Foreløpig kontrollrapport



Like dokumenter
Lydopptak og personopplysningsloven

Personvernerklæring. Nettbasert behandling av personopplysninger

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Personvern og kundedata

Hva vet appen om deg? Catharina Nes, seniorrådgiver i Datatilsynet

Vår referanse (bes oppgitt ved svar)

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Ny personvernforordning trer i kraft i mai 2018

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Personvernerklæring. Nettbasert behandling av personopplysninger

Personvernerklæring. Nettbasert behandling av personopplysninger

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Adressemekling. Innhold INNLEDNING AKTØRENE

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

EasyParks Personvernerklæring

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Dersom du har spørsmål eller kommentarer til denne erklæringen eller hvordan vi behandler personopplysninger kan du kontakte oss på

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Endelig kontrollrapport

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Velkommen til BoKloks nettsted. Disse vilkårene gjelder for nettstedet, og vi ber deg om å lese dem grundig.

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: Saksnummer:

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Personvernerklæring for EVUweb - søkere

Personvernerklæring for Webstep AS

Big Data. Dataforeningen, 13. februar 2013 Ove Skåra, informasjonsdirektør

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

1. Ansvar Den Norske Opera & Ballett AS, ved Administrerende Direktør, er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset

Personvernerklæring for Foreningen Grunnloven 112

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Vilkår for abonnement og bruk av Dagsavisens tjenester

Personvernerklæring for EVUweb - søkere

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Deres referanse Vår referanse Dato 15/ /JSK

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Personvernerklæring. Sist oppdatert

Prosedyre for personvern

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Personvernerklæring for medlemmer

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Kontrollrapport. Kontrollobjekt: Bærum kommune Sted: Bærum

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Endelig kontrollrapport

Lantmännens personvernpolicy og informasjon om informasjonskapsler (cookies)

Personvern og sikkerhet

BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Personvernerklæring for Skagerak Kraft AS

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS.

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

Deres ref Vår ref (bes oppgitt ved svar) Dato

GDPR Prosjektgjennomføring Sjekkliste

Behandlingsansvarlig Daglig leder i Enovate AS er øverste behandlingsansvarlig for personopplysningene vi behandler om deg.

Transkript:

Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet gjennomførte stedlig kontroll hos WiMP MUSIC AS ( WiMP ) 11.04.2012. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42 tredje ledd. Temaet for kontrollen var behandling av personopplysningerved hjelp av WiMPs applikasjon for smarttelefon ( applikasjonen ), som er en musikkstrømmetjeneste. 1 Kontrollen fant sted ved virksomhetens faste forretningsadresse. Før kontrollen mottok Datatilsynet dokumentasjon som etterspurt i tilsynets skriftlige forhåndsvarsel. Dokumentasjonen omfattet opplysninger om organisasjonen, rutiner for behandling av personopplysninger, faktisk bruk av personopplysninger og kopi av databehandleravtale mellom WiMP og Aspiro Music AS med vedlegg, samt gjeldende personvernpolicy for applikasjonen. Følgende personer var til stede under kontrollen: Per Einar Dybvik, adm.dir, WiMP Music AS Nils Juel, COO, Aspiro Music AS Arne Steen Slåttå, juridisk director i Aspiro-gruppen Catharina Nes, seniorrådgiver, Datatilsynet Jørgen Skorstad, juridisk seniorrådgiver, Datatilsynet Atle Årnes, fagdirektør, Datatilsynet I det følgende beskrives de faktiske forholdene som ble avdekket under kontrollen. Kontrollrapporten danner grunnlaget for Datatilsynets vurderinger og eventuelle pålegg. 2 Om behandling av personopplysninger 2.1 Personopplysningsloven Datatilsynets oppgave er blant annet å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. 1 Med applikasjon menes her dataprogramvare som kan brukes ved hjelp av smarttelefoner eller nettbrett, via systemene Apple ios og Android. 1 av 5

Pliktbestemmelsene i personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandlingen av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. Det er altså vilkårene i denne bestemmelsen som angir lovens saklige anvendelsesområde. Loven definerer behandling av personopplysninger som enhver bruk av personopplysninger. Det kan for eksempel dreie seg om innsamling, registrering, lagring og utlevering denne oppramsingen er ikke uttømmende. Personopplysninger er det bare snakk om hvis opplysningene enten direkte eller indirekte kan knyttes til en identifiserbar enkeltperson. Behandlingen av opplysninger om anonyme personer, er ikke omfattet av regelverket. Personopplysningsloven vil dermed i alle fall som et generelt utgangspunkt komme til anvendelse når personopplysninger behandles via Internett eller ved hjelp av en smarttelefon. 2.2 Den behandlingsansvarlige Personopplysningslovens pliktregler adresserer seg først og fremst til den behandlingsansvarlige. Riktig plassering av behandlingsansvaret er derfor en grunnleggende forutsetning for den videre anvendelsen av lovens regler. Ifølge personopplysningsloven 2 nr. 4 er det to faktorer som er avgjørende for ansvarsplasseringen: Hvem som bestemmer formålet med den aktuelle databehandlingen Hvem som bestemmer hvilke hjelpemidler som skal benyttes i den anledning I dette tilfellet er gis WiMPs kunder tilgang til en bestemt tjeneste ved hjelp av en smarttelefonapplikasjon. Datatilsynet legger til grunn at WiMP er behandlingsansvarlig for alle personopplysninger som behandles ved hjelp av applikasjonen. Dette innebærer at det er WiMP som er forpliktet til å svare for de rettslige sidene ved databehandlingen. 2.3 Den registrerte De fleste pliktene i regelverket gjenspeiles i tilsvarende rettigheter. Rettighetshaverne er i lov og forskrift kalt de(n) registrerte. I denne saken vil den registrerte som regel være ensbetydende med den som installerer og benytter mobilapplikasjonen. 3 Om applikasjonen Applikasjonen tilbys via Google Play og Apples App Store. Her er det opplyst at applikasjonen kan brukes til følgende: Brukeren får tilgang til musikk og musikktips, nyheter, med mer. Tjenestens brukere må registrere seg på WiMPs nettsted før tjenesten kan tas i bruk. På registreringstidspunktet oppgis et sett med opplysninger som lagres for videre bruk. Det 2 av 5

lagres også informasjon etter hvert som tjenesten tas i bruk, for eksempel favoritter, spillelister, hvilke sanger som er avspilt og hvilke som er lastet ned, hvilken klientversjon av WiMP som benyttes, mv. Når tjenesten benyttes fra en håndholdt enhet, lagres også et unikt brukernummer. I forbindelse med registreringen får brukeren informasjon om hvordan personopplysninger behandles ved hjelp av applikasjonen, i form av en peker til applikasjonens personvernpolicy nederst på nettsiden. Brukeren må akseptere de generelle vilkårene for bruk av tjenesten, i tillegg til den nevnte personvernpolicyen. Alle som har registrert seg som brukere av applikasjonen, vil dermed ha fått tilgang til personvernpolicyen. Det er etablert integrasjon mellom applikasjonen og enkelte tredjeparter. Disse er: Last.fm: Hvis brukeren aktiverer funksjonen Scrobble til last.fm i innstillingene, så vil det bli sendt informasjon om hvilken musikk man spiller til last.fm. Facebook: Dersom brukeren aktiverer funksjonen koble til Facebook innebærer dette for eksempel at brukerens venner på Facebook kan se brukerens favoritter. Twitter: Brukeren kan også poste på Twitter direkte fra WiMP-appen. På nettstedet til Google Play beskrives hvilke opplysninger som brukerens smarttelefon åpnes når tjenesten tas i bruk. Denne informasjonen er i utgangspunktet bestemt og tilrettelagt av Google Play. Slik informasjon er ikke tilgjengelig via Google Play for mobil. På App Store er det ikke gitt slik informasjon. Google Play opplyser at applikasjonen har tilgang til følgende opplysninger: 2 Maskinvarekontroller, Endre lydinnstillingene Nettverkskommunikasjon: Full tilgang til internett Telefonsamtaler, lese telefontilstand og -identitet Lagring, endre eller slette innhold på USB-lagringsenhet endre eller slette innhold på SD-kort Systemverktøy, Hindre nettbrettet i å gå over i hvilemodus hindre telefonen i å gå over i hvilemodus Nettverkskommunikasjon, Vis nettverkstilstand. 4 Krav til behandling av personopplysninger 4.1 Rettslig grunnlag for behandling av personopplysninger Det følger av personopplysningsloven 11 første ledd bokstav a at det bare er adgang til å behandle personopplysninger dersom det foreligger et rettslig grunnlag for det. 2 Det dreier seg egentlig om verktøy som gir tilgang til informasjon; se punkt 2.2.2. i Datatilsynets rapport Hva vet appen om deg?, tilgjengelig fra www.datatilsynet.no/global/04_veiledere/app_rapport_dt2011.pdf 3 av 5

Lovens 8 bokstav a fastslår at den behandlingsansvarlige kan behandle personopplysninger som er nødvendige for å oppfylle avtalen med den enkelte brukeren. I denne sammenheng betyr det at opplysningene som samles inn må være nødvendige for utføringen av applikasjonens legitime funksjoner. 3 Innsamling av personopplysninger som ikke er nødvendige for oppfyllelse av avtalen, må baseres på et annet av de rettslige grunnlagene som er angitt i 8, for eksempel samtykke. Slik vi har vurdert det, kan innsamlingen av de personopplysningene som er nevnt ovenfor i avsnitt, forankres i 11 første ledd bokstav a, jf. 8 bokstav a. 4.2 Informasjonsplikt Personopplysningsloven 19 fastsetter at den behandlingsansvarlige har en plikt til å informere den registrerte om følgende forhold: navn og adresse på den behandlingsansvarlige og dennes eventuelle representant formålet med behandlingen opplysningene vil bli utlevert, og eventuelt hvem som er mottaker det er frivillig å gi fra seg opplysningene annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28 Det fremgår av avsnitt 3 over at vilkårene i bestemmelsen er oppfylt. 4.2.1 Informasjonstidspunktet Når opplysningene samles inn fra den registrerte selv, skal denne informasjonen gis før opplysningene er samlet inn. 5 Hvis innsamlingen av persondata initieres allerede ved nedlasting av applikasjonen, må den ovennevnte informasjonen gis til brukeren i den aktuelle applikasjonsbutikken dvs. App Store eller Google Play. Det vil også være tilstrekkelig at informasjonen gis på registreringstidspunktet, se over. Dersom innsamlingen av persondata initieres etter at applikasjonen er lastet ned, for eksempel ved at brukeren igangsetter en av applikasjonens funksjoner, må informasjonen senest gis i selve applikasjonen og altså før funksjonen som utløser innsamlingen igangsettes. Også i disse tilfellene kan den behandlingsansvarlige gi informasjonen i applikasjonsbutikken eller ved registreringstidspunktet. 3 Med legitime funksjoner sikter vi til funksjoner som ikke medfører behandling av personopplysninger til formål som går utover begrensningen angitt i personopplysningsloven 11 første ledd bokstav b. 5 Dersom opplysningene samles inn fra andre enn den registrerte, følger det av lovens 20 at tilsvarende informasjon skal gis så snart som mulig etter at opplysningene er samlet inn. Når det samles inn personopplysninger via en mobilapplikasjon, regnes opplysningene som innsamlet fra den registrerte. 4 av 5

Gjøres det senere endringer som medfører annen innsamling av personopplysninger enn det som den behandlingsansvarlige har opplyst om på forhånd, må det imidlertid gis ny informasjon. I så fall er det nødvendig å tilgjengeliggjøre denne informasjonen i, eller via, selve applikasjonen. Det fremgår av det som er sagt over om forhåndsregistrering, at WiMPs applikasjon oppfyller kravet om at informasjonen skal være gitt på forhånd. 5 av 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding