynets forvaltningspraksis vurdert for å være behandlinger som kan ha behandlingsgrunnlag etter personopplysningsloven 8 f) interesseavveining. Datatilsynets vurderinger knyttet til adresseformidling er dokumentert i notatet Adressemekling 1. Bruk av skattelister til markedsføringsformål er omhandlet i Datatilsynets brev av 5. juni Bruk av opplysninger fra Postens adresseregister til adresseformidling og adressevask er omhandlet i Datatilsynets sak 03/ Datatilsynet vurderte her at adresseregisteret ikke 1 Notatet Adressemekling Datatilsynets tolkning med utgangspunkt i personopplysningsloven, november Tilgjengelig på 2 Brev fra Datatilsynet til DM-huset av 5. juni 2001, Datatilsynets referanse 2001/ av 13

3 kunne benyttes til adressemekling, samtidig som opplysningene kunne benyttes for adressevask. Saken ble påklaget til Personvernnemnda som opprettholdt tilsynets vedtak 4, dog med noe endret begrunnelse. I Datatilsynets brev til DM-huset av 5. juni 2001 (2001/1505-2) tok tilsynet stilling til at markedsføring kan hjemles i personopplysningsloven 8 f), og at navn, adresse, anropstjenester (telefon) og fødselsår kan benyttes til dette formålet. Datatilsynet har ikke tidligere tatt konkret stilling til de rettslige rammene rundt behandling av personopplysninger for å tilby adressevask i den form virksomheten her gjør. Adressevask fremstår dels som markedsføringsformål og dels som annet vedlikehold av virksomhetens kundedatabase. Et vesentlig skille er hvorvidt det er påfølgende kontakt med den registrerte slik at informasjonsplikten kan ivaretas. Datatilsynet ser behov for at dette området vurderes nærmere på et senere tidspunkt, hvor også sektoren vurderes helhetlig. For denne sak legges virksomhetens redegjørelse til grunn at det foreligger behandlingsgrunnlag etter personopplysningsloven 8 f) for adresseformidling. Unntak fra dette utgangspunket fremkommer i punkt 5nedenfor. Datatilsynets uttalelser om adressemekling og markedsføring er basert på de faktiske forhold tilbake til starten av 2000-tallet. Adressemeklingsnotatet nevnt ovenfor legger til grunn at det er større eller mindre virksomheter som selger egne adresser til andre etter å ha informert den registrerte om dette. Oppbygging av databaser med store deler av Norges befolkning var slik Datatilsynet forstår tidligere dokumentasjon ikke vurdert. Datatilsynet vil i forbindelse med det oppfølgende arbeidet vurdere om behandlingsgrunnlaget skal vurderes annerledes for slike databaser enn for bokklubben som leier ut sine medlemslister. Rammene for nummeropplysningsvirksomhet er relevant for hvordan opplysninger fra Easy Connect kan benyttes til adresseformidling og adressevask. Post- og teletilsynet har redegjort for dette i notatet Nummeropplysningsvirksomhet nærmere presisering av utleveringsplikten etter ekomforskriften 6-3 5, av 6. januar 2006, samt i brev til Opplysningen AS av 14. februar Det bemerkes også at det er en grensedragning mellom tjenesten adressevask som virksomheten forestår og nummeropplysning som nummeropplysningsvirksomheten forestår. 4.3 Grunndata for adresseringstjenestene Grunndataene for adresseringstjenestene er felles, og finnes i virksomhetens Konsument Masterdatabase (heretter konsumentdatabase). Kilden til dataene er skattelister fra Opplysningene ble oppdatert med ligningsdata til og med ligningsåret Personer som ikke hadde ligning i denne perioden er ikke inkludert i datasettet. Avgrensingen gjelder i hovedsak yngre personer. 3 Spesielt Datatilsynets brev til Posten Norge AS av XX , Datatilsynets referanse 2003/ Tilgjengelig på 4 Personvernnemndas sak 2004/03 tilgjengelig fra 5 Post- og teletilsynets notat av 6. januar 2006, PT s referanse 2005/03868, tilgjengelig fra 6 Post- og teletilsynets brev til Opplysningen AS av PT s referanse 2005/03868, tilgjengelig fra 3 av 13

4 Telefonnummer i datasettet ble tilført med nummeropplysninger fra teleleverandørene. Det er ikke klart når dette ble tilført datasettet, men dette fant sted før Bring Dialog ervervet dette, og trolig nær etableringstidspunktet for datasettet. Ved Bring Dialog blir datasettet løpende oppdatert med personopplysninger fra teletilbyderne (via Easy Connect), det sentrale reservasjonsregisteret ved Brønnøysundregistrene (heretter reservasjonsregisteret), opplysninger om døde fra Folkeregisteret, og fra Postens Postmottakerregister. I tillegg oppdateres registeret ved henvendelser fra den registrerte. I rapportens kapittel 5 gis en nærmere beskrivelse av hvordan data fra de ulike kildene benyttes. Data fra virksomhetens kunder benyttes ikke til å oppdatere virksomhetenes registre. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger - adresseformidling (adressemekling) og adressevask 5.1 Datakilder og bruk av disse Historiske skattelister Krav i regelverket I brev fra Datatilsynet av 5. juni 2001 uttalte tilsynet følgende i forhold til bruk av skattelister til markedsføringsformål: Datatilsynet mener at behandlingsansvarlige også kan behandle opplysninger til markedsføringsformål uten samtykke med hjemmel i personopplysningsloven 8 bokstav f. Dette begrenser seg imidlertid til bruk av opplysninger om navn, adresse, anropsnummer for teletjenester (telefon, elektronisk post og lignende) og fødselsår. Bruk av andre opplysninger enn disse krever samtykke fra den registrerte med hjemmel i personopplysningsloven 8 første ledd. Fram til en endring i likningsloven i 2004 fikk adresserings- og markedsføringsvirksomhet tilgang til opplysninger fra skattelistene gjennom masseutlevering. Likningsloven fra før endringene i 2004 inneholdt ingen bestemmelser om mottakernes bruk av opplysninger fra skattelistene etter at de ble utlevert. Fra høsten 2003 ble det gjort enkelte endringer i betingelsene for masseutlevering. Utleveringen skjedde på vilkår av at opplysninger om skatteyternes fødselsdag og måned samt gateadresse ikke ble publisert i trykte eller elektroniske medier og at utleggingsperioden på Internett ble begrenset til tre uker. Bruken av listene må være i samsvar med personopplysningslovens krav. Mottakerne av skattelistene er selv ansvarlig for at de har rettmessig grunnlag for å behandle personopplysningene og for overholdelse av øvrige krav i personopplysningsloven Funn Virksomhetens konsumentdatabase var basert på historiske skattelister som etter virksomhetens redegjørelse ble vedlikeholdt med hensyn til kvalitet. 4 av 13

5 Konklusjon Likningsopplysninger som ble publisert før innstramningene i 2003/2004 kan benyttes med hjemmel i 11 bokstav a jf. 8 f. Forutsetningen er at det kun benyttes grunndata og at opplysningskvaliteten er bedret slik at kravene i 11 bokstav e kan anses for oppfylt. Datatilsynet legger her til grunn at opplysningene kan brukes både til adresseformidling og adressevask. Det vises imidlertid til foregående merknad om behov for en helhetlig gjennomgang av tjenestene. Det ble ikke konstatert avvik Reservasjonsregisteret Krav i regelverket Vask mot reservasjonsregisteret er hjemlet i markedsføringsloven 12 og reservasjonsregisterforskriften 3. Utlevering kan skje til behandlingsansvarlige som markedsfører direkte og til de som skal oppdatere adresseregistre for direkte markedsførere. Bare opplysninger som er nødvendig for oppdatering av adresseregistre for direkte markedsføring kan utleveres. Opplysninger fra reservasjonsregisteret kan bare brukes til å oppdatere adresseregistre for direkte markedsføring Funn Virksomheten benyttet reservasjonsregisteret til å føre ulike reservasjoner inn i konsumentdatabasen. Innsamlingen av personopplysninger var begrenset til oppdatering av allerede registrerte personer. Adressen i reservasjonsregisteret ble benyttet for å påføre riktig reservasjonskode. Det ble imidlertid ikke samlet inn andre opplysninger enn reservasjonskoder fra reservasjonsregisteret. Der adressen i konsumentdatabasen avvek fra adressen i reservasjonsregisteret, ble det følgelig ikke gjort noe for å endre dette Konklusjon Oppdatering av reservasjoner anses å være i samsvar med formålet med reservasjonsregisteret Easy Connect Krav i regelverket Ekomforskriften 6-3 sier at navn, adresse, telefonnummer og fødselsdato kan utleveres for nummeropplysningsformål. For utlevering til andre formål kan kun navn, adresse og telefonnummer utleveres. Post- og teletilsynet som forvalter ekomforskriften har tidligere uttalt seg om utlevering av masseopplysninger til adresseringsformål. For utlevering til markedsføring og adressevask er utleveringen begrenset til å oppdatere opplysninger som kunden leverer inn. 5 av 13

6 Funn Bring Dialog hadde kjøpt en kopi av basen til Easy Connect, og fikk endringsoppdateringer hver 14. dag. Overføringene omfattet den registrertes fødselsdato. Fra avtalen med Easy Connect under formål følger følgende (Datatilsynets utheving): Partene har inngått avtale om månedlig leveranse av konsument og næringsdata som lagres lokalt hos kunden. Kunden kan benytte data fra leverandøren til følgene formål: Konsumentdata: Vask og ajourhold av eksisterende rekker i kundens databaser og som univers for analyseformål hvor rekker ikke utleveres til andre. Tilflyt av nye rekker i kundens databaser kommer fra andre kilder enn Leverandøren. Produkter som kunden leverer fra sine konsumentdatabaser er: uttrekk/leie av adresser, vask og ajourhold for kunder, oppslag og analyse Konklusjon Etter Datatilsynets vurdering har ikke Bring Dialog anledning til å innhente samtlige oppføringer hos en nummeropplysningsaktør. Bring Dialog har kun mulighet for å kvalitetssikre opplysninger de selv melder inn til Easy Connect. Dette innebærer at virksomheten kun kan få utlevert opplysninger om registrerte de selv har i egen database, og kun for opplysninger de selv melder inn 7. Eksempelvis kan Bring Dialog kun få utlevert telefonnummer til en kunde som de allerede har telefonnummeret til. Har de kun navn og adresse på den registrerte, kan telefonnummer ikke utleveres. Fødselsdato kan uansett ikke utleveres; denne identifikatoren er kun til intern bruk hos nummeropplysningsselskapene. Innhenting av nummeropplysninger utover kvalitetssikring av allerede registrerte opplysninger, er et avvik fra krav om behandlingsgrunnlag etter personopplysningslovens 11 a), jf 8 f). Virksomheten kan ikke påberope seg en berettiget interesse for en behandling som går utover formålet med nummeropplysning. Lagring av personopplysninger virksomheten ikke har behandlingsgrunnlag for, er et avvik fra personopplysningslovens 28. Tilsvarende manglende behandlingsgrunnlag, kan kravet i personopplysningslovens 11 c) om at formålet skal være forenelig med det opprinnelige formålet komme til anvendelse. Det bemerkes at dersom bruken skulle være akseptabel for ett av formålene, vil dette innebære at det ikke kan benyttes et felles register, konsumentdatabase, for de to behandlingene. Det bemerkes også at Datatilsynet har hatt kontroll med Easy Connect AS angående utleveringer av nummeropplysninger 8. 7 Masseforespørsel kategori 2, jf. PT notat av 6. januar av 13

7 Om bruk av opplysninger til analyseformål Av avtalen fremstår det som om nummeropplysninger for enkeltpersoner utleveres til virksomheten for analyseformål. Av virksomhetens oversendte internkontroll fremgår et at personopplysninger ikke benyttes ved analyser, med unntak av hvor disse behandles på vegen av kunde i en databehandlerrelasjon. En slik behandling er heller ikke meldt inn til Datatilsynet. Datatilsynet legger, med bakgrunn i virksomhetens oversendte dokumentasjon, til grunn at nummeropplysninger knyttet til enkeltpersoner ikke benyttes til analyseformål. Det bemerkes at Datatilsynet er spørrende til om en slik praksis ville være i samsvar med regelverket og rammer for bruk av nummeropplysninger Posten Postmottakerregister Krav i regelverket Som nevnt ovenfor har Datatilsynet tidligere kommet fram til at Posten kan benytte sitt Postmottakerregisteret til å vaske adresser for andre med hjemmel i personopplysningsloven 8 f). Det vises for øvrig til rapportens kapittel Funn Bring Dialog oversendte opplysninger om egne kunder til Posten for vask mot mottakerregisteret. Manglende opplysninger ble påført og antatt uriktige opplysninger ble korrigert Konklusjon Da vasken ble gjennomført av Posten, ble det ikke påført opplysninger om andre personer enn det Bring Dialog allerede har i sitt register. Datatilsynet anser at den gjennomførte vasken er i tråd med tidligere retningslinjer fra tilsynet Andre registre Døderegisteret Konsumentbasen blir oppdatert hver 14. dag mot Folkeregisterets døderegister. Opplysninger som innhentes er navn, adresse, fødsels- og dødsdato. Datatilsynet anser slik oppdatering som uproblematisk Matrikkelen Fra matrikkelen innhentes opplysninger for korrigering og oppdatering av skrivemåten for adresser. I tillegg innhentes opplysninger for analyseformål. Sistnevnte vil ikke bli berørt her. Innhenting av opplysninger for korrigering og oppdatering av skrivemåte anses som uproblematisk. 8 Datatilsynets sak 10/ av 13

8 Støtteregistre Det innhentes i tillegg opplysninger fra støtteregistre som posttabeller, gatetabeller og navnetabeller. Sistnevnte benyttes for å anslå kjønn på personen, noe som igjen benyttes bl.a. for å spesialtilpasse markedsføringstiltak. Bruk av posttabeller og gatetabeller anses som uproblematisk. Datatilsynet anser at lagring av opplysninger om kjønn er i tråd med personopplysningsloven 8 f) forutsatt at den registrerte varsles i henhold til personopplysningsloven 21 og gis anledning til å reservere seg mot slik bruk. Dette omhandles nærmere i rapportens Behandling av fødselsdato Krav i regelverket Personopplysningslovens 11 stiller opp grunnkravene ved behandling av personopplysninger, herunder at behandlingen har behandlingsgrunnlag (a), er saklig begrunnet i virksomheten (b), og ikke faller i konflikt det opprinnelige formålet (c). Bruken av fødselsdato vurderes mot krav om behandlingsgrunnlag etter personopplysningslovens 11 a), her om en interesseavveining etter 8 f) kan legges til grunn Funn Virksomheten har fødselsdato i sin konsumentdatabase. Fødselsdato benyttes til å kvalitetssikre egne data mot kildene, samt ved vask av kunders kunderegistre. Det ble oppgitt at de fleste kundene allerede hadde fødselsdato i sine registre, og at dette var en viktig parameter i adressevasken. Dersom kunder ikke hadde fødselsdato ville virksomheten kunne utlevere dette på allerede eksisterende personer i kunderegisteret Konklusjon Datatilsynet har tidligere vurdert at fødselsdato kan benyttes internt i virksomheten, jf. rapportens 4.2 og de der henviste brev til DM-huset og Posten Norge. Intern bruk vil da innebære at kunders adresseregister kan vaskes med fødselsnummer som identifikator. Datatilsynet tar imidlertid høyde for at dette bør vurderes nærmere, jf. foregående kommentarer. En utlevering av fødselsdato til kunder som ikke tidligere har dette i sitt register, vil etter tilsynets syn ikke være i samsvar med personopplysningsloven 11 c). Dersom virksomheten har behov for fødselsdato ser Datatilsynet det som naturlig at dette innhentes direkte fra den registrerte. En interesseavveining etter personopplysningsloven 8f) kan etter tilsynets syn ikke hjemle at en virksomhet innhenter fødselsdato om sine kunder fra andre kanaler enn kunden selv basert på samtykke. Tilsynet legger her rett på individets forventede ønske om å ha kontroll over personopplysninger som registrere. 8 av 13

9 Utlevering av enkeltpersoners fødselsdato til kunder anses som et avvik fra personopplysningsloven 11 a), jf. 8 f). Tilsvarende er praksisen et avvik fra personopplysningsloven 11 c). Datatilsynet tar ikke konkret stilling til den interne bruken av fødselsdato i denne saken. 5.3 Informasjonsplikt Krav i regelverket Personopplysningsloven 19 slår fast at den registrerte skal informeres om en rekke forhold når det samles inn opplysninger fra den registrerte selv. Dette gjelder bl.a. formålet med behandlingen og om opplysningene blir utlevert til andre. Personopplysningsloven 20 krever at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv av eget tiltak skal informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i 19. Det er gjort unntak fra informasjonsplikten der a) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov, b) varsling er umulig eller uforholdsmessig vanskelig, eller c) det er på det rene at den registrerte allerede kjenner til informasjonen varslet skal inneholde. Dersom det gjøres unntak med hjemmel i 20 bokstav b) er forutsetningen at informasjonen likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene, jf. 20, tredje ledd. Personopplysningsloven 14 stiller krav om at virksomheten etablerer internkontroll for å sikre at kravene i loven ivaretas Funn Det ble ikke gitt informasjon til de registrerte ved opprettelse av basen i Det er heller ikke senere gitt informasjon ved innhenting av informasjon til databasen. Det er lagt til grunn unntaksregelen kommer til anvendelse ved at informasjonsplikten ivaretas når kunden kontakter den registrerte. Denne informasjonen var begrenset til en kildehenvisning, hvor Bring Dialog AS ble opplyst som kilde Konklusjon Datatilsynet legger til grunn at unntaket kommer til anvendelse. Selv om informasjonsplikten skal ivaretas av virksomhetens kunder, må virksomheten med rimelig grad sikre at dette ivaretas og legge til rette for at slik informasjon gis. Dette for at unntaket etter personopplysningsloven 20 b) tilfredsstilles. Manglende rutiner for å sikre at kundene ivaretar informasjonsplikten, som er en forutsetning for virksomhetens unntak fra informasjonsplikten, er et avvik fra krav til internkontroll etter personopplysningsloven 14, jf. 20 d) 9 av 13

10 At informasjon som gis er begrenset til en kildehenvisning anses som et avvik fra personopplysningslovens 20, jf 19. Ved videre bruk av databasen er det nødvendig at de registrerte informeres på en slik måte at de skjønner hvordan opplysningene blir brukt, og at de forstår at de har muligheten for å kreve seg selv slettet fra Bring Dialog sitt register. Datatilsynet går ikke her nærmere inn på den praktiske utformingen av informasjonen, men er åpen for en dialog på dette punktet. 5.4 Personprofiler Krav i regelverket Personopplysningsloven 21 sier at når noen henvender seg eller treffer avgjørelser som retter seg mot den registrerte på grunnlag av personprofiler som er ment å beskrive adferd, evner eller behov, f eks som ledd i markedsføringsvirksomhet, skal den behandlingsansvarlige informere den registrerte om a) hvem som er behandlingsansvarlig b) hvilke opplysningstyper som er anvendt, og c) hvor opplysningene er hentet fra. I lovforarbeidene til bestemmelsen er dette utdypet. Her nevnes inntektskategori, boligstrøk og alder som eksempler på personopplysninger i personprofiler. For øvrig følger krav som beskrevet i rapportens 5.2. Personopplysningsloven 14 stiller krav om at virksomheten etablerer internkontroll for å sikre at kravene i loven ivaretas Funn For svært mange utleveringer fra registeret ble det benyttet personprofiler. Kunden var for eksempel interessert i å kjøpe opplysninger om kvinner i en bestemt aldersgruppe. Ved vask av kundens eget register var det også vanlig å få påført informasjonselementer om de registrerte, slik at kunden selv kunne ta kontakt på bakgrunn av profiler av sine registrerte Konklusjon Ved bruk av personprofiler trer den utvidede informasjonsplikten inn. Ved kontakt til den registrerte direkte fra Bring Dialog, vil informasjonsplikten påligge Bring Dialog selv. Dersom kunder tar kontakt med registrerte på bakgrunn av informasjon fra Bring Dialog, påligger informasjonsplikten kunden. For at kunden skal opptre i samsvar med lovverket bør imidlertid Bring Dialog informere sine kunder om denne plikten. At Bring Dialog sørger for dette anses som nødvendig for å sikre at behandlingen (utleveringen) kan ha grunnlag i personopplysningsloven 8 f). Årsaken er at informasjon er nødvendig for at behandlingen ikke skal representere et unødig stort inngrep i den registrertes personvern. At virksomheten ikke har tilstrekelig rutiner for å sikre at informasjonsplikten ivaretas av kundene ved bruk av personprofiler, er et avvik fra krav om behandlingsgrunnlag (for utleveringen) etter personopplysningsloven 11 a), jf. 8 f) og krav om internkontroll etter 10 av 13

11 14. At informasjonsplikten ved bruk av personprofiler ikke er behandlet i virksomhetenes internkontroll, er et avvik fra internkontrollkravet etter personopplysningsloven 14. Datatilsynet tar ikke her stilling til eventuelt generelt behandlingsgrunnlag for bruk at opplysninger i profiler. Dette er det hensiktsmessig at vurderes generelt for bransjen på et senere tidspunkt. 5.5 Sletting Historiske adresser Krav i regelverket Den behandlingsansvarlige skal sørge for at personopplysningene som behandles er korrekte og oppdaterte og ikke lages lengre enn det som er relevant for formålet med behandlingen, jf. personopplysningsloven 11 e), jf. krav om sletting etter 28. For kreditopplysningsvirksomhet har Datatilsynet tidligere vurdert hvor lenge historisk adresseinformasjon kan oppbevares. Praksisen kan etter tilsynets syn legges til grunn som en ytre ramme for akseptabel lagringstid for adressevask. Konsesjonene til kredittopplysningsbyråene sier at historiske adresser kan lagres i inntil fire år for enkelte formål, herunder for å kunne finne fram til personer som har skiftet adresse. Historiske adresser kan kun benyttes internt i virksomheten. Som for andre områder, ser tilsynet behov for senere å vurdere behandlingsgrunnlag og lagringstid for historiske adresser nærmere. Vurderingen av fire år som maksimal lagringstid må derfor ses som midlertidig, og kan bli ytterligere begrenset Funn Virksomheten slettet ikke historiske adresser i konsumentdatabasen. Adresser var lagret tilbake til Historiske adresser ble bl.a. ansett som nødvendig for å kunne vaske adresser for kundene. Historiske adresser ble ikke utlevert kunden, men ble benyttet internt i virksomheten ved adressevask Konklusjon Lagring av historiske adresser utover fire år anses som et avvik fra kravet om sletting etter personopplysningsloven 28, jf 11 e). Eldre opplysninger er ikke lengre relevant for behandlingen og skal slettes. Det er etter Datatilsynets syn bruk av opplysningen til adressevask som er førende for oppbevaringen av historiske adresser. At den samme databasen også benyttes til adresseformidling ses ikke som en ulempe for den registrerte i denne sammenheng da historiske adresser styrker kvaliteten ved vask mot reservasjonsregisteret. Denne vurderingen forutsetter imidlertid at opplysningene allikevel oppbevares i registeret med formål adressevask. Dersom det ikke ble benyttet et felles register til de to formålene, ville vurderingen vært at historiske adresser ikke kan oppbevares for formålet adresseformidling, jf. interesseavveiningen etter 8 f, og sakelighetsvurderingen etter 11 b). 11 av 13

12 Datatilsynet tar ikke her stilling til eventuelt behandlingsgrunnlag for opplysninger som er yngre enn fire år. Dette vil vurderes på generelt grunnlag overfor bransjen som helhet. 5.6 Sletting Kundeopplysninger Krav i regelverket Personopplysningsloven 28 krever at opplysninger skal slettes når de ikke lenger er nødvendig for formålet, forutsatt at de ikke lovlig skal lagres for andre formål Funn Kundeopplysninger ble slettet etter ett år med mindre avtalen med kunden krevde tidligere sletting. Fristen på ett år var vanlig i bransjen og var bl.a. valgt for å kunne ta stilling til en eventuell reklamasjon Konklusjon Datatilsynet stiller spørsmål ved behovet for å lagre opplysningene for reklamasjonsøyemed så lenge som ett år. Datatilsynet tar ikke nærmere stilling til slettefristen nå, men vil vurdere slettekrav generelt overfor bransjen som helhet. 5.7 Sletting Etter ønske fra den registrerte Krav i regelverket Personopplysningsloven 28 krever at opplysninger skal slettes når de ikke lenger er nødvendig for formålet, forutsatt at de ikke lovlig skal lagres for andre formål. Dersom den registrerte ønsker seg slettet fra virksomhetens registre kan et behandlingsgrunnlag etter personopplysningslovens 8 f) ikke forsvares. Opplysningene må da slettes i samsvar med personopplysningsloven Funn Det var ikke etablert rutiner i virksomhetens internkontroll virksomheten som sikret at den registrerte kunne kreve seg slettet. Forholdet ble ikke nærmere verifisert Konklusjon Manglende tilrettelegging for at den registrerte kan kreve seg slettet fra registrene er et avvik fra krav om internkontroll etter personopplysningsloven 14, jf 28 og 8 f). 5.8 Internkontroll og informasjonssikkerhet Krav i regelverket Personopplysningslovens 14 stiller krav om at virksomheten skal holde vedlike planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av personopplysningsloven. Virksomheten skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne. Kravene til internkontroll er utdypet i personopplysningsforskriftens kapittel 3. Kravet til internkontroll omfatter også nødvendig sikkerhetsdokumentasjon 12 av 13

13 5.8.2 Funn Internkontroll og informasjonssikkerhet ble i begrenset grad kontrollert. Det ble gitt enkelte veiledende merknader under kontroller, herunder: - At store registre som kommuniseres mellom virksomheten og dens kunder anses å ha et beskyttelsesbehov etter personopplysningsforskriften 2-11, og at de derfor må krypteres når de kommuniseres elektronisk. - At vurderingene i større grad burde ta hensyn til at opplysninger virksomheten behandler på vegen av sine kunder (spesielt ved analyse av kundens data) kan ha et vesentlig beskyttelsesbehov. Andre konkrete funn er bemerket tidligere i rapporten Konklusjon Det konstateres ikke generelle avvik knyttet til internkontroll og informasjonssikkerhet. Enkeltavvik knyttet til internkontroll er tidligere omhandlet. Det legges til grunn at virksomheten på selvstendig grunnlag utøver et kontinuerlig forbedringsarbeid i samsvar med krav til informasjonssikkerhet og internkontroll etter personopplysningsloven 13 og 14, herunder ivaretakelses av personopplysningsforskriften Meldeplikt Krav i regelverket Adresseformidling og adressevask er meldepliktige behandlinger etter personopplysningsloven 31. Det skal inngis separate meldinger for de ulike behandlingene av personopplysninger Funn Virksomheten har meldt adressering/markedsføring til Datatilsynet i meldingsnummer Angivelsen adressering/markedsføring er et predefinert valg i meldeskjemaet. Datatilsynet legger til grunn at denne meldingen gjelder behandlingen adresseformidling. Det er ikke inngitt melding for behandlingen adressevask Konklusjon Manglende melding for adressevask er et avvik fra personopplysningsloven 31. Det bemerkes at meldeskjemaet tilgjengeliggjort hos Datatilsynet ikke fremstår som dirkete intuitivt hva gjelder å melde ulike behandlinger knyttet til adresseringsvirksomhet. 13 av 13