Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport



Like dokumenter
Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vår referanse (bes oppgitt ved svar)

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vår referanse (bes oppgitt ved svar)

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vår referanse (bes oppgitt ved svar)

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vår referanse (bes oppgitt ved svar)

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Deres referanse Vår referanse Dato 15/ /JSK

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Deres referanse Vår referanse Dato / /EOL

Lydopptak og personopplysningsloven

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Foreløpig kontrollrapport

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Vedtak om pålegg - endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Kontroll av reseptformidleren endelig kontrollrapport

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Endelig kontrollrapport

Personvern-rett H2016

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

- IVER 1. OM TJENESTEN

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Pålegg om stans av behandling av personopplysninger - Gator AS

Endelig kontrollrapport

Telenor Norge AS Postboks Fornebu

Endelig kontrollrapport

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Vedtak om pålegg kameraovervåking hos Move treningssenter

BEHANDLING AV PERSONOPPLYSNINGER

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Krav til markedsføring av hastighet - mfl. 6, 7 og 8

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

Personvernerklæring. Telenor Norge AS. (Gjeldende fra )

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Personvern for mobilkunder hos Fjordkraft

Adressemekling. Innhold INNLEDNING AKTØRENE

Personvernerklæring. Nordix Data AS Gjeldende fra

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

Personvernerklæring. Nettbasert behandling av personopplysninger

EcoNovas personvernerklæring

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Informasjon om Danica Pensjons behandling av personopplysninger

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Personvernerklæring for Webstep AS

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Endelig kontrollrapport

Personvernerklæring. Nettbasert behandling av personopplysninger

Transkript:

Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Datatilsynet viser til tilsynets varsel om vedtak av 18. november 2011, samt deres tilsvar til varselet av 9. desember 2011 og 13. januar 2012. Bakgrunn for vedtaket (fra kontrollrapport og varsel om vedtak) Telenor lagrer i dag brukermønster for enkeltkunder i fem måneder i et system som heter Agama. Det benyttes i hovedsak til å sjekke kvaliteten på kanalen som kunden ser på hvis det forekommer en klage til kundesenter. Feilsøkingsverktøyet Agama brukes per i dag overfor alle kundene, uten at kundene så langt har fått informasjon om dette eller muligheten for å reservere seg mot registreringen av brukermønsteret som bruken av Agama innebærer. I henhold til personopplysningslovens 11 kan den behandlingsansvarlige kun behandle personopplysninger når dette er tillatt etter personopplysningslovens 8 og 9. Telenor behandler personopplysninger om sine kunder i henhold til personopplysningslovens 8 bokstav a) at behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske. Dette behandlingsgrunnlaget forutsetter at medlemmene får god informasjon om hvilke opplysninger som registreres, hva formålet med registreringen er, og hvor lenge opplysningene skal lagres, jf. personopplysningslovens 19. Datatilsynet har tidligere uttalt at kunder bør ha en mulighet til å reservere seg mot registrering av brukermønster. Det vil da være opp til kunden selv å vurdere om vedkommende ønsker muligheter for kvalitetsmessig vurdering mot at husstandens brukermønster registreres for feilsøking. Registrering av brukermønster over lengre tid er ikke en forutsetning for å levere en IP-TV tjeneste, men i følge virksomheten en forutsetning for å gi en bedre service/brukerstøtte på et allerede eksisterende produkt. Den registrerte bør derfor ha et klart valg om en slik registrering er ønskelig, og det skal derfor finnes alternativer som ikke krever registrering av brukermønster. Datatilsynet er i utgangspunktet skeptisk til at en avtale inneholder vilkår som gjør at kunden vil bli detaljregistrert for å kunne motta en tjeneste, dersom den registrerte ikke har klare alternativer til en slik avtale. Telenor er i henhold til personopplysningslovens 11, jf. 8 bokstav a), jf 19 forpliktet til å informere sine kunder om registreringen av deres brukermønster i Agama, samt hvor lenge Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

opplysningene lagres og hva de brukes til for å oppfylle vilkåret til rettslig grunnlag for behandlingen av personopplysninger. Manglende avklaring av rettslig grunnlag for lagring av brukermønster for kunder av IP-TV tjenesten anses å være i strid med ovennevnte bestemmelser. Det forutsettes også at kunden får et reelt valg om slik registrering, da registreringen ikke er nødvendig for å levere nevnte tjeneste. Datatilsynet er ikke enig med Telenors vurdering om at virksomheten ikke registrerer og lagrer brukermønster fordi informasjon om kvalitet på signalet og hvilken kanal en kunde så på ikke blir sammenstilt med hvilket program som gikk på kanalen. Da dette er informasjon som er relativt lett å sammenstille, mener Datatilsynet at begrepet brukermønster likevel er dekkende. Om ekomlovgivningen som rettslig grunnlag for lagring av brukermønster Slik Datatilsynet forstår Telenors siste tilsvar, mener virksomheten at det foreligger et rettslig grunnlag for bruk av Agama overfor alle IP-TV kunder, uten at kundene har muligheten til å reservere seg mot dette i henhold til ekomlovgivningen. Datatilsynet har innhentet en uttalelse fra Post- og Teletilsynet vedrørende fortolkningen av ekomlovgivningen med hensyn til dette. Av Post- og Teletilsynets brev fremgår det at tilsynet ikke er enig med Telenors fortolkning av ekomlogvivningen, og at ekomlovgivningen ikke gir hjemmel for slik lagring av brukerhistorikk som Telenor foretar. Post- og Teletilsynet skriver følgende: Post- og teletilsynet (PT) vil innledningsvis understreke at det bare er selve overføringstjenesten, dvs. fremføring og dirigering av elektromagnetiske signaler i et elektronisk nett, som omfattes av ekomloven. I sitt brev viser Telenor til at ekomloven 2-2 indirekte stiller krav til kvaliteten på overføringstjenesten. PT er ikke enig i at bestemmelsen inneholder kvalitetskrav. Ekomloven 2-2 stiller kun krav om at tilbydere skal kunne iverksette tiltak for å måle og informere om kvaliteten på tjenesten de leverer. Bestemmelsen henger nær sammen med ekomloven 2-4 som pålegger tilbydere å informere sluttbruker om leveringsvilkår og ekomforskriften 1-8 som sier at avtalevilkårene blant annet skal inneholde relevante opplysninger om nett og tjeneste, kvalitetsparametre, vedlikeholdsvilkår (nr. 2) og kompensasjons- og refusjonsordninger ved kvalitetsavvik eller ved manglende levering (nr. 5). Ekommyndigheten stiller altså ikke etter 2-2 krav til kvaliteten på framføringen av signalene, men stiller krav om at det framgår av den privatrettslige avtalen mellom en tilbyder og en sluttbruker, hvilken kvalitet kunden kan forvente. Ekommyndigheten kan etter ekomloven 2-3 stille krav til elektroniske kommunikasjonsnett og - tjenester for å sikre kvalitet. Det er for IPTV-tjenester ikke gitt særlige kvalitetskrav. Å pålegge kvalitetskrav som forutsetter at tilbyder lagrer data på sluttbrukenivå for å sikre kvalitet på leveransen, vil ikke være aktuelt. 2

Etter PTs syn er det derfor ikke riktig at ekommyndigheten stiller slike krav til kvaliteten på IPTVtjenester, at det er behov for å lagre kvalitetshistorikk knyttet til hver enkelt TV-boks. Som hovedregel skal trafikkdata slettes eller anonymiseres så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål, jf. ekomloven 2-7 annet ledd. PT kan ikke se at det vil være nødvendig å lagre informasjon om hvilken kanal den enkelte sluttbruker har benyttet samt kvalitetshistorikken for den enkelte sluttbruker i tre måneder, for å oppfylle disse formålene. PT erkjenner at AGAMA gir Telenor et verktøy for å sikre at kvaliteten på tjenesten til enhver tid er god. For å avdekke kvalitetsproblemer i bestemte områder, vil det etter PTs vurdering på grunnlag av de opplysninger Telenor gir i sitt brev til Datatilsynet, ikke være nødvendig å lagre kvalitetshistorikk for den enkelte sluttbruker. For å sikre seg kvalitetshistorikk i et bestemt område over tid, kan Telenor for eksempel lagre de aktuelle data i anonymisert form. PT ser at AGAMA også i forbindelse med behandling av klager fra kunder, kan være et verktøy som forenkler klagebehandlingen. Ved eventuelle klager vil imidlertid vedvarende problemer kunne avdekkes ved for eksempel målinger hos den aktuelle kunden som opplever problemene. På bakgrunn av dette kan ikke Datatilsynet se at Telenor har et rettslig grunnlag for lagring av brukerhistorikk uten at kundene har anledning til å reservere seg mot dette. Avsluttende vurderinger På bakgrunn av dette legger Datatilsynet til grunn at Telenor er forpliktet til å gi kunder en mulighet ved avtaleinngåelsen å velge om de ønsker at deres brukermønster skal registreres i Agama. Også eksisterende kunder må gis dette valget. Det vil da være opp til kunden selv å vurdere om vedkommende ønsker at husstandens brukermønster registreres for feilsøking, eller om kunden aksepterer et produkt uten muligheter for feilsøking, men slipper å få brukermønsteret registrert og lagret i 3 måneder. Dette vil være i tråd med personopplysningslovens 11, jf. 8 med hensyn til rettslig grunnlag for registreringen av brukermønster. Det vises i denne sammenheng til at Datatilsynet også har hatt samme praksis overfor andre aktører innenfor IP-TV. Datatilsynet finner det ikke nødvendig å gå inn i Telenors anførsler i tilsvaret av 13. januar 2012 vedrørende Teknisk redegjørelse og Sikkerhetsaspektet, da disse to delene av tilsvaret forutsetter at Telenor har et rettslig grunnlag for lagring av brukerhistorikk uten samtykke fra og reservasjonsadgang for kundene. Vedtak: Med hjemmel i personopplysningslovens 46 fatter Datatilsynet herved følgende vedtak: 1. Registrering av brukermønster til kunder av IP-TV skal bringes til opphør. Dette med mindre kunder gis en mulighet ved avtaleinngåelsen til å velge om de ønsker at deres brukermønster skal registreres i Agama, jf. personopplysningslovens 11, jf. 8 bokstav a). Også eksisterende kunder må få dette valget. For nærmere informasjon, se den foreløpige kontrollrapportens punkt 5.1.3. 3

Dette vedtak kan påklages til Personvernnemnda i medhold av forvaltningslovens kapittel IV, jf. personopplysningslovens 44 jf. 42, 4. ledd. Eventuell klage må sendes til Datatilsynet senest tre uker etter mottaket av dette brev. Med vennlig hilsen Cecilie L. B. Rønnevik seniorrådgiver Maria Bakke rådgiver Kopi: Telenor ASA - Personvernombudet, 1331 FORNEBU Vedlegg: Endelig kontrollrapport Brev fra Post- og Teletilsynet, dokument 11/00339-13 4

Saksnummer: 11/00339 Dato for kontroll: 04.05.2011 Rapportdato: 02.03.2012 Endelig kontrollrapport Kontrollobjekt: Telenor Sted: Oslo Utarbeidet av: Frank U. Eriksen Maria Bakke 1 Innledning Datatilsynet gjennomførte kontroll hos Telenor ASA 04.05.11 (Heretter virksomheten). Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med IP-TV. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets atilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Rolv-Erik Spilling CTO Telenor Norway - Dag Kristoffersen Produktsjef IPTV - Leif-Henrik Rønnevig Advokat - Anita Flohr Calussen Personvernombud - Kjetil Rognsvåg Group Privacy Officer 2.2 Fra Datatilsynet: - Maria Bakke - Rådgiver - Frank Ulfsby Eriksen - Senioringeniør 3 Generelt Telenor Norge er landets største leverandør av tele- og datatjenester. De tilbyr bredbånd, telefoni, mobil og kabel-tv til privat og bedriftskunder. Under bredbånd tilbys også en tjeneste for IP-TV. Den forutsetter en såkalt set-top top boks som kunden har hjemme i egen stue. Denne tjenesten overfører enkeltvis kanaler fra et sentralt system hos Telenor ut til kunden avhengig av hva vedkommende vil ses på. I all hovedsak tilbys IP-TV over fibertilknytning, da kravet til båndbredde er høyt for å oppnå tilfredsstillende kvalitet i overføringen. Det tilbys også mulighet for å leie film gjennom et tilgjengelig bibliotek i løsningen. 1 av 5

4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten samler inn opplysninger om kunder for å levere tv-abonnement og filmleie gjennom internett. I tillegg registreres informasjon om filmleie og kanalpakker som kunden har bestilt eller benyttet seg av. Informasjonen lagres av faktureringsformål, og en stor andel av abonnentene har kvartalsvis fakturering. Informasjon om filmleie, bruksmønster og bruk av tjenester ut over kanalpakker samt avbestilte kanalpakker blir lagret i 5 måneder. Kunder har anledning til å slette sitt eget brukermønster på sin egen kundeportal (boks), men dette innebærer ikke sletting av brukermønsteret eller andre opplysninger fra Telenors egne registre, dette gjøres ikke kunden oppmerksom på. Dersom en kunde tar kontakt med Telenor og ber om å få opplysninger om sitt bruk av IP-TV produktet slettet, er det uklart om vedkommende får beskjed om at opplysningene kun slettes etter 5 måneder. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelle krav til behandling av personopplysninger 5.1.1 Grunnkrav til behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningslovens 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette i henhold til personopplysningslovens 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningslovens 11 bokstav b). Videre stilles det i personopplysningslovens 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. Ved opphør av for eksempel et kundeforhold skal opplysningene slettes med mindre det foreligger utestående krav eller lagring er regulert i annen lovgivning. 5.1.2 Behandlingsgrunnlag Etter personopplysningslovens 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Behandlingen kan baseres på et samtykke fra den registrerte, lovhjemmel, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål, jf. bokstav a-f. Virksomhetens behandlingsgrunnlag for egne aktiviteter ovenfor abonnenten vil være behandling nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, jf. personopplysningslovens 8 bokstav a. For å behandle personopplysninger utover det som anses for å være nødvendig for å oppfylle avtalen med den registrerte, må en eventuell behandling av personopplysninger baseres på et samtykke fra den registrerte. 2 av 5

5.1.3 Behandlingsgrunnlag for registrering av brukermønster Telenor lagrer i dag brukermønster for enkeltkunder i fem måneder i et system som heter Agama. Det benyttes i hovedsak til å sjekke kvaliteten på kanalen som kunden ser på hvis det forekommer en klage til kundesenter. Feilsøkingsverktøyet Agama brukes per i dag overfor alle kundene, uten at kundene så langt har fått informasjon om dette eller muligheten for å reservere seg mot registreringen av brukermønsteret som bruken av Agama innebærer. I henhold til personopplysningslovens 11 kan den behandlingsansvarlige kun behandle personopplysninger når dette er tillatt etter personopplysningslovens 8 og 9. Telenor behandler personopplysninger om sine kunder i henhold til personopplysningslovens 8 bokstav a) at behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske. Dette behandlingsgrunnlaget forutsetter at medlemmene får god informasjon om hvilke opplysninger som registreres, hva formålet med registreringen er, og hvor lenge opplysningene skal lagres, jf. personopplysningslovens 19. Datatilsynet har tidligere uttalt at kunder bør ha en mulighet til å reservere seg mot registrering av brukermønster. Det vil da være opp til kunden selv å vurdere om vedkommende ønsker muligheter for kvalitetsmessig vurdering mot at husstandens brukermønster registreres for feilsøking. Registrering av brukermønster over lengre tid er ikke en forutsetning for å levere en IP-TV tjeneste, men i følge virksomheten en forutsetning for å gi en bedre service/brukerstøtte på et allerede eksisterende produkt. Den registrerte bør derfor ha et klart valg om en slik registrering er ønskelig, og det skal derfor finnes alternativer som ikke krever registrering av brukermønster. Datatilsynet er i utgangspunktet skeptisk til at en avtale inneholder vilkår som gjør at man vil bli detaljovervåket for å kunne motta en tjeneste, dersom den registrerte ikke har klare alternativer til en slik avtale. Telenor er i henhold til personopplysningslovens 11, jf. 8 bokstav a), jf 19 forpliktet til å informere sine kunder om registreringen av deres brukermønster i Agama, samt hvor lenge opplysningene lagres og hva de brukes til for å oppfylle vilkåret til rettslig grunnlag for behandlingen av personopplysninger. Manglende avklaring av rettslig grunnlag for lagring av brukermønster for kunder av IP-TV tjenesten anses å være i strid med ovennevnte bestemmelser. Det forutsettes også at kunden får et reelt valg om slik registrering, da registreringen ikke er nødvendig for å levere nevnte tjeneste. 5.2 Generelt om sletting og anonymisering I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dersom opplysningene anonymiseres, oppfyller dette også vilkåret i personopplysningsloven 28, da opplysningene ikke lenger kan knyttes til enkeltpersoner og derfor ikke lenger er personopplysninger. Sletting eller anonymisering av opplysninger må skje i alle ledd hvor opplysninger lagres for å oppfylle vilkåret i lovens 28. 3 av 5

5.2.1 Sletting og anonymisering av brukermønster I dette avsnittet vises det til den generelle beskrivelsen av registreringen av brukermønster i Agama i avsnitt 5.1.3. Tilsynet har i lignende sak lagt seg på en lagringstid på maksimalt tre måneder, og om kunden ønsker det, skal det foreligge en reservasjonsløsning slik at brukermønster ikke lagres. Kunden vil da ikke få den kundeservicen som kan være forventet ved en feilsituasjon, men vil kunne ta et aktivt valg. Dette må ses i sammenheng med punkt 5.3 om informasjonsplikt. Manglende rutine for sletting eller anonymisering av brukermønster anses å være i strid med personopplysningslovens 28, jf 14 om internkontroll. 5.2.2 Sletting og anonymisering i sikkerhetskopieringsløsningen Under kontrollen fremkom det at det var uklart hvor lenge kundeopplysninger ble lagret i sikkerhetskopieringsløsningen. Datatilsynet legger til grunn at personopplysninger ligger lagret på sikkerhetskopier i en uavklart periode. På bakgrunn av dette legger Datatilsynet til grunn at virksomheten må utarbeide rutiner for å bringe sikkerhetskopieringssystemet i samsvar med personopplysningslovens 28. 5.2.3 Sletting og anonymisering av oppsagte TV-kanalpakker Virksomheten lagrer oppsagte Tv-kanalpakker i 5 måneder. Da en lignende problemstilling som gjaldt Telenors lagring av kundeopplysninger ble behandlet i Personvernnemnda (PVN- 2004-7), kom nemnda frem til at Telenor kunne ha et grunngitt behov for lagring av kundedata om oppsagte abonnement i inntil 2 år. Datatilsynet legger til grunn at Telenor vil foreta en konkret vurdering av eget behov for lagringstid for oppsagte kanalpakker, men slik at lagringstiden ikke overstiger 2 år slik dette er skissert i Personvernnemndas avgjørelse nevnt ovenfor. 5.3 Samtykke til behandling av personopplysninger utover avtalen med kundene samt informasjonsplikt I henhold til personopplysningsloven 18, jf. 19 er behandlingsansvarlig forpliktet til å informere abonnentene om hvordan deres personopplysninger blir behandlet og legge til rette for abonnentens innsynsrett i egne personopplysninger. Som nevnt ovenfor i punkt 5.1.3 lagres abonnentenes brukermønster i 5 måneder for det formål å sjekke kvaliteten på produktet kunden får og gi kundestøtte i ettertid. Lagring og behandling av personopplysningene som beskrevet ovenfor i punkt 5.1.3 er ikke beskrevet i avtalen med kundene. På bakgrunn av det som kom frem under tilsynet, jf. punkt 4, er det også uklart i hvor stor grad kundene har fått informasjon om at opplysninger om filmleie, avbestilte kanalpakker og bruk av tjenester ut over kanalpakkene lagres i 5 måneder. Dette gjelder spesielt dersom kunden forsøker å slette slike opplysninger fra sin egen kundeportal, eller ringer inn til 4 av 5

kundeservice. Datatilsynet legger til grunn, i henhold til personopplysningslovens 19, at kunder har krav på informasjon om lagringstid av opplysninger i forbindelse med bruk av IP- TV, og spesielt informasjon om at sletting på egen kundeportal eller kontakt med kundeservice ikke medfører at opplysningene slettes før 5 måneder er gått. Datatilsynet anser manglende informasjon til kunden, som beskrevet ovenfor, for å være i strid med personopplysningslovens 18, jf 19. 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding