Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og



Like dokumenter
Vår referanse (bes oppgitt ved svar)

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Lydopptak og personopplysningsloven

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

PERSONVERNERKLÆRING FORUM SECURITIES AS

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse Dato / /EOL

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Endelig kontrollrapport

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Deres ref Vår ref (bes oppgitt ved svar) Dato

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Personvern og kundedata

Kontroll av reseptformidleren endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Foreløpig kontrollrapport

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Databehandleravtaler

Foreløpig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

GDPR HVA ER VIKTIG FOR HR- DATA

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

BEHANDLING AV PERSONOPPLYSNINGER

Aksjetjenesten i SpareBank 1 nettbank for foretak

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Aksjetjenesten i SpareBank 1 nettbank for foretak

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Retningslinjer for ytelse av investeringstjenester

Adressemekling. Innhold INNLEDNING AKTØRENE

Personvernerklæring for medlemmer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Endelig kontrollrapport

Deres referanse Vår referanse Dato 15/ /JSK

ETISK RÅD AVGJØRELSE I SAK NR. 2010/16

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Aksjetjenesten i SpareBank 1 nettbank for foretak

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Personvernerklæring for Clemco Norge AS

Personvernerklæring for Eurofins norske selskaper

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Endelig kontrollrapport

Transkript:

Sparebank 1 Markets AS Postboks 1398 Vika 0114 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00864-9/HTE Dato 8. juli 2013 Kontroll hos Sparebanken 1 Markets - lydopptak - vedtak Det vises til Datatilsynets kontroll hos Sparebank 1 Markets AS den 17. oktober 2012 og Datatilsynets varsel om vedtak av 09. april 2013. Vurdering av tilsvar Datatilsynet har i brev av 28. mai 2013 mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. pkt. 1 Lydopptak av samtaler til og fra sentralbordet Virksomheten plikter etter vpf. 10-31 å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. I varsel om vedtak vurderte tilsynet at lydopptak av samtaler til og fra sentralbordet ikke var i tilknytning til ytelser av investeringstjenester, og derfor manglet et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8. Virksomheten er av den oppfatning at samtaler som settes over fra sentralbordet til telefoner hvor det ytes investeringstjenester, vil være samtaler «i tilknytning til ytelse av investeringstjenester» og være opptakspliktig etter vpf. 10-31, og legger til grunn at det derfor foreligger et behandlingsgrunnlag. For øvrige samtaler til og fra sentralbordet tar virksomheten til etterretning at det ikke foreligger noe behandlingsgrunnlag og vil heretter ikke lagre slike samtaler. Det opplyses videre at de interne retningslinjer og tekniske systemer vil endres tilsvarende. Datatilsynet tar merknadene til etterretning. Det fattes vedtak som tidligere varslet. Ad. pkt. 2 Informasjon om lydopptak Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf. 10-34: a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av 10-31 første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

c) at oppbevaringstiden er minst tre år, og d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte vil ha en informasjonsplikt, jf. personopplysningsloven 19. Plikten til å gi informasjon inntrer før behandlingen (lydopptak) igangsettes. Virksomheten har i sine merknader opplyst at lydopptaksplikten er lovpålagt og at det informeres om lydopptak utførlig på virksomhetens hjemmeside og at lydopptaket reguleres av virksomhetens kundeavtale og standard forretningsvilkår. Virksomhetens forretningsmodell er primært rettet mot større institusjonelle kunder og det er derfor en klar forventning om at de telefonsamtalene man foretar blir tatt opp. Virksomheten anfører at det er på det rene at gjennomføring og lagring av lydopptak er allment kjent slik at varsling ikke er påkrevd, jf. personopplysningsloven 19 annet ledd. Det tilføyes at den samme vurderingen er ikke gjort for opptak av samtaler tilknyttet mobiltelefoner, siden plikten til å gjøre opptak av mobiltelefonsamtaler er relativ ny, samt at det er ulik bransjepraksis. Personopplysningsloven 19 annet ledd gjør unntak fra informasjonsplikten, slik at det ikke er nødvendig å gi informasjon til den registrerte som han eller hun allerede kjenner til. Etter merknadene til bestemmelsen heter det at «For at unntaket skal få anvendelse stilles det strenge beviskrav det må være klart at den registrerte har slik kunnskap fra før.» 1 For eksisterende kunder som har fått opplyst at samtlige telefoner til og fra virksomhetens meglere vil bli tatt opp, vil vilkåret i 19 annet ledd være oppfylt. For innringere som ikke er kunde eller som ikke har fått slik informasjon, vil det etter tilsynets vurdering ikke være på det rene, jf. lovens 19 annet ledd, at den registrerte kjenner til at det foretas lydopptak. Unntak fra plikten til å gi informasjon, jf. 19 annet ledd, vil følgelig ikke være oppfylt. En praktisk problemstilling blir i denne sammenheng hvordan virksomheten skal klare å skille mellom eksisterende kunder som har mottatt informasjon vedrørende lydopptak og øvrige registrerte som virksomheten plikter å gi informasjon til. Tilsynet er kjent med at kunder ofte har en fast kontaktperson med et direktenummer. En praktisk løsning vil i den anledning kunne være at virksomheten informerer om at det foretas lydopptak i tråd med vpf. 10-31 for telefoner som kommer til virksomhetens sentralbord. For eksisterende kunder med et direktenummer til megler, vil det være naturlig å legge til grunn at personopplysningsloven 19 annet ledd er oppfylt. Den foreslåtte løsningen ivaretar informasjonsbehovet til personer som presumtivt ikke er informert, samt tar hensyn til eksisterende kunder som tidligere er informert. 1 Ot prp nr 92 (1998-99) Om lov om behandling av personopplysninger (personopplysningsloven) side 119. 2

Virksomheten står her fritt til å velge den løsningen som etterlever informasjonsplikten, jf. personopplysningsloven 19. Det fattes vedtak som tidligere varslet. Ad. pkt. 3 innsynsrett Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Virksomheten har av hensyn til de ansattes personvern ikke utlevert lydfiler eller laget transkripsjoner av lydopptaket. Kunder eller øvrige registrerte har imidlertid blitt bedt om å møte opp hos virksomheten for å lytte på opptak. Datatilsynet konkluderte i varsel om vedtak at virksomhetens praktisering av innsynsretten ikke oppfylte personopplysningslovens krav. Virksomheten har i sine merknader til varselet uttalt at «Transkripsjon av lydsamtaler er ekstremt ressurskrevende og er ikke praktisk gjennomførbart, sett hen til mengden av samtaler som tas opp. Innsynsrett må derfor ivaretas gjennom lytting av lydfiler.» Det anføres at det vil være en «stor og overhengende fare for misbruk» ved utlevering av lydfiler til kunder. Det er ikke uvanlig at deler av samtalene mellom ansatte og kunder også kan inneholde personlige forhold, og at veien er kort for at en sur og misfornøyd kunde legger ut en lydfil han mottar ut på f. eks. «Youtube». Virksomheten er av den oppfatning at kundens rett til innsyn i utgangspunktet er tilstrekkelig ivaretatt ved at kunden gis adgang til å lytte på de(n) aktuelle lydopptakene. Datatilsynet la til grunn for sine vurderinger at opptakene kunne bestå av flere timer, og virksomhetens gjennomføring av innsynsretten ikke var særlig egnet i slike tilfeller. Dette vil være tilfelle når det er behov for å engasjere profesjonell bistand i f. eks. en klagesak. Virksomheten har i merknadene til varselet foreslått at man i slike saker kan sende lydopptakene til en lokal advokat som avgir en bekreftelse på at lydfilene ikke vil bli utlevert videre, den registrerte kan da møte opp hos advokaten og få opptakene avspilt. Unntak fra retten til innsyn og plikt til å gi informasjon er hjemlet i personopplysningsloven 23. Datatilsynet har forståelse for at virksomheten er bekymret for at lydfiler kan benyttes på en slik måte at det går ut over de ansattes personvern. Datatilsynet finner imidlertid ikke at en mulig offentliggjøring av lydopptakene/transkripsjon, kan være grunnlag for å unnta den registrerte den lovhjemlede retten til å motta transkripsjon av lydopptak, jf. personopplysningsloven 24. Tilsynet bemerker i den sammenheng at det i enkelte tilfeller kan være adgang til å offentliggjøre/publisere slike lydopptak, selv om den enkelte ansatte skulle føle sitt personvern krenket gjennom handlingen. Det fattes vedtak som tidligere varslet. 3

Ad. pkt. 4 Lagring og sletting av personopplysninger Kravene til internkontroll fremgår av personopplysningsloven 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf. 10-33 (1) skal lydopptak og annen dokumentasjon som nevnt i 10-31 oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. Virksomheten har i sine merknader lagt til grunn at lydopptak som vedrører gjennomførte transaksjoner skal lagres i minst fem år, jf. vphl. 9-11 nr 7. Etter vpf. 9-21 nr. 1 heter det at «verdipapirforetak skal oppbevare den dokumentasjon som kreves etter verdipapirhandelloven og forskrifter fastsatt i medhold av verdipapirhandelloven i minst 5 år.» Lydopptak som inneholder slik dokumentasjon som vpf. 9-21 nr. 1, jf. vphl. 9-11 nr. 7, viser til skal etter dette lagres i minst fem år, øvrige lydopptak som ikke inneholder slik dokumentasjon skal minst lagres i minst tre år, jf. vpf. 10-33. Virksomheten må etablere rutiner for å avklare om opptakene fortsatt skal lagres etter 3 år. Det fattes vedtak som tidligere varslet. Vurdering av merknader fra Norges Fondsmeglerforbund Norges fondsmeglerforbund (NFMF) har i e-post av 3. juli 2013 gitt en tilleggskommentar til spørsmålet om innsynsrett. NFMF viser til verdipapirforetakenes plikt til å etablere betryggende interne rutiner for ansattes og tillitsvalgtes innsyn i lydopptak og annen kommunikasjonskanal, jf. verdipapirforskriften 10-35. Rutinen skal minst bestå av hvilke tjenstlige formål og hvilke prosedyrer som skal åpnes for slikt innsyn. NFMF er videre av den oppfatning at: «Det ligger i forskriften at lovgiver har sett behovet for å verne ansatte mot ukontrollert innsyn fra, kollegaer, overordnede m.fl. Derfor er det også strenge rutiner i verdipapirforetakene for slikt innsyn. Dersom kunder skulle få anledning til ukontrollert innsyn i lydopptak for eksempel ved utlevering, vil den beskyttelse som ansatte er gitt gjennom kravene i forskriften bli verdiløs.» 4

Datatilsynet bemerker: Vpf. 10-35 pålegger finansforetakene å etablere interne rutiner for ansattes og tillitsvalgtes innsyn i blant annet lydopptak. Bestemmelsen regulerer ikke når tillitsvalgte eller andre ansatte skal få innsyn til lydopptakene. Pliktene verdipapirforetakene har etter vpf. 10-35 er sammenfallende med pliktene som følger av personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Kravene etter personopplysningsloven 14 vil sågar utfylle pliktene som følger av vpf. 10-35, siden personopplysningsloven 14 også vil pålegge verdipapirforetakene å etablere prosedyrer for hvordan innsynsretten skal gjennomføres overfor kunder som har vært gjenstand for lydopptak. Vpf. 10-35 er etter tilsynets vurdering ment å klargjøre og dokumentere virksomhetens interne behov for innsyn i lydopptak og hvordan innsyn skal gjennomføres i praksis. I tillegg bidrar bestemmelsen til at behandlingen av personopplysninger i virksomheten blir transparent og kjent blant de ansatte, og vil derfor være et viktig verktøy for å kunne etterleve personopplysningslovens regler. Plikten til å hindre uvedkommende (interne og eksterne individer) tilgang til lydopptakene er regulert i personopplysningsloven 13. Personopplysningsloven 13 stiller en del krav til behandlingsansvarlig (finansforetaket) når det gjelder informasjonssikkerheten ved behandling av personopplysninger. Bestemmelsen fastslår at den behandlingsansvarlige skal gjennom planlagte og systematisk tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Kravet til konfidensialitet innebærer at personopplysningene skal være utilgjengelig for uvedkommende. Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelige for autoriserte brukere for bruk i henhold til de formål de er innhentet. I dette ligger blant annet at kun de som har tjenstlig behov for personopplysninger skal ha tilgang til dem. Hvilke personer som oppfyller kravet til tjenstlig behov er det i utgangspunktet virksomheten selv som må ta stilling til. Virksomheten må imidlertid være beredt til å begrunne sitt valg av antall personer som er gitt tilgang til visse typer opplysninger. Etter tilsynets vurdering og ut i fra et personvernperspektiv er det mindre betenkelig å gi den registrerte (kunden eller den aktuelle ansatt) innsyn i et lydopptak vedkommende selv deltar i, enn det er å gi øvrige ansatte i finansforetaket fri tilgang/innsynsrett. Dette syn gjenspeiles i regelverket når ansatte som ikke har deltatt i samtalen må vise til et tjenstlig behov/formål for å få tilgang/innsyn til lydopptakene, jf. vpf. 10-35, mens en slik begrunnelse ikke er nødvendig for den registrerte, jf. personopplysningsloven 18 annet ledd. Den registrerte (kunde eller den aktuelle ansatt) som ønsker innsyn i lydopptak, jf. personopplysningsloven 18 annet ledd, vil etter dette ikke være å anse som «uvedkommende», men en med lovlig tilgang/innsynsrett når unntak fra innsynsretten, jf. personopplysningsloven 23, ikke kommer til anvendelse. Etter personopplysningsloven 24 vil virksomheten ha en plikt til å utlevere en transkribert versjon av samtalen eller en lydfil. 5

Finansforetakene plikter følgelig å ha rutiner på plass for å behandle innsynskrav fra de registrerte som ønsker innsyn i lydopptak, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomhetens lydopptak av innkomne og utgående samtaler fra sentralbordet må opphøre, med mindre det kan vises til et gyldig behandlingsgrunnlag, jf. personopplysningsloven 8. Det vises til kontrollrapporten pkt. 5.1.4. 2. Virksomheten må informere innringere om at telefonsamtalen vil bli tatt opp, jf personopplysningsloven 19. Det vises til kontrollrapporten pkt. 5.3.4. 3. Virksomheten må gi innsynsrett til de registrerte i tråd med personopplysningsloven 18 annet ledd, jf. lovens 24. Det vises til kontrollrapportens pkt. 5.5.4. 4. Virksomheten må utarbeide rutiner for sletting av personopplysninger og håndtering av innsynsbegjæringer i tråd med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Det vises til kontrollrapportens pkt. 5.6.4. Lukking av avvik Datatilsynet anbefalte i brev 9. april 2013 at det ble oversendt et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Det ble videre opplyst at tilsynet vil se hen til denne fremdriftsplanen når det skal vedtas en frist for virksomhetens gjennomføring av påleggende. Datatilsynet har ikke mottatt slikt forslag til fremdriftsplan. Datatilsynet gir på denne bakgrunn en frist for gjennomføring av samtlige pålegg til 31. oktober 2013. Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom virksomheten har kommentarer til fristen for gjennomføring av påleggende, bes det om en rask tilbakemelding på dette. 6

Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen syv uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Henok Tesfazghi rådgiver Kopi: Vedlegg: Norges fondsmeglerforbund, Pb. 1501 Vika, 0117 OSLO Endelig kontrollrapport 7

Saksnummer: 12/00864 Dato for kontroll: 17.10.2012 Rapportdato: 08.07.2013 Endelig kontrollrapport Kontrollobjekt: SpareBank 1 Markets AS Sted: Oslo Utarbeidet av: Stein Erik Vetland Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos SpareBank 1 Markets AS den 17.10.2012. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med gjennomføring av lydopptak. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Martin Hagen, administrerende direktør (CEO) - Håvard Vikse, juridisk direktør (COO) - Arild Tømmerås, IT-sjef - Giske Jean-Hansen, advokatfullmektig 2.2 Fra Datatilsynet: - Martha Eike, overingeniør (observatør) - Stein Erik Vetland, overingeniør - Henok Tesfazghi, juridisk rådgiver 3 Generelt SpareBank 1 Markets AS ble etablert i 2008 og er et verdipapirforetak i SpareBank 1- alliansen, hvor SpareBank 1 Gruppen har en eierandel på 97,55 % og ledende ansatte eier de resterende 2,45 %. Det er 106 årsverk tilknyttet virksomheten. 1 av 10

4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten plikter å foreta lydopptak av telefonsamtaler som foretas i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven (vphl.) 2-1 første ledd nr. 1 til 6, jf. verdipapirforskriften (vpf.) 10-31. Plikten til å foreta lydopptak vil omfatte alle telefonsamtaler i tilknytning til investeringstjenester, herunder investeringsrådgivning samt mottak og formidling av ordre. Videre foreligger det en utstrakt plikt til å dokumentere innholdet i annen kommunikasjon med kunder, som ved bruk av e-post, SMS, Bloomberg, Reuters Messenger og ulike chattekanaler på Internett. Videre plikter virksomheten å etablere betryggende rutiner for dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler når disse benyttes i tilknytning til ytelse av investeringstjenester som nevn ovenfor. Personopplysningsloven vil her gjelde utfyllende. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. 11 bokstav b). Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Det er vanskelig å se hvordan et formål kan være uttrykkelig angitt uten at det også er skriftlig nedfelt. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer i bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelig proporsjoner sett opp mot de oppgitte behov og formål, og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningsloven 11 første ledd bokstav a) må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningsloven 8 (og 9 om det behandles sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for lydopptak er hjemmel i lov, jf vphl. 10-17, jf. vpf. 10-31. 5.1 Lydopptak 5.1.1 Rettslig grunnlag Verdipapirforetakene plikter, jf. vphl. 10-17, etter nærmere regler fastsatt av departementet å: 1. foreta lydopptak i tilknytning til yting av investeringstjenester og tilknyttede tjenester, samt 2 av 10

2. oppbevare lydopptak og annen type dokumentasjon i tilknytning til slike tjenester Verdipapirforetakene plikter etter vpf. 10-31 å ta opp samtlige telefonsamtaler i tilknytning til ytelser av investeringstjenester som nevnt i vphl. 2-1 første ledd nr. 1 til 6. Dvs. 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, 4. aktiv forvaltning av investorers portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter, Verdipapirforetakene plikter ikke å foreta lydopptak eller dokumentere annen kommunikasjon som gjelder yting av tilknyttede tjenester etter vphl. 2-1 annet ledd. Tilknyttede tjenester er etter vphl. 2-1 annet ledd: 1. oppbevaring og forvaltning av finansielle instrumenter, 2. kredittgivning, 3. rådgivning med hensyn til foretaks kapitalstruktur, industriell strategi og beslektede spørsmål, samt rådgivning og tjenester i forbindelse med fusjoner og oppkjøp av foretak, 4. tjenester i tilknytning til valutavirksomhet når dette skjer i forbindelse med ytelse av investeringstjenester som definert i første ledd, 5. utarbeidelse og formidling av investeringsanbefalinger, finansielle analyser og andre former for generelle anbefalinger vedrørende transaksjoner i finansielle instrumenter, 6. tjenester knyttet fulltegningsgaranti, 7. tjenester i tilknytning til underliggende til varederivater og derivater som definert i 2-2 femte ledd nr. 5, når disse tjenestene har sammenheng med investeringstjenester eller tilknyttede tjenester som nevnt i bestemmelsene her. 5.1.2 Faktiske forhold Hovedformålet med lydopptak hos virksomheten er å sikre overholdelse av lovpålagte plikter, samt adekvat behandling av kunden, f. eks. ved at megler kan kontrollere at han/hun har oppfattet riktig ordre. Lydloggen vil videre bli brukt i forbindelse med foretakets internkontroll. Lydloggen vil også kunne benyttes som dokumentasjon i klagesaker, med de begrensninger som følger av taushetsplikten. Virksomheten tar opp alle fasttelefonsamtaler, og et utvalg mobiltelefonsamtaler, som foretas i tilknytning til ytelser av investeringstjenester, jf. vphl. 2-1 nr. 1-6. Av 106 årsverk er det kun meglerens mobiltelefoner (ca. 22 personer) som er koblet til opptaksutstyr. Når megler 3 av 10

befinner seg i utlandet må megler selv påse at mobilsamtalen blir tapet ved å benytte nødvendig telefon-app. Virksomheten tar opp alt av inngående og utgående samtaler. Dette skjer automatisk uavhengig om det ringes til eller fra sentralbordet eller om det ringes direkte til eller fra en medarbeider. 5.1.3 Vurdering Virksomheten vil ha et behandlingsgrunnlag, jf. personopplysningsloven 8 (fastsatt i lov), til å foreta lydopptak når virksomheten yter investeringstjenester og tilknyttede tjenester, jf. pkt. 5.1.1 ovenfor. Når virksomheten foretar lydopptak av samtaler inn og fra sentralbordet, vil det etter Datatilsynet vurdering, falle utenfor virksomhetens lovpålagte plikt til å foreta lydopptak, jf. pkt. 5.1.1. Det er på det rene at det ikke ytes investeringstjenester eller tilknyttede tjenester fra sentralbordets telefonlinjer. Det innhentes ikke et samtykke fra innringer eller mottaker av samtalen og tilsynet finner ikke at øvrige behandlingsgrunnlag i personopplysningsloven 8 bokstav a) til f) blir oppfylt. Datatilsynet finner derfor at virksomheten ikke har et gyldig behandlingsgrunnlag for de lydopptak som foretas av telefonsamtaler som kommer inn og fra sentralbordet. 5.1.4 Konklusjon Virksomhetens lydopptak av innkomne og utgående samtaler fra sentralbordet mangler et gyldig behandlingsgrunnlag i personopplysningsloven 8. 5.2 E-post og lynmelding(chat) Virksomheten kommuniserer med sine kunder på ulike måter. Dette kan være e-post, lynmeldinger, sms, mv. Alle disse kommunikasjonsformene er skriftlige, men de vil ha ulike normer for kommunikasjonsformen. Kundene vil også kunne ha ulik oppfatning om hvor bevaringsverdig kommunikasjonen er. 5.2.1 Rettslig grunnlag Datatilsynet legger til grunn lovverket nevnt i punkt 5.1.1. I tillegg stadfester personopplysingsloven 28 at det er ikke er lovlig å lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. Personopplysningsforskriften kapittel 9 omhandler innsyn i ansatte sin e-post, mv. Med arbeidstakers e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøkning av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Bestemmelsene gjelder 4 av 10

også for arbeidsgivers innsyn i opplysninger som arbeidstaker har slettet fra nevnte områdene, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til. Reglene gjelder både overfor nåværende arbeidstakere og tidligere arbeidstakere, samt andre som utfører, eller har utført, arbeid for arbeidsgiver. 5.2.2 Faktiske forhold Virksomheten sparer på alle kommunikasjonsformer som blir overført gjennom deres løsning. Det er ikke klart for tilsynet om virksomheten regelmessig forsikrer seg om at personopplysninger blir slettet når formålet er gjennomført i e-postkasser, sikkerhetskopier, mv. 5.2.3 Konklusjon Datatilsynet begrenser seg til å henstille virksomheten til å slette personopplysninger når formålet med behandlingen er gjennomført, jf personopplysningsloven 28. 5.3 Informasjon 5.3.1 Rettslig grunnlag Verdipapirforetak skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om følgende, jf. vpf. 10-34: a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av 10-31 første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder) fremgår ikke av forskriften. Informasjonsplikten må derfor utfylles av informasjonsplikten etter personopplysningsloven. En virksomhet som samler inn personopplysninger fra den registrerte har en informasjonsplikt, jf. lovens 19. Følgende hitsettes: Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f. eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. 5 av 10

Plikten til å gi informasjon gjelder her før lydopptak settes i gang, eksempelvis før lydopptakets oppstart. Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen virksomheten plikter å gi, jf. personopplysningsloven 19 andre ledd. Terskelen for at unntaket fra informasjonsplikt skal komme til anvendelse («på det rene») er satt høyt. Den behandlingsansvarlige må her være helt sikker på at den registrerte er kjent med samtlige punkter i 19 første ledd. Unntak fra retten til informasjon er også hjemlet i personopplysningsloven 23. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftingsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger 5.3.2 Faktiske forhold Virksomheten informerer i sine kundeavtaler og på sin nettside at de foretar lydopptak og lagrer alle telefonsamtaler til og fra virksomhetens fasttelefoner, samt utvalgte mobiltelefoner, samt lagrer kommunikasjon via sms og e-post. Det blir ikke gitt noe informasjon til innringere eller avsendere av sms og e-post utover dette. Når det gjøres opptak fra mobiltelefoner fra utlandet, vil imidlertid den man ringer til bli informert om at samtalen blir tatt opp (via mobilapp). 5.3.3 Vurdering Datatilsynet legger til grunn at de som henvender seg til virksomheten eller de virksomheten henvender seg til ikke alltid er kunder og bør kjenne til virksomhetens alminnelige forretningsvilkår. Etter personopplysningsloven 19 skal virksomheten av eget tiltak informere den registrerte om de forhold som er nevnt i personopplysningsloven 19 første ledd bokstav a) til e). For lydopptak finner tilsynet det tilstrekkelig å oppgi følgende opplysninger til den registrerte før samtalen blir tatt opp: - at det blir foretatt lydopptak - formålet med lydopptaket - hvor lenge lydopptakene lagres - at øvrige informasjon er tilgjengelig på f. eks. virksomhetens nettside Øvrige informasjon viser her til opplysninger som virksomhetens adresse, retten til innsyn og retten til å kreve retting. Det forutsettes at virksomheten har slik informasjon lett tilgjengelig på virksomhetens nettside og at virksomheten informerer den registrerte om denne muligheten. 6 av 10

Etter tilsynets vurdering vil ikke virksomheten overholde sin informasjonsplikt, når de kun opplyser at det foretas lydopptak gjennom virksomhetens alminnelige forretningsvilkår eller gjennom øvrig informasjon på virksomhetens nettside, jf. personopplysningsloven 19. Det er tilsynets vurdering at innringer samt mottaker som blir gjenstand for lydopptak må bli kjent med at det foretas lydopptak i forkant, gjerne som en automatisk opplest beskjed, før lydopptaket igangsettes. 5.3.4 Konklusjon Virksomheten overholder ikke sin informasjonsplikt, jf. personopplysningsloven 19. 5.4 Lagring 5.4.1 Rettslig grunnlag Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I følge vpf. 10-33 (1) skal lydopptak og annen dokumentasjon som nevnt i 10-31 oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen mottatt. Plikten til å lagre materiale i tre år gjelder dog kun relevante opplysninger. Den behandlingsansvarlige må av den grunn etablere rutiner for å søke å hindre lagring av overskuddsinformasjon. Etter vpf. 9-21 nr. 1, jf. vphl. 9-11, skal verdipapirforetak oppbevare den dokumentasjon som kreves etter verdipapirhandelloven og forskrifter fastsatt i medhold av verdipapirhandelloven i minst fem år. 5.4.2 Faktiske forhold I den foreløpige kontrollrapporten la tilsynet følgende faktum til grunn. Lagring av lydopptakene startet i 2011, og har derfor blitt lagret under tre år. Virksomheten har ikke vurdert om det er nødvendig å lagre opptakene (her må e-post og chat meldinger innbefattes) utover de lovpålagte tre årene. Virksomheten har i tilsvar til den foreløpige kontrollrapporten opplyst at man har i samsvar med verdipapirhandelloven foretatt og lagret lydopptak siden oppstart av virksomheten (november 2008). Videre legger virksomheten til grunn at lydopptak som vedrører gjennomførte transaksjoner skal lagres i minst fem år i henhold til vphl. 9-11, og det er årsaken til at spørsmål om når og hvordan sletting skal foretas, ikke har blitt aktualisert. 5.4.3 Konklusjon Hovedregelen er at lydopptak og annen dokumentasjon som nevnt i vpf. 10-31 skal oppbevares i minst tre år regnet fra den dagen opptaket ble gjort eller dokumentasjonen 7 av 10

mottatt, jf. vpf. 10-33 (1). Lydopptak som inneholder slik dokumentasjon som vpf. 9-21 nr. 1, jf. vphl. 9-11 nr. 7, viser til skal lagres i minst fem år. Datatilsynet legger etter dette til grunn at virksomheten foretar lydopptak som skal lagres i minst tre år, jf. vpf. 10-33 (1), samt av telefonsamtaler som inneholder slik dokumentasjon som hjemler en lagringsplikt i minst fem år, jf. vpf. 9-21 nr. 1. Tilsynet vil her påpeke at virksomheten her har en plikt til å sørge for at unødvendige personopplysninger blir slettet etter at lagringsplikten har utløpt, jf. personopplysningsloven 11 bokstav e), jf. 28. 5.5 Innsyn 5.5.1 Rettslig grunnlag Etter personopplysningsloven 18 annet ledd skal den registrerte (dvs. den personopplysningene kan knyttes til, jf personopplysningsloven 2 nr. 6) ha rett til innsyn i registrerte opplysninger om seg selv. Informasjonen det bes innsyn i kan kreves skriftlig hos den behandlingsansvarlige eller dennes databehandler. Den behandlingsansvarlige kan kreve at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven 24. Den behandlingssansvarlige plikter å svare innsynsbegjæringen senest innen 30 dager fra henvendelsen ble mottatt, jf. personopplysningsloven 16. 5.5.2 Faktiske forhold Ansatte kan ved skriftlig henvendelse til juridisk direktør, be om innsyn i lydlogg for egne telefonsamtaler. Anmodning må angi dato og telefonnummer, og en begrunnelse av behovet. Av hensyn til ansattes personvern blir kunder eller øvrige registrerte bedt om å møte opp hos virksomheten for å lytte på opptak. Det blir ikke utlevert lydfiler eller laget transkripsjoner av lydopptaket. Det ble opplyst at denne praksisen var vanlig i bransjen og i tråd med Norges Fondsmeglerforbund (NFMF) sin anbefaling. Virksomheten opplyste under kontrollen at det ikke behandlet mange innsynskrav. 5.5.3 Vurdering Virksomheten gir ikke ut kopier av lydfiler og utleverer heller ikke transkripsjoner av lydopptak. Innsynsretten blir, etter Datatilsynets vurdering, avspist med at den registrerte blir bedt om å møte opp hos virksomheten for å lytte på opptaket. Datatilsynet legger til grunn at opptakene kan bestå av flere timer, og virksomhetens foreskrevne praksis, ikke vil være særlig egnet i slike tilfeller. Dette vil særlig være tilfelle når det er behov for å engasjere profesjonell bistand i f. eks. en klagesak. 8 av 10

Det ble opplyst under kontrollen at grunnen til at den registrerte ble avspist med å høre på lydopptakene hos virksomheten, skyldes av hensynet til de ansattes personvern. Datatilsynet har også forstått at dette er en praksis som NFMF anbefaler. Etter Datatilsynets vurdering plikter virksomheten å gi den registrerte innsyn i opplysninger om seg selv, jf. personopplysningsloven 18 annet ledd. Etter personopplysningsloven 24 kan den registrerte kreve en skriftlig kopi hos behandlingsansvarlig. Datatilsynet forstår bestemmelsen slik at den registrerte kan kreve en transkripsjon av lydopptak. Da dette er tidsog ressurskrevende, vil de fleste virksomheter utlevere opptaket som en lydfil eller på en CD. Datatilsynet anser en slik løsning som tilfredsstillende og i tråd med personopplysningsloven 24. Virksomheten tilbyr ikke den registrerte en innsynsrett i tråd med 18 personopplysningsloven annet ledd. Unntak fra innsynsretten, jf. lovens 23, er ikke påberopt og vil etter tilsynets vurdering heller ikke gjøre seg gjeldende. 5.5.4 Konklusjon Virksomhetens praksis vil stride med innsynsretten etter personopplysningsloven 18 annet ledd, jf. personopplysningsloven 24. 5.6 Internkontroll 5.6.1 Rettslig grunnlag Kravene til internkontroll fremgår av personopplysningslovens 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene. Rutiner for bruk av ulike informasjonssystemer er en viktig del av en tilfredsstillende internkontroll. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollsystemet har tradisjonelt blitt delt inn i tre deler, et styrende, en gjennomførende og en kontrollerende del. 5.6.2 Faktiske forhold Virksomheten opplyste under kontrollen at lydloggene ble minst lagret i tre år, men at man ikke hadde vurdert hvor lenge enda, siden man lå godt innenfor tre års fristen. 5.6.3 Vurdering Etter Datatilsynets vurdering, skulle det vært en skriftlig nedfelt rutine for sletting av hhv. lydopptak, e-postkorrespondanse samt chat logger. En manglende rutine for slik sletting må anses som en mangel etter personopplysningsforskriften 3-1 bokstav c). Etter tilsynets vurderinger av innsynsretten (pkt. 5.5.3), vil virksomheten også måtte etablere nye rutiner for å håndtere innsynsbegjæringer. 9 av 10

5.6.4 Konklusjon Virksomhetens manglende sletterutiner er i strid med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c). 5.7 Informasjonssikkerhet 5.7.1 Rettslig grunnlag I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble omtalt under kontrollen. 5.7.2 Faktiske forhold Virksomheten jobber systematisk og planlagt for å sørge for tilstrekkelig informasjonssikkerhet. Datatilsynet har ikke påvist svakheter med virksomheten sin løsning, 5.7.3 Konklusjon Intet avvik funnet. 10 av 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding