Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.



Like dokumenter
Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Deres referanse Vår referanse Dato / /EOL

Vår referanse (bes oppgitt ved svar)

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Vår referanse (bes oppgitt ved svar)

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Deres referanse Vår referanse Dato 15/ /JSK

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontroll av reseptformidleren endelig kontrollrapport

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Endelig kontrollrapport

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Lydopptak og personopplysningsloven

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Endelig kontrollrapport

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Bilag 14 Databehandleravtale

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Adressemekling. Innhold INNLEDNING AKTØRENE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Endelig kontrollrapport

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Forte Fondsforvaltning AS personvernerklæring

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Endelig Kontrollrapport

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Endelig kontrollrapport

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Databehandleravtaler

Pålegg om stans av behandling av personopplysninger - Gator AS

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Lagring av advarsler i personalmapper - Datatilsynets veiledning

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern - sjekkliste for databehandleravtale

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Transkript:

NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. Vurdering av tilsvar Datatilsynet har i brev av 24.juni 2011 mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Generelt Datatilsynet har tatt hensyn til to av virksomhetens tilbakemeldinger vedrørende presiseringer i kontrollrapporten, lrapporten, herunder om logger og navn på systemer som benyttes. Den siste presiseringen om sikkerhetskopiering som er ønsket endret, kan tilsynet ikke endre i rapporten da det endrer faktum på kontrolltidspunktet. Tilsynet har uansett ingen kommentarer til tidsperioden på en måned som er fastsatt i sikkerhetskopieringsrutinen. Videre har tilsynet ingen kommentarer til fremdriftsplanen som er forelagt og vil dermed fatte vedtak i samsvar med de frister som virksomheten selv har satt. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må etablere en rutine for sletting av personopplysninger i sikkerhetskopieringssystemet som samsvarer med rutinene for sletting og anonymisering i kundesystemet, jf. personopplysningslovens 28. Det vises til tilsynsrapportens 5.1.4. Frist for gjennomføring medio Q4 2011. 2. Virksomheten må etablere en rutine for sletting av oppsagte TV-kanalpakker jf. personopplysningslovens 28. Det vises til tilsynsrapportens 5.1.5. Se også Personvernnemndas vedtak 2004-7. Frist for gjennomføring Q3 2011. 3. Virksomheten må gi tilstrekkelig informasjon til den registrerte i samsvar med personopplysningslovens 19. Det vises til tilsynsrapportens 5.1.6. Frist for gjennomføring Q3 2011. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

NextGenTel må innen 31.12.2011 bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført og vedlegge kopi av de nye skriftlige rutinene. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten/de har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med hilsen Leif T. Aanensen avdelingsdirektør Frank Ulfsby Eriksen senioringeniør Vedlegg: Endelig kontrollrapport 2

Saksnummer: 11/00257 Dato for kontroll: 27.04.2011 Rapportdato: 02.08.2011 Endelig kontrollrapport Kontrollobjekt: Nextgentel AS Sted: Bergen Utarbeidet av: Frank Ulfsby Eriksen Maria Bakke 1 Innledning Datatilsynet gjennomførte kontroll hos Nextgentel AS 27.04.11 (Heretter virksomheten). Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med IP-TV. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets atilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Lars-Inge Alvær Direktør kvalitet - Liv Solveig Olafsson - Personvernombud - Åddne Brunborg Leder IT Utvikling - Erlend Dyrnes Sikkerhetssjef - Elin Visthoff Vice President Consumer - Simon Brunet Prosesskonsulent Operational Excellence - Cecilie Garmannslund Leder Operational Excellence 2.2 Fra Datatilsynet: - Maria Bakke - rådgiver - Frank Ulfsby Eriksen - senioringeniør 3 Generelt NextGenTel ble etablert 1. mars 2000, og er et heleid datterselskap av TeliaSonera AB. Virksomheten har ca. 262 faste ansatte, der ca. 60 ansatte arbeider innen for området teknologi og ca. 160 ansatte arbeider innefor området privat (salg og kundeservice). NextGenTel leverer bredbånd og bredbåndstjenester, deriblant ip-telefoni og ip-tv, til privat- og bedriftskunder. NextGenTel sin markedsandel på bredbåndskunder utgjorde i siste halvdel av 2009 i overkant av 10 %, ifølge tall fra Post- og teletilsynet.

4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten samler inn opplysninger om kunder for å levere tv-abonnement gjennom internett. I tillegg registreres informasjon om filmleie og kanalpakker som kunden har bestilt eller benyttet seg av. Informasjon om filmleie blir anonymisert i kundesystemene innen sju dager. Personopplysninger nødvendig for fakturering lagres i 120 dager, deretter slettes de såfremt kravet er oppgjort. I hovedsak benyttes to løsninger for lagring av personopplysninger. Den første er en løsning for oppslag i TV-profiler, som lages når kunde bestiller et TV produkt. Det siste et systemet er NextGenTel sitt CRM-system. Det som var uklart på kontrolltidspunktet var ikke hvorvidt det finnes logger i løsningen, men hva slags logger som befinner seg hos Telia Sonera i Sverige og dermed hva som ble logget. Grunnen til dette er at Nextgentel er eid av Telia Sonera og får sin TV-løsning levert fra dette selskapet. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1.1 Grunnkrav til behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningslovens 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette i henhold til personopplysningslovens 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningslovens 11 bokstav b). Videre stilles det i personopplysningslovens 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. Ved opphør av for eksempel et kundeforhold skal opplysningene slettes med mindre det foreligger utestående krav eller lagring er regulert i annen lovgivning. 5.1.2 Behandlingsgrunnlag Etter personopplysningslovens 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Behandlingen kan baseres på et samtykke fra den registrerte, lovhjemmel, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål, jf. bokstav a-f. Virksomhetens behandlingsgrunnlag for egne aktiviteter ovenfor abonnenten vil være behandling nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, jf. personopplysningslovens 8 bokstav a. For å behandle personopplysninger utover det som anses for å være nødvendig for å oppfylle avtalen med den registrerte, må en eventuell behandling av personopplysninger baseres på et samtykke fra den registrerte. 2 av 5

5.1.3 Ansvarsforhold mellom Telia Sonera og Nextgentel og logging av brukermønster Personopplysningsloven 2 nr 4 omhandler plassering av behandlingsansvar for personopplysninger. I tillegg omhandler paragrafens nr 5. bruk av databehandler, den som behandler personopplysninger på vegne av den behandlingsansvarlige. Den behandlingsansvarlige må som hovedregel være etablert i Norge, jf. personopplysningsloven 4. Personopplysningsloven 15 regulerer forholdet mellom en behandlingsansvarlig og en databehandler med hensyn til rådighet over personopplysinger. Det må foreligge en avtale som klart definerer ansvaret virksomheter imellom. I henhold til personopplysningsforskriftens 2-4 første ledd skal den behandlingsansvarlige i denne sammenheng ha oversikt over samtlige behandlinger av personopplysninger som foretas av eller på vegne av virksomheten. Nextgentel er heleid av Telia Sonera, men er egen juridisk enhet og er behandlingsansvarlig for personopplysninger for egne kunder i Norge. TV-løsningen som Nextgentel selger til sine kunder, er delvis levert av Telia Sonera. I praksis betyr dette at levering av kanaler og filmleie skjer fra servere hos Telia Sonera i Sverige. Nexgentel logger ikke brukerhandlinger i sin del av TV-løsningen. Når det gjelder delen i Sverige, har ikke Nexgentel per i dag noen oversikt over hvordan logger benyttes av Telia Sonera. Dette må ses i sammenheng med behandlingsansvaret og ansvarsforholdet mellom selskapene. Under kontrollen viste det seg at det ikke er inngått en databehandleravtale mellom Nexgentel og Telia Sonera. Nextgentel har som følge av dette pr i dag ikke en fullstendig oversikt over hvordan personopplysninger behandles hos Telia Sonera med hensyn til Nextgentel sine kunder. Datatilsynet anser det at det ikke foreligger en databehandleravtale mellom Nexgentel og Telia Sonera for å være i strid med personopplysningsloven 15. Datatilsynet anser for øvrig at manglende oversikt over behandling av personopplysninger foretatt av databehandlere er i strid med personopplysningsforskriftens 2-4 første ledd. 5.1.4 Sletting og anonymisering for filmleie I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dersom opplysningene anonymiseres, oppfyller dette også vilkåret i personopplysningsloven 28, da opplysningene ikke lenger kan knyttes til enkeltpersoner og derfor ikke lenger er personopplysninger. Sletting eller anonymisering av opplysninger må skje i alle ledd hvor opplysninger lagres for å oppfylle vilkåret i lovens 28, dette gjelder også sikkerhetskopiering. Virksomheten har rutiner for anonymisering av filmleieforbruk. Anonymisering skjer etter 120 dager i et web-basert system. Rutinen gjennomføres ukentlig. Det som anonymiseres er filmtittel, kategori, leverandør og butikk. I kundesystemet anonymiseres den samme 3 av 5

informasjonen så snart opplysningene er overført til fakturering, som vil si maksimum lagring på sju dager. Rutinen som er etablert omfatter ikke at tilsvarende anonymiseringen skjer i sikkerhetskopieringssystemet. I praksis betyr dette at personopplysninger ligger lagret på sikkerhetskopier i en uavklart periode. På bakgrunn av dette legger Datatilsynet til grunn at virksomheten har avvik i forhold til bestemmelsene i personopplysningslovens 28. 5.1.5 Sletting og anonymisering av oppsagte TV-kanalpakker I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dersom opplysningene anonymiseres, oppfyller dette også vilkåret i personopplysningsloven 28, da opplysningene ikke lenger kan knyttes til enkeltpersoner og derfor ikke lenger er personopplysninger. Sletting eller anonymisering av opplysninger må skje i alle ledd hvor opplysninger lagres for å oppfylle vilkåret i lovens 28. Virksomheten lagrer oppsagte Tv-kanalpakker i CRM-systemet uten å ha et oppgitt formål for dette. Informasjonen blir lagret på kundens profil så lenge kundeforholdet til Nextgentel vedvarer. Da en lignende problemstilling som gjaldt Telenors lagring av kundeopplysninger ble behandlet i Personvernnemnda (PVN-2004-7), kom nemnda frem til at Telenor kunne ha et grunngitt behov for lagring av kundedata om oppsagte abonnement i inntil 2 år. Datatilsynet legger til grunn at Nexgentel vil foreta en konkret vurdering av eget behov for lagringstid for oppsagte kanalpakker, men slik at lagringstiden ikke overstiger 2 år slik dette er skissert i Personvernnemndas avgjørelse nevnt ovenfor. 5.1.6 Samtykke til behandling av personopplysninger utover avtalen med kundene samt informasjonsplikt Lagring og behandling av personopplysningene som beskrevet ovenfor i punkt 5.1.3 til 5.1.6 er ikke inntatt i avtalen med kundene. Det er heller ikke innhentet samtykke fra abonnentene til en oppbevaring av opplysninger utover det som følger av avtalen med medlemmet, og det finnes etter dette ikke behandlingsgrunnlag for denne behandlingen. Manglende behandlingsgrunnlag anses som et brudd på personopplysningslovens 11 jf. 8. I henhold til personopplysningsloven 18, jf. 19 er behandlingsansvarlig forpliktet til å informere abonnentene om hvordan deres personopplysninger blir behandlet og legge til rette for abonnentens innsynsrett. Som følge av at noe av behandlingen av personopplysninger om Nexgentels kunder ikke er inntatt i avtalen med kundene, og det heller ikke er innhentet samtykke for dette, får abonnenten per i dag ikke tilstrekkelig informasjon over hvilke behandlinger av personopplysninger som foretas. Dette må ses i sammenheng med punkt 5.1.2 og 5.1.3 om 4 av 5

henholdsvis ansvarsforhold mellom Nextgentel og Telia Sonera i Sverige og logging. Da Nexgentel ikke har tilstrekkelig kunnskap til hvordan personopplysninger om deres abonnenter behandles hos Telia Sonera i Sverige, vil ikke selskapet kunne oppfylle vilkårene til informasjonsplikt i personopplysningslovens 18 og 19. Datatilsynet anser manglende informasjon til kunden i strid med personopplysningslovens 18, jf 19. 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding