Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak



Like dokumenter
Datatilsynet v/ Hanne Silje Gule. Oslo, 15. oktober 2009 Ref: M /1/ /LCO Ansvarlig advokat: John S. Gulbrandsen.

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse Dato / /EOL

Deres ref Vår ref (bes oppgitt ved svar) Dato

Personvern og sikkerhet

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Deres referanse Vår referanse Dato 15/ /JSK

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Lydopptak og personopplysningsloven

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Databehandleravtaler

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Adressemekling. Innhold INNLEDNING AKTØRENE

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Lagring av advarsler i personalmapper - Datatilsynets veiledning

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Vår referanse (bes oppgitt ved svar)

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Kontroll av reseptformidleren endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vi tar godt vare på personopplysningene dine knyttet til våre eventer.personvern for Mestring & Event AS

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Prosedyre for personvern

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Foreløpig kontrollrapport

Personvern og informasjonssikkerhet

Personvernerklæring. Nettbasert behandling av personopplysninger

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Personvern-rett H2016

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

PERSONVERNERKLÆRING. Innledning

Personvernerklæring. Nettbasert behandling av personopplysninger

Vedtak om pålegg - endelig kontrollrapport

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Ny personvernforordning trer i kraft i mai 2018

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Personvernerklæring. Nettbasert behandling av personopplysninger

Databehandleravtale for NLF-medlemmer

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

V Telenor Mobil AS' bruk av NMT-databasen til markedsføring og salg av GSM - pålegg om meldeplikt etter konkurranseloven 6-1

- IVER 1. OM TJENESTEN

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Pålegg om stans av behandling av personopplysninger - Gator AS

Forte Fondsforvaltning AS personvernerklæring

Endelig kontrollrapport

Personvernerklæring. Akasia Barnehage AS

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Har du spørsmål om hvordan Hausta ivaretar ditt personvern, kan du kontakte oss på

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Foreløpig kontrollrapport

OM PERSONVERN TRONDHEIM. Mai 2018

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Utveksling av grunndata på personinformasjonsområdet - høringsuttalelse

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

12/ / /JSK 7.

06. FEB Saksnr.

Swarco Norge AS sitt erverv av Peek Trafikk AS vedtak om dekning av sakskostnader etter forvaltningsloven 36

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

Endelig kontrollrapport

Transkript:

Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar 2010 Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Det vises til Deres brev av 15. oktober 2009 vedrørende redegjørelse for I m International ASs nettside www.iam.no, til tilsynets brev av 24. september 2009 og til øvrig korrespondanse i saken. Datatilsynet har mottatt flere hundre klager vedrørende nettsiden iam.no. Klager fra publikum har gått ut på alt fra at publisering av så mange opplysninger opplevdes krenkende, til at opplysningene som har blitt publisert var feilaktige, omhandlet mindreårige eller gjaldt publisering av opplysninger om personer med hemmelig telefonnummer og adresse. Datatilsynet har kjennskap til at også Post- og teletilsynet og Skatteetaten har mottatt en rekke henvendelser vedrørende nettsidens publisering av opplysninger. I sakens anledning har Datatilsynet bedt om klargjøringer fra Post- og teletilsynet, blant annet vedrørende begrepet nummeropplysningstjeneste med tilleggstjenester. Korrespondanse med Post- og teletilsynet er sendt i kopi til Dere. Post- og teletilsynet har i brev av 7. desember 2009 tatt konkret stilling til tjenestene som I m International tilbyr, og kommet frem til at tjenesten er i tråd med ekomregelverket. Post- og teletilsynets vurderinger har vært med på å danne grunnlag for våre vurderinger i denne saken. Datatilsynet er kjent med at det har blitt foretatt en rekke endringer på nettsiden iam.no siden oppstarten ifjor høst. De foretatte endringene legger opp til en mer personvernvennlig tjeneste. Datatilsynet har lagt dagens versjon av nettsiden til grunn for saksbehandlingen. Tilsynet har blant annet gjennomgått brukervilkårene, Ofte stilte spørsmål og øvrig relevant informasjon fra nettsidene. Generelt Det fremgår av iam.no sine brukervilkår at I m International behandler personopplysninger med det formål å drive nettjenesten iam.no, og at tjenesten er en utvidet nummeropplysningstjeneste, som omfatter tradisjonell nummeropplysningsvirksomhet og verdiøkende tilleggstjenester. Selskapet behandler personopplysninger knyttet til de personer Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

som tjenesten tilbyr søk på. Det fremgår videre av brukervilkårene at I m International er behandlingsansvarlig. Det er tre kilder for personopplysninger som vises på nettsiden, herunder fra Easy Connect som utleverer grunndata, treff fra Google og brukergenererte opplysninger. Ifølge brukervilkårene er I m International behandlingsansvarlig for personopplysningene som publiseres på iam.no. Datatilsynet legger til grunn at Easy Connect er ansvarlig for nummeropplysningsinformasjon som videreformidles til I m International, og forutsetter at det foreligger en databehandleravtale som regulerer utlevering av personopplysninger mellom Easy Connect og I m International, jf. personopplysningslovens 15. Ivaretakelse av kravet om at personopplysningene skal være korrekte og oppdaterte Datatilsynet har mottatt flere henvendelser om at det er publisert en rekke ukorrekte opplysninger på nettsiden iam.no. Det fremgår av brukervilkårene under punktet Ansvar at I m International tilstreber at informasjon på tjenesten er korrekt og oppdatert, men det gjøres imidlertid ingen verifikasjon av informasjonen. I m International fraskriver seg ethvert ansvar for at informasjonen eventuelt kan være feil, utdatert eller misvisende. Registrerte brukere tilbys å redigere deler av søkeresultater som tjenesten gir. Det følger av personopplysningslovens 11 bokstav e) at den behandlingsansvarlige skal sørge for at personopplysningene som behandles er korrekte og oppdatert. Ansvarsfraskrivelsen som fremgår av nettsidens brukervilkår strider i så måte med grunnkravet i den nevnte bestemmelsen. I m International som behandlingsansvarlig kan ikke fraskrive seg ansvar for riktigheten av personopplysninger som publiseres på iam.no. Det fremgår av Deres redegjørelse av 15. oktober 2009 at fødselsdato hentes fra Adressehuset AS, som Easy Connect har en avtale med og at Adressehuset baserer seg på en skatteliste fra før 2004. Datatilsynet er av den oppfatning at å benytte personopplysninger som er basert på skattelister fra før 2004 er svært uheldig. I m International må anses som ansvarlig for at informasjon som publiseres fra disse kildene er oppdaterte og korrekte, og må ha rutiner for å foreta slik kvalitetssikring. Datatilsynet varsler med dette at tilsynet med hjemmel i personopplysningslovens 46 vil fatte vedtak der I m International pålegges å endre brukervilkårene under punktet Ansvar. Det skal fremgå klart av vilkårene hvem som har ansvaret for hva som publiseres, hvem opplysningene hentes fra, samt beskrivelse av ansvarsforholdet. Videre skal det innføres rutiner for å bedre sikre at personopplysninger som publiseres er korrekte og oppdatert. Publisering av reservert/hemmelig nummer Datatilsynet har mottatt en rekke henvendelser på at iam.no har publisert opplysninger om personer som har reservert seg mot slik publisering. Tilsynet ser alvorlig på dette. Det kan være mange årsaker til at personer reserverer nummeret sitt mot slik publisering. Slik tilsynet 2

ser det, er I m International uansett ansvarlig for personopplysninger som publiseres på iam.no jf. personopplysningslovens 11. Det er opplyst på iam.no at informasjon om eventuelle reservasjoner oppdateres fra teleoperatørene en gang pr døgn. Sett hen til at det har forekommet publisering av reservert/ hemmelig nummer på iam.no, og for å sikre at opplysninger som publiseres er korrekte og oppdaterte, mener Datatilsynet at det bør utarbeides ytterligere rutiner for å sørge for at utlevering av opplysninger om personer som har reservert/hemmelig nummer ikke finner sted. Datatilsynet antar at en grunn til at hemmelige/reserverte nummer tilflyter nummeropplysningsvirksomheter er de tilfeller hvor en abonnent med slikt nummer bytter teleoperatør, og informasjonen om hemmelig/reservert nummer ikke formidles i forbindelse med overføringen av abonnementet. Datatilsynet varsler med dette om at tilsynet med hjemmel i personopplysningslovens 46 vil fatte vedtak der I m International pålegges å bedre rutiner for å sikre at opplysninger om personer som har reservert/hemmelig nummer ikke publiseres. Reservasjon mot oppføring hos iam.no Utgangspunktet for at det som kalles grunndata er tilgjengelig for nummeropplysningsvirksomhetene, er interesseavveiningen som følger av personopplysningsloven 8 bokstav f). En slik interesseavveining vil i dette tilfelle en avveining mellom den enkeltes rett til selv å bestemme over opplysningene og formålet med publiseringen. Vurderingen av om hensynet til den registrertes personvern.. er tilstrekkelig ivaretatt avhenger blant annet av hvilken påvirkning den registrerte har. Dersom den enkelte gis en reservasjonsrett, vil det i henhold til Datatilsynets praksis, kunne være tilstrekkelig vern med hensyn til behandling av grunndata. I dag må abonnenten reservere seg mot utlevering til andre overfor egen teleoperatør dersom det ikke er ønskelig at slike opplysninger skal leveres ut, til for eksempel nummeropplysningsvirksomhet. Det er kommunisert tidligere at den eneste måten enkelpersoner kan hindre å bli oppført i de forskjellige nummeropplysningstjenestene på er å foreta en slik reservasjon som nevnt. Postog teletilsynets bemerker i brev av 7. desember 2009, som er innhentet i sakens anledning, at: Etter vårt syn er det prinsipielt uheldig dersom sluttbrukere skal føle seg tvunget til å reservere seg mot all nummeropplysning fordi de ikke ønsker å være oppført hos iam.no eller andre tjenester som tilbyr såkalte tilleggstjenester. I og med at det er I m International som er ansvarlig for publiseringen av personopplysningene som fremkommer på iam.no, må de etter Datatilsynets oppfatning selv ha et behandlingsgrunnlag. Et slikt grunnlag kan være personopplysningslovens 8 bokstav f), med tilhørende vurdering, en vurdering som har klare fellestrekk med den initiale vurderingen som ligger til grunn for utleveringen fra teleoperatøren. Interesseavveiningen som I m International baserer sin virksomhet på må etter Datatilsynets vurdering også inneholde en tilsvarende reservasjonsrett som teleoperatørene har. Det vil si at tjenesten må ha 3

systemer for at den enkelte kan reservere seg fra oppføring på den aktuelle nettsiden. En slik reservasjon skal være uavhengig av om iam.no jevnlig mottar oppdaterte lister fra de forskjellige teleoperatørene, enten selv direkte eller via en underleverandør. Datatilsynet har vurdert saken på prinsipielt grunnlag, og vil bemerke at det er en grense for hvor mye tilleggsinformasjon som kan kobles sammen med grunndata før en slik vurdering som skal foretas etter personopplysningslovens 8 bokstav f) vil falle i enkeltindividets favør. Finner tilsynet at dette er tilfellet, vil et av få gjenværende mulige behandlingsgrunnlag være samtykke, jr. personopplysningslovens 8 første ledd. Datatilsynet varsler ikke vedtak på dette punktet da vi legger til grunn at tjenesten iam.no har en slik reservasjonsordning. Datatilsynet minner i denne anledning om at det påhviler I m International som behandlingsansvarlig å ha tilfresstillende autentiseringsmekanismer for å sikre at en slik reservasjonsrett ikke kan misbrukes. Bruk av IP-adresser Ifølge brukervilkårene lagrer I m International informasjon om IP-adresser anonymt. Europeisk samarbeidsgruppe om personvern, artikkel 29-gruppen, har uttalt at en IP-adresse i mange tilfeller er å anse som en personopplysning. For at en opplysning skal anses anonym, skal det ikke være mulig å spore opplysninger eller vurderinger tilbake til en enkeltperson. Datatilsynet kan på bakgrunn av dette vanskelig se at opplysninger om IP-adresser kan lagres anonymt i personopplysningslovens forstand. En IP-adresse kan si noe om hvilket abonnement som har vært pålogget. Datatilsynet tar til etterretning at det kan være behov for å lagre IP-adresser, dog slik at dette kun er tillat etter bestemmelsen i personopplysningsforskriften 7-11, for administrasjon av eget datasystem eller for å avdekke/oppklare brudd på sikkerheten i edb-systemet. Datatilsynet kan ikke se at I m International har presentert et behandlingsgrunnlag for å oppbevare informasjon om IP-adresser utover dette, jf. personopplysningslovens 11 og 8. Datatilsynet varsler med dette at tilsynet med hjemmel i personopplysningslovens 46 vil fatte vedtak der I m International pålegges å endre sine rutiner vedrørende lagring av IPadresser i tråd med personopplysningsforskriftens 7-11. Publisering av fødselsdato Ifølge Deres brev av 15. oktober 2009 publiseres kun fødselsdato på nettstedet iam.no. Datatilsynet har foretatt et søk på iam.no, og registrerer at det nå kun er alder som publiseres. Nettsidens publisering av alder er følgelig ikke i strid med personopplysningslovens 8 bokstav f). I tillegg til informasjon om alder publiseres informasjon om personers stjernetegn. Ut fra informasjon om stjernetegn kan man utlede hvilket tidsrom på året vedkommende er født. 4

Tilsynet har mottatt en rekke klager på publisering av stjernetegn. Datatilsynet kan vanskelig se hvilken relevans publisering av stjernetegn har, og er noe i tvil om publisering av stjernetegn vil være i tråd med personopplysningslovens 8 bokstav f). På bakgrunn av dette, anmoder Datatilsynet I m International om å vurdere å fjerne stjernetegn fra iam.no. 1. I m International må endre brukervilkårene om Ansvar, og klargjøre ansvarsforholdene mellom egen virksomhet og samarbeidspartnere, samt utarbeide bedre rutiner for å sikre korrekt og oppdatert publisering av personopplysninger. 2. I m International må sikre at reserverte og/eller hemmelige telefonnummer ikke publiseres. 3. I m International må avikle eller endre rutinen med å lagre IP-adresser, jf. personopplysningslovens 8 og 11 samt personopplysningsforskriften 7-11. Frist for tilsvar Merknader til foreliggende varsel eller til noen av merknadene i dette brevet bes sendt til Datatilsynet innen tre uker fra mottak av dette varsel. Dokumentasjon på at vedtaket er fulgt opp sendes Datatilsynet så snart som mulig, og senest innen 1. april 2010. Med hilsen Kim Ellertsen avdelingsdirektør Hanne Silje Gule førstekonsulent Kopi: Post og Teletilsynet 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding