Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til Datatilsynets kontroll hos Bring Dialog AS den 8. juli 2011 og Datatilsynets varsel om vedtak 9. august 2011. Datatilsynet beklager den lange saksbehandlingstiden. Vurdering av tilsvar Datatilsynet har i brev av 9. september 2011 mottatt virksomhetens merknader til varselet. I tilsvaret opplyses det om at en rekke forhold vil være endret innen månedsskiftet september/oktober 2011. Datatilsynet har fått bekreftet at disse endringene er gjennomført, jf. telefon mellom direktør Presisjon, Bring Dialog og Aslaug Bendiksen, Datatilsynet den 2. mai 2012. Datatilsynet har følgende kommentarer til Bring Dialog sitt tilsvar: Presisering av Bring Dialogs tjenester, roller og ansvar Bring Dialog presiserer at virksomheten i særdeles liten grad forestår tjenester innenfor adressemekling, jf. informasjon oversendt i forkant av kontrollen. Datatilsynet bemerker at dette også er lagt til grunn i kontrollrapporten. Når det gjelder hvilke roller Bring har, understreker Datatilsynet følgende: Bring Dialog lagrer personopplysningene i sin Konsument Masterdatabase (konsumentdatabasen). Her sammenstilles opplysninger fra ulike aktører. Bring Dialog vil være behandlingsansvarlig for denne databasen jf. personopplysningsloven 2 nr 4. Der Bring Dialog mottar opplysninger fra kunden og vasker disse mot konsumentdatabasen, er kunden behandlingsansvarlig for sitt register, og Bring Dialog for konsumentdatabasen. Hvis Bring Dialog påfører nye opplysninger i kunderegisteret, vil det skje en utlevering fra Bring Dialog. Dette er en behandling av personopplysninger i personopplysningsloven 2 nr 2 sin forstand. Bring Dialog er behandlingsansvarlig for denne behandlingen, jf. 2 nr 4. Dette innebærer at både kunden og Bring Dialog må ha behandlingsansvar der Bring Dialog påfører nye opplysninger i et kunderegister; Bring Dialog må ha behandlingsansvar for sin utlevering, og kunden må ha behandlingsansvar for sin innhenting. Dersom kunden oppfyller kravene i personopplysningsloven opplysningsloven 11 jf. 8 til å innhente opplysninger fra en ekstern part, Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
vil imidlertid Bring Dialog for de aller fleste tilfeller oppfylle kravene i jf. 11 jf. 8 til å utlevere disse. Kontrollrapportens punkt 5.1.2 - Bruk av personopplysninger fra reservasjonsregisteret Datatilsynet forstår tilsvaret fra Bring Dialog slik at det ikke påføres andre opplysninger fra Reservasjonsregisteret enn reservasjonskoder. Vi viser til brevet fra Bring Dialog der virksomheten skriver: Reservasjonsregisteret benyttes for påføring av reservasjonskoder. Adresseinformasjon fra reservasjonsregisteret benyttes kun for å verifisere at vi har identifisert rett person på rett adresse. (Vår utheving.) Bring Dialog har endret teksten i internkontrolldokumentasjonen for å få dette klarere fram. Kontrollrapporten er endret på dette punktet, og Datatilsynet frafaller det varslede vedtaket angående reservasjonsregisteret. Kontrollrapportens punkt 5.1.3 - Innhenting og lagring av nummeropplysninger Bring Dialog vil endre sin praksis ved bruk av nummeropplysningsdata fra Easy Connect. Videre har Bring Dialog startet en prosess for å etablere seg som nummeropplysningsaktør. Datatilsynets vurdering er at opplysninger innhentet til nummeropplysningsformål ikke kan benyttes til adresseringsvirksomhet uavhengig av hvem som sitter på opplysningene; om det er Easy Connect eller Bring Dialog selv. Dersom Bring Dialog etablerer seg som nummeropplysningsvirksomhet, kan de allikevel ikke benytte opplysninger herfra til annet enn å kvalitetssikre opplysninger som allerede finnes i konsumentdatabasen. Som nevnt på kontrollen har Datatilsynet hatt tilsyn hos flere virksomheter som driver med nummmeropplysning, med tanke på en gjennomgang av bransjen. I påvente av den nevnte gjennomgangen av nummeropplysningsbransjen, frafaller Datatilsynet varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.2 - Bruk av fødselsdato Vi viser her til det som er omtalt om roller innledningsvis. Dersom kunden har behandlingsgrunnlag for å innhente fødselsdato fra Bring Dialog, legger Datatilsynet til grunn at Bring Dialog har behandlingsgrunnlag for utleveringen i henhold til personopplysningsloven 11 jf. 8. Datatilsynet legger til grunn at dette i de fleste tilfeller innebærer at den registrerte må ha samtykket til dette, jf. personopplysningsloven 8 jf. 2 nr 7. Bring Dialog vil ta inn en klausul i sine avtaler om at oppdragsgivere innestår for tilstrekkelig behandlingsgrunnlag for de opplysninger som omfattes av oppdraget. Dette skal gjøres innen utgangen av september 2011. Bring Dialog har på telefon 2. mai 2012 bekreftet at tiltaket er gjennomført som varslet. Datatilsynet legger derfor til grunn at klausulen allerede er på plass. Datatilsynet frafaller varsel om vedtak på dette punktet under forutsetning av at klausulen er utformet slik at kunden må forstå hva dette innebærer. Vi viser til kontrollrapportens punkt 5.2.3 for nærmere beskrivelse av når vilkårene ikke anses oppfylt. 2
Kontrollrapportens punkt 5.3 Sikre at kundene gir informasjon om innsamling Bring Dialog har utarbeidet en personvernpolicy til nettsiden som beskriver behandlingene og den registrertes rettigheter. Bring Dialog viser til at kundene vil oppfylle informasjonsplikten ved å innta en henvisning til Bring Dialog sine nettsider i forbindelse med kildemerkingen. For å sikre at informasjonsplikten blir ivaretatt vil Bring Dialog innen månedsskiftet september/oktober ha endret internkontrollen, og avtalene med kundene på dette punktet. Datatilsynet har undersøkt personvernpolicyen på Bring Dialog sine nettsider. Det kan være utfordrende å skrive kort og lettfattelig om et såpass vanskelig tema som dette. Policyen fremstår imidlertid som relativt lettfattelig. Det er positivt at det gis kontaktopplysninger direkte i policyen slik at de som ønsker mer informasjon kan få dette. Datatilsynet legger til grunn at også den varslede endringen av internkontrollen er gjennomført. Vårt varsel om vedtak frafalles derfor på dette punktet. Kontrollrapportens punkt 5.4 Sikre at kundene gir informasjon om bruk av personprofiler Bring Dialog vil oppfylle dette punktet ved at kunden informeres om sin informasjonsplikt etter personopplysningsloven 21. Datatilsynet anser at dette oppfyller lovens krav. Dette tiltaket skulle etter planen være ivaretatt innen september/oktober 2011. Bring Dialog har på telefon 2. mai 2012 bekreftet at tiltaket er gjennomført. Datatilsynet frafaller derfor varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.4 Ivaretakelse av personopplysningsloven 21 om personprofiler i internkontrollen I henhold til framdriftsplanen skulle dette være ivaretatt innen september/oktober 2011. ring Dialog bekreftet på i telefon 2. mai 2012 at tiltaket er gjennomført. Datatilsynet frafaller derfor varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.5 Sletting av historiske data eldre enn fire år Bring Dialog har slettet historiske data eldre enn fire år og etablert en rutine som løpende ivaretar dette. Datatilsynet frafaller derfor varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.7 Rutiner for sletting av opplysninger etter henvendelse fra den registrerte Datatilsynet har gjennomgått de vedlagte rutinene for sletting av opplysninger. Slik det fremstilles der slettes ikke opplysninger om vedkommende. Ved begjæring om sletting settes det en midlertidig stoppkode på vedkommende. Datatilsynet har i telefon 2. mai 2012 fått bekreftet at den midlertidige stoppkoden forhindrer at opplysninger om vedkommende blir solgt utleid til andre. Opplysningene benyttes fortsatt til vask/ajourhold. 3
En person skal ha rett til å bli slettet permanent fra Bring Dialog sitt register. Før dette gjøres kan det imidlertid være hensiktsmessig å informere om at Bring Dialog da ikke kan bidra til korrekt kontaktinformasjon vedrørende ham eller henne tilflyter andre. Rutinene på området bør utformes slik at det differensieres mellom sletting og sperring. Der en person ber om å bli slettet fra Bring Dialog, kan det gis informasjon om hva dette innebærer for vedkommende. Dersom personen fortsatt ønsker å bli fjernet fra samtlige databaser hos Bring, må dette gjøres. Bring Dialog vil etter Datatilsynets vurdering mangle behandlingsgrunnlag i personopplysningsloven 8 for å lagre informasjon om personer som motsetter seg dette. Internkontrollrutinene som er fremlagt vil etter Datatilsynets vurdering ikke tilfredsstille lovens krav. Vi ber derfor om at dette punktet revideres. Datatilsynet opprettholder følgelig varselet om vedtak på dette punktet. Kontrollrapportens punkt 5.9 Melde behandling om adressevask Som nevnt innledningsvis anser Datatilsynet at Bring Dialog utleverer opplysninger i forbindelse med sin adressevask, jf. definisjonen av behandling i personopplysningsloven 2 nr 2. Slik utlevering er meldepliktig etter personopplysningsloven 31. Kundene kan på sin side være meldepliktige for sin innhenting av personopplysninger fra Bring Dialog. Datatilsynet mottok melding 8. mai 2012 og frafaller derfor vedtaket på dette punktet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: Virksomheten må etablere rutiner for sletting av opplysninger etter henvendelse fra den registrerte. Dette i samsvar med personopplysningsloven 14, jf. 28, jf. 8 f). Det vises til kontrollrapportens 5.7.3. Datatilsynet gir frist for gjennomføring av pålegget til 1. september. Bring Dialog må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at Bring Dialog har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. 4
Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Aslaug Bendiksen seniorrådgiver Vedlegg: Endelig kontrollrapport 5