Veiledning for behandling av personopplysninger i reisebransjen

Bakgrunn

Reisebransjen behandler informasjon om sine kunder i sin virksomhet. Det kan være seg alt fra navn, fødselsnummer og kontaktinformasjon på sine kunder, til betalingsinformasjon og informasjon om allergier og sykdommer. Personopplysningsloven setter krav til hvordan personopplysninger håndteres, og Datatilsynet fører tilsyn med at bestemmelsene i regelverket følges. Datatilsynet har tidligere utført kontroller hos flere aktører i reisebransjen, noe som avdekket et behov for skjerpede rutiner hos flere aktører. I kjølevannet av dette har Virke utarbeidet enkle retningslinjer for hva aktører i reiselivsbransjen må tenke på ved sin behandling av personopplysninger i sin virksomhet. Veiledningen er et forsøk på å gi våre medlemmer en praktisk veiledning om kravene for behandling av personopplysninger slik de fremgår av personopplysningsloven og personopplysningsforskriften, sammenholdt med relevant informasjon og anbefalinger fra Datatilsynet i denne sammenheng.

Personopplysninger

Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse og fødselsnummer (både fødselsdato og personnummer). Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler og kundenes adferd på virksomhetens nettsider vil således også være personopplysninger.

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Personvernprinsippene

Den norske personvernlovgivningen bygger på en kjerne av grunnleggende personvernprinsipper. Disse springer ut fra et ideal om at alle skal ha bestemmelsesrett over personopplysninger om dem selv. Alle som behandler personopplysninger som en del av sin virksomhet bør derfor sette seg inn i hva personopplysninger og personvernprinsippene er.

Lover og regler

Det er Lov om behandling av personopplysninger (personopplysningsloven) og forskrift om behandling av personopplysninger (personopplysningsforskriften) som setter krav til hvordan personopplysninger skal behand- les i alle virksomheter som håndterer slike som del av sin virksomhet.

Alle aktører må derfor sette seg inn i innholdet i loven og forskriftene for å påse at man følger de regler som gjelder for behandling av personopplysninger.

Hvilke personopplysninger behandler virksomheten?

For at virksomheten skal ha oversikt over omfanget av sitt ansvar, må man utarbeide en oversikt over hvilke behandlinger av personopplysninger som foretas av virksomheten. Oversikten danner igjen grunnlaget for utarbeidelsen av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger1.

For reiselivsbedrifter vil det være de opplysninger som registreres i forbindelse med bestilling av reiser, og ved bruk avreisearrangørens nettsider og IKT-system som normalt vil være de personopplysninger virksomheten anses å behandle.

Oversikten over hvilke personopplysninger virksomheten behandler må blant annet omfatte den enkelte behand- lingens behandlingsgrunnlag og formålet med behandlingen. Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen.

Datatilsynet har i sin veileder Internkontroll og informasjonssikkerhet på side 13 utarbeidet et eksempel på hvordan en slik oversikt kan se ut.

Lederansvar

Det er ledelsen i virksomheten som har det overordnede ansvaret for at virksomheten behandler personopplysninger etter gjeldende regelverk, og derfor også at tilstrekkelig internkontroll og rutiner for informasjonssikkerhet etableres.

Internkontroll

Datatilsynet har laget veilederen Internkontroll og informasjonssikkerhet somnærmere redegjør for kravene til internkontroll.

Virksomheter som behandler personopplysninger plikter også å innføre og holde ved like systematiske tiltak (internkontroll) som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven.

Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn, informasjonsplikt om innsamlede opplysninger og sletteplikt.

Rett til innsyn

Enhver som ber om det har krav på å få vite hva slags personopplysninger en virksomhet har lagret om seg selv. Virksomheten skal ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven.

Dette kan f.eks. gjøres ved å gi kundene adgang til å søke opp denne informasjonen gjennom en innloggingsside som «Min side» eller lignende. Kravet kan også oppfylles på andre måter, men det må lages rutiner for hvordan slike henvendelser håndteres og innsyn gis.

Informasjonsplikt om innsamlede opplysninger

Når det samles inn opplysninger skal virksomheten av eget tiltak blant annet informere om12 navn og adresse på den behandlingsansvarlige, formålet med behandlingen, om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, at det er frivillig å gi fra seg opplysningene osv.

Virksomheten skal ha rutiner for å sikre at informasjons- plikten foretas i samsvar med bestemmelsene i loven.

Det vil her være praktisk å løse dette kravet ved å gi kunden slike opplysninger som en del av virksomhetens vilkår, og derfor innarbeide relevante opplysninger om hvordan personopplysninger behandles i gjeldende vilkårene. Når kunden bestiller reisen kan det f.eks. gis informasjon om hva opplysningene skal brukes til, bl.a. at personopplysningene de vil bli utlevert til relevant samarbeidende som flyselskap og hotell, og at det gis informasjon om lagringstid.

Det anbefales at virksomheten lager en personvernerklæring som legges tilgjengelig på virksomhetens hjemmeside. Datatilsynet har på sine sider informasjon om hva en slik erklæring bør inneholde.

Sletting

Personopplysninger skal slettes når de ikke lenger er nødvendige for formålet med behandlingen16. Virksomheten skal også ha rutinerfor å sikre at sletting foretas i samsvar med bestemmelsene i loven.

Virksomheten kan f.eks. lagre personopplysningene i inntil 3 år og etter denne perioden be om samtykke til å oppbevare personopplysningene i ny tidsavgrenset periode for å gi kunden bedre service ved fornyet kontakt.

Informasjonssikkerhet

Det er i tillegg et krav om at virksomheten har tilfredsstillende informasjonssikkerhet for de personopplysningene virksomheten behandler. Virksomheten skal sørge for dette ved å ha planlagte og systematiske tiltak for dette ved behandling av personopplysninger.

Det stilles også her krav til at virksomheten dokumen- terer informasjonssystemet og sikkerhetstiltakene, og denne dokumentasjonen skal være tilgjengelig for med- arbeidere, samt Datatilsynet og Personvernnemnda ved forespørsel.

Formålet med behandling av personopplysninger og over- ordnede føringer for bruk av informasjonsteknologi skal beskrives i sikkerhetsmål.

Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal rutinemessig gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet.

Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbei- det i virksomheten.

Virksomheten skal også gjøre en vurdering av risiko for at personopplysningene man håndterer kommer på avveier og dokumentere denne risikovurderingen, samt tiltak og rutiner for å håndtere risikoen. Det skal føres en oversikt over hvilke personopplysninger som behandles, og det skal i tillegg fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.

Reiselivsvirksomheter kan f.eks. løse disse kravene ved å inkludere sikkerhetsmål og en sikkerhetsstrategi i allerede eksisterende sikkerhetsrutiner.

Det er viktig at man ved etableringen av slike rutiner også sikrer konfidensialitet ved behandling av personopplysninger. Det skal også sikres at tilgang til personopplys- ninger hvor tilgjengelighet er nødvendig. Samtidig skal det treffes tiltak som sikrer integritet og mot uautorisert endring av personopplysninger der integritet er nødvending.

Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles.

Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Resultatet fra sikkerhetsrevisjon skal dokumenteres.

Databehandleravtale

Man er også forpliktet å påse at andre man gjennom sin drift lar få tilgang til personopplysninger oppfyller lovens krav for behandling av personopplysninger. Hvis noen skal behandle data på vegne av virksomheten (f.eks. ved leie av server, skytjenester osv.), må man inngå databehandleravtale med vedkommende.

Som hovedregel skal ikke personopplysningene overføres til et land utenfor EU/EØS-området, men det finnes unntak.

Meldeplikt og konsesjon

Det kreves konsesjon for å behandle sensitive personopplysninger. Om behandlingen av personopplysninger er unntatt konsesjonsplikten gjelder uansett en hovedregel om meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten.

Behandling av normal kundedata i reisebransjen vil nor- malt være unntatt fra meldeplikt. Virksomheten må imidlertid ha rutiner for å gjennomgå om man behandler personopplysninger som er underlagt meldeplikt eller krav til konsesjon.

Send inn melding til Datatilsynet dersom noen av behandlingene er meldepliktige, eventuelt søk konsesjon dersom det er nødvendig. Mer om melding og konsesjon.

Personvernombud

Vurder om dere ønsker å ha personvernombud, og søk Datatilsynet om opprettelse av ombud og tilhørende fritak fra meldeplikten.

Referanser:

  • Personopplysningslovens 11 og forskriftens § 2-4.
  • Personopplysningslovens 14 og forskriften kapittel 3.
  • Personopplysningslovens 8 og 9
  • Personopplysningslovens 11
  • Personopplysningsforskriften 2-3
  • Se Datatilsynets side om internkontroll 
  • Personopplysningslovens 14
  • Personopplysningslovens 18
  • Personopplysningslovens § 19 og 20
  • Personopplysningslovens 28
  • Personopplysningsforskriften 3-1, tredje ledd bokstav d)
  • Personopplysningslovens 19 første ledd at
  • Personopplysningsforskriften 3-1, tredje ledd bokstav d
  • Personopplysningslovens 19
  • Datatilsynet om digitale tjenester og forbrukeres personopplysninger

  • Personopplysningslovens 11 e, jf. § 28Personopplysningsforskriften 3-1, bokstav cInnenfor rammene, tilsynsrapport i Ving-saken.Lagringsperiode på 10 år ansett som ikke saklig begrunnet, Ving-saken.             

  • Kravene til informasjonssikkerhet er nærmere utdypet i personopplysningsforskrif- ten kapittel
  • Personopplysningslovens 13
  • Personopplysningsforskriften 2-3
  • Personopplysningsforskriften 2-4 annet ledd
  • Personopplysningsforskriften 2-11
  • Personopplysningsforskriften 2-6
  • Personopplysningsforskriften 2-5
  • Personopplysningslovens 33
  • Personopplysningslovens 31
  • Personopplysningsforskriften 2-12
  • Personopplysningsforskriften 2-13
  • Personopplysningsforskriftens 7-7