Vår referanse (bes oppgitt ved svar)



Like dokumenter
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Endelig kontrollrapport

Deres referanse Vår referanse Dato / /EOL

Vår referanse (bes oppgitt ved svar)

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Endelig kontrollrapport

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar)

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Vi har ikke behandlet bostøttesøknaden for februar fordi det mangler samtykke fra en eller flere i husstanden

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Kontroll av reseptformidleren endelig kontrollrapport

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Foreløpig kontrollrapport

Innledning. Behandling av personopplysninger

Kort innføring i personopplysningsloven

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Personvernerklæring for Webstep AS

Adressemekling. Innhold INNLEDNING AKTØRENE

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Vedtak om pålegg - endelig kontrollrapport

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Endelig kontrollrapport

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernerklæring for Vesterålsprodukter AS

Deres referanse Vår referanse Dato 15/ /JSK

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Personvernerklæring for Clemco Norge AS

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Endelig kontrollrapport

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Vedtak om pålegg kameraovervåking hos Move treningssenter

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Personvernerklæring for medlemmer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

TILSYNSRAPPORT - VEDTAK

Lydopptak og personopplysningsloven

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

SYKEHUSET INNLANDET BRUMUNDDAL Postboks BRUMUNDDAL TILSYNSRAPPORT OG VARSEL OM PÅLEGG

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Endelig Kontrollrapport

Behandlingsansvarlig for personopplysningene vi behandler er Natur og Ungdom ved daglig leder Therese Hugstmyr Woie.

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

HØRINGSUTTALELSE - ENDRINGER I FORVALTNINGSLOVEN

Endelig kontrollrapport

Foreløpig kontrollrapport

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Transkript:

Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til Datatilsynets kontroll hos Bring Dialog AS den 8. juli 2011 og Datatilsynets varsel om vedtak 9. august 2011. Datatilsynet beklager den lange saksbehandlingstiden. Vurdering av tilsvar Datatilsynet har i brev av 9. september 2011 mottatt virksomhetens merknader til varselet. I tilsvaret opplyses det om at en rekke forhold vil være endret innen månedsskiftet september/oktober 2011. Datatilsynet har fått bekreftet at disse endringene er gjennomført, jf. telefon mellom direktør Presisjon, Bring Dialog og Aslaug Bendiksen, Datatilsynet den 2. mai 2012. Datatilsynet har følgende kommentarer til Bring Dialog sitt tilsvar: Presisering av Bring Dialogs tjenester, roller og ansvar Bring Dialog presiserer at virksomheten i særdeles liten grad forestår tjenester innenfor adressemekling, jf. informasjon oversendt i forkant av kontrollen. Datatilsynet bemerker at dette også er lagt til grunn i kontrollrapporten. Når det gjelder hvilke roller Bring har, understreker Datatilsynet følgende: Bring Dialog lagrer personopplysningene i sin Konsument Masterdatabase (konsumentdatabasen). Her sammenstilles opplysninger fra ulike aktører. Bring Dialog vil være behandlingsansvarlig for denne databasen jf. personopplysningsloven 2 nr 4. Der Bring Dialog mottar opplysninger fra kunden og vasker disse mot konsumentdatabasen, er kunden behandlingsansvarlig for sitt register, og Bring Dialog for konsumentdatabasen. Hvis Bring Dialog påfører nye opplysninger i kunderegisteret, vil det skje en utlevering fra Bring Dialog. Dette er en behandling av personopplysninger i personopplysningsloven 2 nr 2 sin forstand. Bring Dialog er behandlingsansvarlig for denne behandlingen, jf. 2 nr 4. Dette innebærer at både kunden og Bring Dialog må ha behandlingsansvar der Bring Dialog påfører nye opplysninger i et kunderegister; Bring Dialog må ha behandlingsansvar for sin utlevering, og kunden må ha behandlingsansvar for sin innhenting. Dersom kunden oppfyller kravene i personopplysningsloven opplysningsloven 11 jf. 8 til å innhente opplysninger fra en ekstern part, Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

vil imidlertid Bring Dialog for de aller fleste tilfeller oppfylle kravene i jf. 11 jf. 8 til å utlevere disse. Kontrollrapportens punkt 5.1.2 - Bruk av personopplysninger fra reservasjonsregisteret Datatilsynet forstår tilsvaret fra Bring Dialog slik at det ikke påføres andre opplysninger fra Reservasjonsregisteret enn reservasjonskoder. Vi viser til brevet fra Bring Dialog der virksomheten skriver: Reservasjonsregisteret benyttes for påføring av reservasjonskoder. Adresseinformasjon fra reservasjonsregisteret benyttes kun for å verifisere at vi har identifisert rett person på rett adresse. (Vår utheving.) Bring Dialog har endret teksten i internkontrolldokumentasjonen for å få dette klarere fram. Kontrollrapporten er endret på dette punktet, og Datatilsynet frafaller det varslede vedtaket angående reservasjonsregisteret. Kontrollrapportens punkt 5.1.3 - Innhenting og lagring av nummeropplysninger Bring Dialog vil endre sin praksis ved bruk av nummeropplysningsdata fra Easy Connect. Videre har Bring Dialog startet en prosess for å etablere seg som nummeropplysningsaktør. Datatilsynets vurdering er at opplysninger innhentet til nummeropplysningsformål ikke kan benyttes til adresseringsvirksomhet uavhengig av hvem som sitter på opplysningene; om det er Easy Connect eller Bring Dialog selv. Dersom Bring Dialog etablerer seg som nummeropplysningsvirksomhet, kan de allikevel ikke benytte opplysninger herfra til annet enn å kvalitetssikre opplysninger som allerede finnes i konsumentdatabasen. Som nevnt på kontrollen har Datatilsynet hatt tilsyn hos flere virksomheter som driver med nummmeropplysning, med tanke på en gjennomgang av bransjen. I påvente av den nevnte gjennomgangen av nummeropplysningsbransjen, frafaller Datatilsynet varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.2 - Bruk av fødselsdato Vi viser her til det som er omtalt om roller innledningsvis. Dersom kunden har behandlingsgrunnlag for å innhente fødselsdato fra Bring Dialog, legger Datatilsynet til grunn at Bring Dialog har behandlingsgrunnlag for utleveringen i henhold til personopplysningsloven 11 jf. 8. Datatilsynet legger til grunn at dette i de fleste tilfeller innebærer at den registrerte må ha samtykket til dette, jf. personopplysningsloven 8 jf. 2 nr 7. Bring Dialog vil ta inn en klausul i sine avtaler om at oppdragsgivere innestår for tilstrekkelig behandlingsgrunnlag for de opplysninger som omfattes av oppdraget. Dette skal gjøres innen utgangen av september 2011. Bring Dialog har på telefon 2. mai 2012 bekreftet at tiltaket er gjennomført som varslet. Datatilsynet legger derfor til grunn at klausulen allerede er på plass. Datatilsynet frafaller varsel om vedtak på dette punktet under forutsetning av at klausulen er utformet slik at kunden må forstå hva dette innebærer. Vi viser til kontrollrapportens punkt 5.2.3 for nærmere beskrivelse av når vilkårene ikke anses oppfylt. 2

Kontrollrapportens punkt 5.3 Sikre at kundene gir informasjon om innsamling Bring Dialog har utarbeidet en personvernpolicy til nettsiden som beskriver behandlingene og den registrertes rettigheter. Bring Dialog viser til at kundene vil oppfylle informasjonsplikten ved å innta en henvisning til Bring Dialog sine nettsider i forbindelse med kildemerkingen. For å sikre at informasjonsplikten blir ivaretatt vil Bring Dialog innen månedsskiftet september/oktober ha endret internkontrollen, og avtalene med kundene på dette punktet. Datatilsynet har undersøkt personvernpolicyen på Bring Dialog sine nettsider. Det kan være utfordrende å skrive kort og lettfattelig om et såpass vanskelig tema som dette. Policyen fremstår imidlertid som relativt lettfattelig. Det er positivt at det gis kontaktopplysninger direkte i policyen slik at de som ønsker mer informasjon kan få dette. Datatilsynet legger til grunn at også den varslede endringen av internkontrollen er gjennomført. Vårt varsel om vedtak frafalles derfor på dette punktet. Kontrollrapportens punkt 5.4 Sikre at kundene gir informasjon om bruk av personprofiler Bring Dialog vil oppfylle dette punktet ved at kunden informeres om sin informasjonsplikt etter personopplysningsloven 21. Datatilsynet anser at dette oppfyller lovens krav. Dette tiltaket skulle etter planen være ivaretatt innen september/oktober 2011. Bring Dialog har på telefon 2. mai 2012 bekreftet at tiltaket er gjennomført. Datatilsynet frafaller derfor varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.4 Ivaretakelse av personopplysningsloven 21 om personprofiler i internkontrollen I henhold til framdriftsplanen skulle dette være ivaretatt innen september/oktober 2011. ring Dialog bekreftet på i telefon 2. mai 2012 at tiltaket er gjennomført. Datatilsynet frafaller derfor varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.5 Sletting av historiske data eldre enn fire år Bring Dialog har slettet historiske data eldre enn fire år og etablert en rutine som løpende ivaretar dette. Datatilsynet frafaller derfor varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.7 Rutiner for sletting av opplysninger etter henvendelse fra den registrerte Datatilsynet har gjennomgått de vedlagte rutinene for sletting av opplysninger. Slik det fremstilles der slettes ikke opplysninger om vedkommende. Ved begjæring om sletting settes det en midlertidig stoppkode på vedkommende. Datatilsynet har i telefon 2. mai 2012 fått bekreftet at den midlertidige stoppkoden forhindrer at opplysninger om vedkommende blir solgt utleid til andre. Opplysningene benyttes fortsatt til vask/ajourhold. 3

En person skal ha rett til å bli slettet permanent fra Bring Dialog sitt register. Før dette gjøres kan det imidlertid være hensiktsmessig å informere om at Bring Dialog da ikke kan bidra til korrekt kontaktinformasjon vedrørende ham eller henne tilflyter andre. Rutinene på området bør utformes slik at det differensieres mellom sletting og sperring. Der en person ber om å bli slettet fra Bring Dialog, kan det gis informasjon om hva dette innebærer for vedkommende. Dersom personen fortsatt ønsker å bli fjernet fra samtlige databaser hos Bring, må dette gjøres. Bring Dialog vil etter Datatilsynets vurdering mangle behandlingsgrunnlag i personopplysningsloven 8 for å lagre informasjon om personer som motsetter seg dette. Internkontrollrutinene som er fremlagt vil etter Datatilsynets vurdering ikke tilfredsstille lovens krav. Vi ber derfor om at dette punktet revideres. Datatilsynet opprettholder følgelig varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.9 Melde behandling om adressevask Som nevnt innledningsvis anser Datatilsynet at Bring Dialog utleverer opplysninger i forbindelse med sin adressevask, jf. definisjonen av behandling i personopplysningsloven 2 nr 2. Slik utlevering er meldepliktig etter personopplysningsloven 31. Kundene kan på sin side være meldepliktige for sin innhenting av personopplysninger fra Bring Dialog. Datatilsynet mottok melding 8. mai 2012 og frafaller derfor vedtaket på dette punktet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: Virksomheten må etablere rutiner for sletting av opplysninger etter henvendelse fra den registrerte. Dette i samsvar med personopplysningsloven 14, jf. 28, jf. 8 f). Det vises til kontrollrapportens 5.7.3. Datatilsynet gir frist for gjennomføring av pålegget til 1. september. Bring Dialog må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at Bring Dialog har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. 4

Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Aslaug Bendiksen seniorrådgiver Vedlegg: Endelig kontrollrapport 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding