Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport



Like dokumenter
Vår referanse (bes oppgitt ved svar)

Deres ref Vår ref (bes oppgitt ved svar) Dato

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Deres referanse Vår referanse Dato / /EOL

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vår referanse (bes oppgitt ved svar)

Veileder utlevering av trafikkdata etter fullmakt

Kontroll av reseptformidleren endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Deres referanse Vår referanse Dato 15/ /JSK

Lydopptak og personopplysningsloven

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

06. FEB Saksnr.

Endelig kontrollrapport

Endelig kontrollrapport

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Databehandleravtaler

BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Endelig kontrollrapport

Foreløpig kontrollrapport

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Adressemekling. Innhold INNLEDNING AKTØRENE

Vedtak om pålegg - endelig kontrollrapport

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Vår referanse (bes oppgitt ved svar)

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

GDPR FOR EIENDOMSSELSKAPER

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Personvern - sjekkliste for databehandleravtale

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Personvernnemndas praksis om forholdet mellom samtykke og andre rettslige grunnlag

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar)

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Personvern for mobilkunder hos Fjordkraft

Endelig kontrollrapport

PERSONVERNERKLÆRING. Innledning

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Høyesterettsdom i Avfallsservice-saken

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Endelig kontrollrapport Kreftregisteret / Janusbanken

Transkript:

Tafjord Marked AS Serviceboks 1 6025 ÅLESUND Deres referanse 10/00139-6-464- GH-HN Vår referanse (bes oppgitt ved svar) Dato 10/00192-10/HTE 12. april 2012 Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport Det vises til Datatilsynets stedlige kontroll 23. mars 2010 samt tilsynets varsel om vedtak av 6. juni 2011. Virksomheten ba om en frist utsettelse for å komme med kommentarer på den foreløpige kontrollrapporten den 28. juni 2011. Denne henvendelsen ble ved en inkurie ikke besvart. Datatilsynet kan dog ikke registrere at virksomheten har kommentert den foreløpige kontrollrapporten eller varsel om vedtak. Vedtak om pålegg I tråd med varsel om vedtak og med hjemmel i personopplysningsloven 46 gis følgende pålegg: 1. Virksomheten må inneha konsesjon fra Datatilsynet for behandling av personopplysninger i televirksomheten, jf. personopplysningsforskriften 7-1. Det vises til kontrollrapportens 5.1. 2. Virksomheten må etablere et internkontrollsystem i samsvar med personopplysningsloven 14. Det vises til kontrollrapportens 5.2. 3. Virksomheten må etablere databehandleravtaler med Phonect og Tafjord Kraftnett AS i samsvar med personopplysningsloven 15. Det vises til kontrollrapportens 5.3. 4. Virksomheten må slette trafikkdata senest innen 3 måneder der det benyttes månedsvis fakturering, og 5 måneder der det benyttes kvartalsvis fakturering jf. personopplysningslovens 28. Det vises til kontrollrapportens 5.5. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt Vurdering av overtredelsesgebyr Det følger av personopplysningsloven 46 at Datatilsynet kan pålegge den som har overtrådt personopplysningsloven eller personopplysningsforskriften, å betale et overtredelsesgebyr. Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på momentene i 46, 2. ledd bokstav a-h. Tilsynet vil i det følgende foreta en vurdering av aktuelle momenter. a) hvor alvorlig overtredelsen har krenket de interesser loven verner, Av personopplysningsloven 1, 2. ledd følger det at loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I denne saken har ikke virksomheten hatt nødvendig tillatelse til å behandle personopplysninger i televirksomhet. Videre har virksomheten ikke slettet data for IP-telefoni siden 1. mars 2006, og aldri slettet IP-adresser. Virksomheten er en av de mindre aktørene innenfor telekomsektoren i Norge. Den ulovlige lagringen av trafikkdata samt IP-adresser, vil ikke ha berørt en stor gruppe mennesker. Det kan generelt hevdes at jo flere personopplysninger som behandles, og jo mer sensitive opplysningene er, desto større er ulempen for personvernet. Trafikkdata vil i utgangspunktet ikke anses som sensitive personopplysninger, men kan allikevel kunne krenke tungtveiende personverninteresser, ut i fra mengden samt arten av personopplysningene som behandles. b) graden av skyld, Det følger av forarbeidene til bestemmelsen, i Ot.prp. nr. 71 (2007-2008), at det med graden av skyld siktes det til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg. Virksomheten har behandlet personopplysninger i telesektoren uten nødvendig konsesjon. Datatilsynet legger videre til grunn at virksomheten burde være kjent med tilsynets prinsippvedtak vedrørende lagringstid for IP-adresser, og at manglende innrettelse må kunne anses som klanderverdig. Datatilsynet er av den oppfatning at de bruddene som det her gjelder ligger klart innenfor virksomhetens kontroll. 2

c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, Virksomheten har vist en manglende kjenneskap til reglene som regulerer behandlingen av personopplysninger innenfor telekommunikasjon. Kjennskap til regelverket må anses som en grunnleggende forutsetning for å kunne operere i bransjen. Det at Tafjord Markeds er en relativ liten aktør i bransjen, er ingen unnskyldning for at man ikke har kjennskap til sentrale bestemmelser som regulerer deres virke. Ledelsen i virksomheten må følgelig bære ansvaret for at virksomheten som sådan har hatt tilstrekkelig med kompetanse innad i virksomheten. d) om overtredelsen er begått for å fremme overtrederens interesser, Datatilsynet legger til grunn at overtredelsen ikke er begått for å fremme overtrederens interesser, men heller skyldes manglende kunnskap om regelverket. e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, Det er i henhold til merknadene til bestemmelsen i personopplysingsloven (Ot.prp. nr. 71 2007-2008 s. 12), tilstrekkelig at overtredelsen etter sin art er egnet til å oppnå en fordel, jf. «kunne ha oppnådd». Videre er det ikke nødvendig at fordelen har vært av økonomisk art. Datatilsynet legger til grunn at virksomheten kan ha oppnådd flere fordeler ved å bryte personopplysningslovens bestemmelser. Virksomheten kan ha spart kostnader ved ikke å innrette seg med henholdsvis konsesjon og prinsippvedtak. f) om det foreligger gjentakelse, Datatilsynet har ingen grunn til å tro at det foreligger gjentakelse. g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og Datatilsynet har ovenfor konkluder med å pålegge Tafjord Markeds å endre sin lagringspraksis. Det er ikke aktuelt for Datatilsynet å ilegge andre reaksjoner enn overtredelsesgebyr for overtredelsene. h) overtrederens økonomiske evne. Ved vurdering av om overtredelsesgebyr skal ilegges skal det sees hen til overtreders økonomiske situasjon. Dette momentet vil i utgangspunktet ha større betydning for utmåling av overtredelsesgebyret enn i vurderingen av om overtredelsesgebyr skal ilegges. Det presiseres at virksomhetens økonomi tillegges mindre betydning hvis overtredelsen først er vurdert som grov, jf. bokstav a. 3

Konklusjon Etter å ha vurdert momentene i personopplysningsloven 46 bokstav a-h, finner Datatilsynet ikke grunnlag for å kunne ilegge Tafjord Markeds et overtredelsesgebyr. I vurderingen vektlegges særlig det forhold at det har gått lang tid fra kontrolltidspunktet, til vedtak i saken er blitt fattet. Datatilsynet har for øvrig ikke ilagt overtredelsesgebyr i saker som det er naturlig å sammenligne denne med. Med vennlig hilsen Kim Ellertsen avdelingsdirektør Henok Tesfazghi rådgiver Vedlegg: Endelig kontrollrapport 4

Saksnummer: 10/00192-4 Dato for kontroll: 23.03.2010 Rapportdato: 26.03.2012 Endelig kontrollrapport Kontrollobjekt: Tafjord Marked AS Sted: Ålesund Utarbeidet av: Henok Tesfazghi og Atle Årnes 1 Innledning Datatilsynet gjennomførte kontroll hos Tafjord Marked AS den 23. mars 2010. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med utlevering av personopplysninger til politiet. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Asbjørn Krohn Dalen, Administrerende direktør - Harald O. Nøstedahl, Markedssjef - Tove S. Sætre Breivik, Avdelingsleder kundesenter - Dag Olav Par Slettvoll, stedfortreder for teamleder 2.2 Fra Datatilsynet: - Henok Tesfazghi, juridisk rådgiver - Atle Årnes, senioringeniør 3 Generelt Tafjord Marked AS har 40 ansatte. Omtrent 18 av disse er ansatte i kundesenteret. Telekom- delen i Tafjord Kraftnett AS håndterer internettilgang, domener, e-post, telefoni, fiber-tv. Telekom har 8 ansatte. Alt teknisk blir håndtert av Telekomdelen i Tafjord Kraftnett AS, mens kundesenteret hos Tafjord Marked AS håndterer kundehenvendelser, også de tekniske. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten har oppgitt følgende antall kunder innen de forskjellige områder: Mer enn 1500 Internett bedriftskunder Mer enn 15000 Internett privatkunder Mer enn 1800 Internett privatkunder på fiber 1 av 6

Omtrent 150 Internett bedriftskunder på fiber Nesten 3500 IP-telefoni abonnenter. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Konsesjonsplikt I henhold til personopplysningsforskriften 7-1 er det konsesjonsplikt for behandling av personopplysninger i telesektoren. Kontrollen avdekket at virksomheten ikke har konsesjon fra Datatilsynet. Det ble riktignok gitt en konsesjon for teletjenester til Mimer AS, et selskap som ble kjøpt opp av Tafjord Kraft Bredbånd AS, og etter hvert fusjonert med Tafjord Kraftsalg, og som samtidig skiftet navn til Tafjord Markeds AS. Konsesjonen som ble gitt 19.07.2000 til Mimer AS, og er ikke anvendbar for Tafjord Markeds AS. At virksomheten behandler personopplysninger i telesektoren uten konsesjon, anses som en mangel i henhold til personopplysningsforskriften 7-1. 5.2 Internkontroll Personopplysningslovens 14 stiller krav om at behandlingsansvarlig skal etablere internkontroll. Tiltak skal dokumenteres. Internkontrollplikten gjelder både juridiske og sikkerhetsmessige forhold. Virksomheten har startet arbeidet med å etablere rutiner. Under kontrollen kunne det ikke fremlegges noen dokumenterte rutiner for behandling av personopplysninger i virksomheten slik loven krever. Internkontroll krever at den behandlingsansvarlige har kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon som beskriver hvordan behandling av personopplysninger skal skje i virksomheten (rutiner), samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå. Internkontrollen bør inneholde en styrende, gjennomførende og kontrollerende del. Den styrende delen bør blant annet inneholde en beskrivelse av formål med behandlingen, behandlingsgrunnlag og ansvaravklaringer. Den gjennomførende del med rutiner skal bidra til at de ansattes behandling av opplysninger skjer i samsvar med regelverket krav. Den kontrollerende del bør inneholder bestemmelser om avvikshåndtering og periodiske gjennomganger. Virksomheten har således ikke dokumentert lovens minimumskrav. Manglende internkontroll anses å være i strid med ovennevnte bestemmelse. 5.3 Databehandleravtale I henhold til personopplysningsloven 15 kan en databehandler ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. 2 av 6

Virksomheten benyttet Phonect som databehandler for virksomhetens IP-telefonitjeneste. Det foreligger ingen skriftlig databehandleravtale med denne databehandleren. Phonect lagrer trafikkdata for Tafjord Markeds kunder på IP-telefoni. Trafikkdataene blir sendt Tafjord Marked for fakturering av kunder. Virksomheten benyttet teknisk kunnskap hos Tafjord Kraftnett AS, det ble benyttet 8 personer fra deres telekomavdeling. Datatilsynet anser at de ansatte fra telekomavdelingen i Tafjord Kraftnett AS, behandler personopplysninger på vegne av Tafjord Markeds. Det forelå ingen skriftlig databehandleravtale med Tafjord Kraftnett AS. Datatilsynet anser det som et brudd på personopplysningslovens 15 at det ikke foreligger en skriftlig databehandleravtale med henholdsvis Phonect AS og Tafjord Kraftnett AS. 5.4 Utlevering av personopplysninger til andre virksomheter (politiet) Virksomheten erfarte at politiet etterspurte kunders historiske trafikkdata, identiteten bak en elektronisk kommunikasjonsadresse (ip-adresse vil inngå i begrepet elektronisk kommunikasjonsadresse) eller abonnementsopplysninger i en begrenset grad Det var i løpet av de siste 8 måneder utlevert data til politiet tre ganger. Utleveringene gjaldt følgende: En utlevering av navn på eier av konkret IP-adresse. En utlevering av trafikkdata på IP-telefoni. En utlevering på adresseopplysning. Utlevering av trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse er å anse som en behandling av personopplysninger, jf. personopplysningslovens 2 nr. 2. For å behandle personopplysninger, må man ha et behandlingsgrunnlag, jf personopplysningsloven 11, jf. 8. Som hovedregel bør dette være samtykke fra den det gjelder. Andre behandlingsgrunnlag kan være at adgangen til behandling er fastsatt i norsk lov eller at en slik behandling er nødvendig for nærmere angitte formål. For behandling av sensitive personopplysninger må i tillegg et av vilkårene i personopplysningsloven 9 være oppfylt. Hva som regnes som sensitive personopplysninger er uttømmende regulert i personopplysningsloven 2 nr. 8. Det at en person har vært (eller er) mistenkt for en straffbar handling er å anse som en sensitiv personopplysning. Når politi/påtalemyndighet etterspør trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse, vil de personopplysningene teletilbyder utleverer anses som en sensitiv personopplysning, siden opplysningene kan knyttes til en enkeltperson som er mistenkt for en straffbar handling. 3 av 6

5.4.1 Samtykke Et samtykke er et av vilkårene som i utgangspunktet vil tilfredsstille både personopplysningslovens 8 og 9. Samtykket må imidlertid være en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningslovens 2 nr. 7. Etter forarbeidene (Ot.prp.nr.92 [1998-1999] Behandling av personopplysninger [personopplysningsloven] til personopplysningsloven 2) ligger det i uttrykket at samtykket ikke må være avgitt "under noen form for tvang fra den behandlingsansvarlige eller andre". Problemstillingen som reises når politiet innhenter et samtykke fra en mistenkt, er om samtykke blir avgitt frivillig. Datatilsynet viser da til den «maktubalanse» som ofte vil være til stede dersom politi- og påtalemyndighet ber noen om et samtykke. Det kan være vanskelig å overskue hva som vil være konsekvensen av ikke å avgi et samtykke og personen opplysningene gjelder vil kunne føle seg presset til å avgi samtykke når en myndighetsperson ber om det. Et samtykke til utlevering av trafikkdata samt øvrige personopplysninger kan fort få som konsekvens at individet samtykker med den motivasjon å bevise sin uskyld. Tilsynet peker da på faren for utglidning i forhold til prinsippet om at det er politi- og påtalemyndighetens plikt å bevise skyld. Det er i utgangspunktet virksomheten (tilbyder) som skal foreta den konkrete vurdering av om vilkårene til et gyldig samtykke er oppfylt, før virksomheten utleverer personopplysningene. Datatilsynet kan dog overprøve den vurderingen som virksomheten foretar. Det vil her være naturlig å skille mellom den konkrete informasjonen som står nedfelt i samtykkeerklæringen som virksomheten mottar av politi/påtalemyndighet, samt den psykologiske situasjonen som den enkelte befinner seg i. Den sist nevnte situasjonen vil det være vanskelig for virksomheten å vurdere om den registrerte har blitt utsatt for utilbørlig press fra politi/påtalemyndighet. Ved behandling av sensitive personopplysninger vil det være særlig hensiktsmessig at samtykket blir dokumentert skriftlig. En løsning der den mistenkte kun blir muntlig orientert om at det er frivillig å avgi et samtykke, vil etter de gitte omstendigheter, fremtre som mindre sannsynlig at kravet til et frivillig, utrykkelig og informert samtykke er oppfylt. 1 Samtykkeerklæringer benyttes overfor tilbyder for å dokumentere at den registrerte har samtykket til utlevering av f. eks. trafikkdata, jf. personopplysningsloven 11 jf. 8 første alternativ og 9, 1.ledd litra a, samtykke fra bruker er også en forutsetning for at tilbyders taushetsplikt blir opphevet, jf. ekomloven 2-7 annet ledd annet punktum, jf. ekomforskriften 7-4. Eventuelle mangler ved samtykket, jf. personopplysningslovens 2 nr 7, vil følgelig få 1 Jf. Ot.prp.nr.92 [1998-1999] s 103 4 av 6

betydning for om tilbyder kan utlevere personopplysninger (trafikkdata). Tilsynet vil imidlertid understreke at hvert forhold må vurderes konkret. 5.4.2 Hjemmel i lov Det andre aktuelle behandlingsgrunnlaget er at det er fastsatt i lov at det er adgang til slik behandling, jf. personopplysningsloven henholdsvis 8 første ledd og 9 litra b). Når politiet etterspør trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse vises det til beslagshjemler i straffeprosesslovens 203 205. Politiets beslagshjemler er etter Datatilsynets vurdering lite egnet ovenfor virksomheten, og virksomheten vil etter tilsynets bedømning ikke være rettslig forpliktet til å utlevere trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse, når det vises til straffeprosesslovens 203 205. 2 Spørsmålet blir så om tilbyder har adgang til å utlevere sensitive personopplysninger, jf. personopplysningslovens 8 første alternativ og 9, 1. ledd litra b? I følge personopplysningslovens 8 første alternativ og 9, 1. ledd litra b kreves det at «det er fastsatt i lov at det er adgang til slik behandling». Etter forarbeidene (Ot.prp.nr.92 [1998-1999] Behandling av personopplysninger [personopplysningsloven] til personopplysningsloven 8) sies det følgende: Hjemmelskravet er relativt, slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få. Også slik behandling av personopplysninger som er regulert i annen lov må fylle de kravene som oppstilles for lovlig behandling i EU-direktivet artikkel 7 i den utstrekning behandlingen faller inn under direktivets anvendelsesområde. 3 Hvorvidt en behandling faktisk er hjemlet i lov, vil bero på en konkret vurdering. Det må dog legges til grunn at de personopplysninger som behandles av tilbyder er sensitive, og at det derfor må stilles et strengere krav til en klar hjemmel, enn hvis personopplysningene ikke var sensitive. I denne saken må det vurderes om politi/påtalemyndighetens kompetanse til å ta beslag, jf. strprl. 203-205, tilfredsstiller lovkravet etter personopplysningslovens 8 første alternativ og 9, 1.ledd litra b, slik at tilbyder har adgang til å sammenstille og utlevere sensitive personopplysninger. Bestemmelsene skal forsåes dit hen at hvis det finnes en tiltrekkelig klar lovbestemmelse som tillater en slik behandling, vil bestemmelsenes vilkår vær oppfylt. Bemerkning 2 Se også Riksadvokaten sin vurdering i brev til Oslo statsadvokatembete av 2. mars 2010 (saksnr. Ra 06-231 TAA/KAK 332.1) 3 Ot.prp.nr.92 [1998-1999] s. 108 5 av 6

Riksadvokaten har i sin avklaring konkludert med at politiet både kan benytte reglene om beslag og utleveringspålegg (etter at fritak fra taushetsplikt er innhentet). Datatilsynet tar Riksadvokatens vurdering til etterretning og legger til grunn at et en beslagsbeslutning fra kompetent myndighet, vil kunne oppfylle lovkravet, jf. personopplysningslovens 8 første alternativ og 9, 1.ledd litra b. 5.5 Lagring av unødvendige opplysninger I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. I henhold til Datatilsynets standard telekonsesjonen, som Tafjord Marked ikke har blitt tildelt, skal opplysninger som benyttes til faktureringsformål, slettes når faktura er gjort opp, eventuelt når klagefrist er gått ut. Ved kvartalsvis fakturering skal opplysningene slettes senest 5 måneder etter at de ble registrert. Velger virksomheten å gå over til månedsvis fakturering, skal opplysningene slettes senest 3 måneder etter at de ble registrert. Datatilsynet vil her presisere at slettefristene vil kunne være kortere, jf. begrepet «slettes senest». Virksomheten har lagret trafikkdata for IP-telefoni siden 1. mars 2006. Det var denne dato virksomheten startet med å tilby IP-telefoni. Virksomheten har aldri slettet kundenes trafikkdata for IP-telefoni. Det ble opplyst at databehandleren Phonect selv har lagret trafikkdataopplysninger tilbake til september 2008. I kundens modem ble det lagret trafikkdata i mer enn 3 uker. På dagen for kontrollen den 23. mars 2010, ble det funnet data tilbake til 2. mars. Disse trafikkdataene omfattet tidspunkt og varighet for innkommende, utgående og tapte anrop. Kundene var ikke orienterte om at disse data var tilgjengelige. For oppkoblingen til Internett ble kundene tildelt fast IP-adresse. Dette omfattet rundt 17000 internettkunder. De kundene som var tilknyttet Internett via fiber hadde dynamiske IPadresser med tildelingstid på en uke. Datatilsynet anser at det er et brudd på personopplysningsloven 28 å lagre trafikkdata lengre enn det som er nødvendig. Virksomheten kunne ikke vise til noe behandlingsgrunnlag for å lagre trafikkdata. Faktisk ble trafikkdata for IP-telefoni aldri slettet. Konklusjon Virksomhetens manglende sletting av trafikkdata strider mot personopplysningslovens 11 litra e), jf. 28. 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding