Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Transkript

1 Tafjord Marked AS Serviceboks ÅLESUND Deres referanse 10/ GH-HN Vår referanse (bes oppgitt ved svar) Dato 10/ /HTE 12. april 2012 Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport Det vises til Datatilsynets stedlige kontroll 23. mars 2010 samt tilsynets varsel om vedtak av 6. juni Virksomheten ba om en frist utsettelse for å komme med kommentarer på den foreløpige kontrollrapporten den 28. juni Denne henvendelsen ble ved en inkurie ikke besvart. Datatilsynet kan dog ikke registrere at virksomheten har kommentert den foreløpige kontrollrapporten eller varsel om vedtak. Vedtak om pålegg I tråd med varsel om vedtak og med hjemmel i personopplysningsloven 46 gis følgende pålegg: 1. Virksomheten må inneha konsesjon fra Datatilsynet for behandling av personopplysninger i televirksomheten, jf. personopplysningsforskriften 7-1. Det vises til kontrollrapportens Virksomheten må etablere et internkontrollsystem i samsvar med personopplysningsloven 14. Det vises til kontrollrapportens Virksomheten må etablere databehandleravtaler med Phonect og Tafjord Kraftnett AS i samsvar med personopplysningsloven 15. Det vises til kontrollrapportens Virksomheten må slette trafikkdata senest innen 3 måneder der det benyttes månedsvis fakturering, og 5 måneder der det benyttes kvartalsvis fakturering jf. personopplysningslovens 28. Det vises til kontrollrapportens 5.5. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt Vurdering av overtredelsesgebyr Det følger av personopplysningsloven 46 at Datatilsynet kan pålegge den som har overtrådt personopplysningsloven eller personopplysningsforskriften, å betale et overtredelsesgebyr. Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på momentene i 46, 2. ledd bokstav a-h. Tilsynet vil i det følgende foreta en vurdering av aktuelle momenter. a) hvor alvorlig overtredelsen har krenket de interesser loven verner, Av personopplysningsloven 1, 2. ledd følger det at loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. I denne saken har ikke virksomheten hatt nødvendig tillatelse til å behandle personopplysninger i televirksomhet. Videre har virksomheten ikke slettet data for IP-telefoni siden 1. mars 2006, og aldri slettet IP-adresser. Virksomheten er en av de mindre aktørene innenfor telekomsektoren i Norge. Den ulovlige lagringen av trafikkdata samt IP-adresser, vil ikke ha berørt en stor gruppe mennesker. Det kan generelt hevdes at jo flere personopplysninger som behandles, og jo mer sensitive opplysningene er, desto større er ulempen for personvernet. Trafikkdata vil i utgangspunktet ikke anses som sensitive personopplysninger, men kan allikevel kunne krenke tungtveiende personverninteresser, ut i fra mengden samt arten av personopplysningene som behandles. b) graden av skyld, Det følger av forarbeidene til bestemmelsen, i Ot.prp. nr. 71 ( ), at det med graden av skyld siktes det til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg. Virksomheten har behandlet personopplysninger i telesektoren uten nødvendig konsesjon. Datatilsynet legger videre til grunn at virksomheten burde være kjent med tilsynets prinsippvedtak vedrørende lagringstid for IP-adresser, og at manglende innrettelse må kunne anses som klanderverdig. Datatilsynet er av den oppfatning at de bruddene som det her gjelder ligger klart innenfor virksomhetens kontroll. 2

3 c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, Virksomheten har vist en manglende kjenneskap til reglene som regulerer behandlingen av personopplysninger innenfor telekommunikasjon. Kjennskap til regelverket må anses som en grunnleggende forutsetning for å kunne operere i bransjen. Det at Tafjord Markeds er en relativ liten aktør i bransjen, er ingen unnskyldning for at man ikke har kjennskap til sentrale bestemmelser som regulerer deres virke. Ledelsen i virksomheten må følgelig bære ansvaret for at virksomheten som sådan har hatt tilstrekkelig med kompetanse innad i virksomheten. d) om overtredelsen er begått for å fremme overtrederens interesser, Datatilsynet legger til grunn at overtredelsen ikke er begått for å fremme overtrederens interesser, men heller skyldes manglende kunnskap om regelverket. e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, Det er i henhold til merknadene til bestemmelsen i personopplysingsloven (Ot.prp. nr s. 12), tilstrekkelig at overtredelsen etter sin art er egnet til å oppnå en fordel, jf. «kunne ha oppnådd». Videre er det ikke nødvendig at fordelen har vært av økonomisk art. Datatilsynet legger til grunn at virksomheten kan ha oppnådd flere fordeler ved å bryte personopplysningslovens bestemmelser. Virksomheten kan ha spart kostnader ved ikke å innrette seg med henholdsvis konsesjon og prinsippvedtak. f) om det foreligger gjentakelse, Datatilsynet har ingen grunn til å tro at det foreligger gjentakelse. g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og Datatilsynet har ovenfor konkluder med å pålegge Tafjord Markeds å endre sin lagringspraksis. Det er ikke aktuelt for Datatilsynet å ilegge andre reaksjoner enn overtredelsesgebyr for overtredelsene. h) overtrederens økonomiske evne. Ved vurdering av om overtredelsesgebyr skal ilegges skal det sees hen til overtreders økonomiske situasjon. Dette momentet vil i utgangspunktet ha større betydning for utmåling av overtredelsesgebyret enn i vurderingen av om overtredelsesgebyr skal ilegges. Det presiseres at virksomhetens økonomi tillegges mindre betydning hvis overtredelsen først er vurdert som grov, jf. bokstav a. 3

4 Konklusjon Etter å ha vurdert momentene i personopplysningsloven 46 bokstav a-h, finner Datatilsynet ikke grunnlag for å kunne ilegge Tafjord Markeds et overtredelsesgebyr. I vurderingen vektlegges særlig det forhold at det har gått lang tid fra kontrolltidspunktet, til vedtak i saken er blitt fattet. Datatilsynet har for øvrig ikke ilagt overtredelsesgebyr i saker som det er naturlig å sammenligne denne med. Med vennlig hilsen Kim Ellertsen avdelingsdirektør Henok Tesfazghi rådgiver Vedlegg: Endelig kontrollrapport 4

5 Saksnummer: 10/ Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Tafjord Marked AS Sted: Ålesund Utarbeidet av: Henok Tesfazghi og Atle Årnes 1 Innledning Datatilsynet gjennomførte kontroll hos Tafjord Marked AS den 23. mars Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med utlevering av personopplysninger til politiet. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Asbjørn Krohn Dalen, Administrerende direktør - Harald O. Nøstedahl, Markedssjef - Tove S. Sætre Breivik, Avdelingsleder kundesenter - Dag Olav Par Slettvoll, stedfortreder for teamleder 2.2 Fra Datatilsynet: - Henok Tesfazghi, juridisk rådgiver - Atle Årnes, senioringeniør 3 Generelt Tafjord Marked AS har 40 ansatte. Omtrent 18 av disse er ansatte i kundesenteret. Telekom- delen i Tafjord Kraftnett AS håndterer internettilgang, domener, e-post, telefoni, fiber-tv. Telekom har 8 ansatte. Alt teknisk blir håndtert av Telekomdelen i Tafjord Kraftnett AS, mens kundesenteret hos Tafjord Marked AS håndterer kundehenvendelser, også de tekniske. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten har oppgitt følgende antall kunder innen de forskjellige områder: Mer enn 1500 Internett bedriftskunder Mer enn Internett privatkunder Mer enn 1800 Internett privatkunder på fiber 1 av 6

6 Omtrent 150 Internett bedriftskunder på fiber Nesten 3500 IP-telefoni abonnenter. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Konsesjonsplikt I henhold til personopplysningsforskriften 7-1 er det konsesjonsplikt for behandling av personopplysninger i telesektoren. Kontrollen avdekket at virksomheten ikke har konsesjon fra Datatilsynet. Det ble riktignok gitt en konsesjon for teletjenester til Mimer AS, et selskap som ble kjøpt opp av Tafjord Kraft Bredbånd AS, og etter hvert fusjonert med Tafjord Kraftsalg, og som samtidig skiftet navn til Tafjord Markeds AS. Konsesjonen som ble gitt til Mimer AS, og er ikke anvendbar for Tafjord Markeds AS. At virksomheten behandler personopplysninger i telesektoren uten konsesjon, anses som en mangel i henhold til personopplysningsforskriften Internkontroll Personopplysningslovens 14 stiller krav om at behandlingsansvarlig skal etablere internkontroll. Tiltak skal dokumenteres. Internkontrollplikten gjelder både juridiske og sikkerhetsmessige forhold. Virksomheten har startet arbeidet med å etablere rutiner. Under kontrollen kunne det ikke fremlegges noen dokumenterte rutiner for behandling av personopplysninger i virksomheten slik loven krever. Internkontroll krever at den behandlingsansvarlige har kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon som beskriver hvordan behandling av personopplysninger skal skje i virksomheten (rutiner), samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå. Internkontrollen bør inneholde en styrende, gjennomførende og kontrollerende del. Den styrende delen bør blant annet inneholde en beskrivelse av formål med behandlingen, behandlingsgrunnlag og ansvaravklaringer. Den gjennomførende del med rutiner skal bidra til at de ansattes behandling av opplysninger skjer i samsvar med regelverket krav. Den kontrollerende del bør inneholder bestemmelser om avvikshåndtering og periodiske gjennomganger. Virksomheten har således ikke dokumentert lovens minimumskrav. Manglende internkontroll anses å være i strid med ovennevnte bestemmelse. 5.3 Databehandleravtale I henhold til personopplysningsloven 15 kan en databehandler ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. 2 av 6

7 Virksomheten benyttet Phonect som databehandler for virksomhetens IP-telefonitjeneste. Det foreligger ingen skriftlig databehandleravtale med denne databehandleren. Phonect lagrer trafikkdata for Tafjord Markeds kunder på IP-telefoni. Trafikkdataene blir sendt Tafjord Marked for fakturering av kunder. Virksomheten benyttet teknisk kunnskap hos Tafjord Kraftnett AS, det ble benyttet 8 personer fra deres telekomavdeling. Datatilsynet anser at de ansatte fra telekomavdelingen i Tafjord Kraftnett AS, behandler personopplysninger på vegne av Tafjord Markeds. Det forelå ingen skriftlig databehandleravtale med Tafjord Kraftnett AS. Datatilsynet anser det som et brudd på personopplysningslovens 15 at det ikke foreligger en skriftlig databehandleravtale med henholdsvis Phonect AS og Tafjord Kraftnett AS. 5.4 Utlevering av personopplysninger til andre virksomheter (politiet) Virksomheten erfarte at politiet etterspurte kunders historiske trafikkdata, identiteten bak en elektronisk kommunikasjonsadresse (ip-adresse vil inngå i begrepet elektronisk kommunikasjonsadresse) eller abonnementsopplysninger i en begrenset grad Det var i løpet av de siste 8 måneder utlevert data til politiet tre ganger. Utleveringene gjaldt følgende: En utlevering av navn på eier av konkret IP-adresse. En utlevering av trafikkdata på IP-telefoni. En utlevering på adresseopplysning. Utlevering av trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse er å anse som en behandling av personopplysninger, jf. personopplysningslovens 2 nr. 2. For å behandle personopplysninger, må man ha et behandlingsgrunnlag, jf personopplysningsloven 11, jf. 8. Som hovedregel bør dette være samtykke fra den det gjelder. Andre behandlingsgrunnlag kan være at adgangen til behandling er fastsatt i norsk lov eller at en slik behandling er nødvendig for nærmere angitte formål. For behandling av sensitive personopplysninger må i tillegg et av vilkårene i personopplysningsloven 9 være oppfylt. Hva som regnes som sensitive personopplysninger er uttømmende regulert i personopplysningsloven 2 nr. 8. Det at en person har vært (eller er) mistenkt for en straffbar handling er å anse som en sensitiv personopplysning. Når politi/påtalemyndighet etterspør trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse, vil de personopplysningene teletilbyder utleverer anses som en sensitiv personopplysning, siden opplysningene kan knyttes til en enkeltperson som er mistenkt for en straffbar handling. 3 av 6

8 5.4.1 Samtykke Et samtykke er et av vilkårene som i utgangspunktet vil tilfredsstille både personopplysningslovens 8 og 9. Samtykket må imidlertid være en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningslovens 2 nr. 7. Etter forarbeidene (Ot.prp.nr.92 [ ] Behandling av personopplysninger [personopplysningsloven] til personopplysningsloven 2) ligger det i uttrykket at samtykket ikke må være avgitt "under noen form for tvang fra den behandlingsansvarlige eller andre". Problemstillingen som reises når politiet innhenter et samtykke fra en mistenkt, er om samtykke blir avgitt frivillig. Datatilsynet viser da til den «maktubalanse» som ofte vil være til stede dersom politi- og påtalemyndighet ber noen om et samtykke. Det kan være vanskelig å overskue hva som vil være konsekvensen av ikke å avgi et samtykke og personen opplysningene gjelder vil kunne føle seg presset til å avgi samtykke når en myndighetsperson ber om det. Et samtykke til utlevering av trafikkdata samt øvrige personopplysninger kan fort få som konsekvens at individet samtykker med den motivasjon å bevise sin uskyld. Tilsynet peker da på faren for utglidning i forhold til prinsippet om at det er politi- og påtalemyndighetens plikt å bevise skyld. Det er i utgangspunktet virksomheten (tilbyder) som skal foreta den konkrete vurdering av om vilkårene til et gyldig samtykke er oppfylt, før virksomheten utleverer personopplysningene. Datatilsynet kan dog overprøve den vurderingen som virksomheten foretar. Det vil her være naturlig å skille mellom den konkrete informasjonen som står nedfelt i samtykkeerklæringen som virksomheten mottar av politi/påtalemyndighet, samt den psykologiske situasjonen som den enkelte befinner seg i. Den sist nevnte situasjonen vil det være vanskelig for virksomheten å vurdere om den registrerte har blitt utsatt for utilbørlig press fra politi/påtalemyndighet. Ved behandling av sensitive personopplysninger vil det være særlig hensiktsmessig at samtykket blir dokumentert skriftlig. En løsning der den mistenkte kun blir muntlig orientert om at det er frivillig å avgi et samtykke, vil etter de gitte omstendigheter, fremtre som mindre sannsynlig at kravet til et frivillig, utrykkelig og informert samtykke er oppfylt. 1 Samtykkeerklæringer benyttes overfor tilbyder for å dokumentere at den registrerte har samtykket til utlevering av f. eks. trafikkdata, jf. personopplysningsloven 11 jf. 8 første alternativ og 9, 1.ledd litra a, samtykke fra bruker er også en forutsetning for at tilbyders taushetsplikt blir opphevet, jf. ekomloven 2-7 annet ledd annet punktum, jf. ekomforskriften 7-4. Eventuelle mangler ved samtykket, jf. personopplysningslovens 2 nr 7, vil følgelig få 1 Jf. Ot.prp.nr.92 [ ] s av 6

9 betydning for om tilbyder kan utlevere personopplysninger (trafikkdata). Tilsynet vil imidlertid understreke at hvert forhold må vurderes konkret Hjemmel i lov Det andre aktuelle behandlingsgrunnlaget er at det er fastsatt i lov at det er adgang til slik behandling, jf. personopplysningsloven henholdsvis 8 første ledd og 9 litra b). Når politiet etterspør trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse vises det til beslagshjemler i straffeprosesslovens Politiets beslagshjemler er etter Datatilsynets vurdering lite egnet ovenfor virksomheten, og virksomheten vil etter tilsynets bedømning ikke være rettslig forpliktet til å utlevere trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse, når det vises til straffeprosesslovens Spørsmålet blir så om tilbyder har adgang til å utlevere sensitive personopplysninger, jf. personopplysningslovens 8 første alternativ og 9, 1. ledd litra b? I følge personopplysningslovens 8 første alternativ og 9, 1. ledd litra b kreves det at «det er fastsatt i lov at det er adgang til slik behandling». Etter forarbeidene (Ot.prp.nr.92 [ ] Behandling av personopplysninger [personopplysningsloven] til personopplysningsloven 8) sies det følgende: Hjemmelskravet er relativt, slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få. Også slik behandling av personopplysninger som er regulert i annen lov må fylle de kravene som oppstilles for lovlig behandling i EU-direktivet artikkel 7 i den utstrekning behandlingen faller inn under direktivets anvendelsesområde. 3 Hvorvidt en behandling faktisk er hjemlet i lov, vil bero på en konkret vurdering. Det må dog legges til grunn at de personopplysninger som behandles av tilbyder er sensitive, og at det derfor må stilles et strengere krav til en klar hjemmel, enn hvis personopplysningene ikke var sensitive. I denne saken må det vurderes om politi/påtalemyndighetens kompetanse til å ta beslag, jf. strprl , tilfredsstiller lovkravet etter personopplysningslovens 8 første alternativ og 9, 1.ledd litra b, slik at tilbyder har adgang til å sammenstille og utlevere sensitive personopplysninger. Bestemmelsene skal forsåes dit hen at hvis det finnes en tiltrekkelig klar lovbestemmelse som tillater en slik behandling, vil bestemmelsenes vilkår vær oppfylt. Bemerkning 2 Se også Riksadvokaten sin vurdering i brev til Oslo statsadvokatembete av 2. mars 2010 (saksnr. Ra TAA/KAK 332.1) 3 Ot.prp.nr.92 [ ] s av 6

10 Riksadvokaten har i sin avklaring konkludert med at politiet både kan benytte reglene om beslag og utleveringspålegg (etter at fritak fra taushetsplikt er innhentet). Datatilsynet tar Riksadvokatens vurdering til etterretning og legger til grunn at et en beslagsbeslutning fra kompetent myndighet, vil kunne oppfylle lovkravet, jf. personopplysningslovens 8 første alternativ og 9, 1.ledd litra b. 5.5 Lagring av unødvendige opplysninger I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. I henhold til Datatilsynets standard telekonsesjonen, som Tafjord Marked ikke har blitt tildelt, skal opplysninger som benyttes til faktureringsformål, slettes når faktura er gjort opp, eventuelt når klagefrist er gått ut. Ved kvartalsvis fakturering skal opplysningene slettes senest 5 måneder etter at de ble registrert. Velger virksomheten å gå over til månedsvis fakturering, skal opplysningene slettes senest 3 måneder etter at de ble registrert. Datatilsynet vil her presisere at slettefristene vil kunne være kortere, jf. begrepet «slettes senest». Virksomheten har lagret trafikkdata for IP-telefoni siden 1. mars Det var denne dato virksomheten startet med å tilby IP-telefoni. Virksomheten har aldri slettet kundenes trafikkdata for IP-telefoni. Det ble opplyst at databehandleren Phonect selv har lagret trafikkdataopplysninger tilbake til september I kundens modem ble det lagret trafikkdata i mer enn 3 uker. På dagen for kontrollen den 23. mars 2010, ble det funnet data tilbake til 2. mars. Disse trafikkdataene omfattet tidspunkt og varighet for innkommende, utgående og tapte anrop. Kundene var ikke orienterte om at disse data var tilgjengelige. For oppkoblingen til Internett ble kundene tildelt fast IP-adresse. Dette omfattet rundt internettkunder. De kundene som var tilknyttet Internett via fiber hadde dynamiske IPadresser med tildelingstid på en uke. Datatilsynet anser at det er et brudd på personopplysningsloven 28 å lagre trafikkdata lengre enn det som er nødvendig. Virksomheten kunne ikke vise til noe behandlingsgrunnlag for å lagre trafikkdata. Faktisk ble trafikkdata for IP-telefoni aldri slettet. Konklusjon Virksomhetens manglende sletting av trafikkdata strider mot personopplysningslovens 11 litra e), jf av 6