Vår referanse (bes oppgitt ved svar)

Transkript

1 TeliaSonera Norge AS Postboks 4444 Nydalen 0403 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 10/ /HTE Dato 7. februar 2012 Kontroll av NetCom vedtak og endelig kontrollrapport Det vises til Datatilsynets kontroll av NetCom AS 22. mars 2010 samt tilsynets varsel om vedtak av 17. juni NetCom 1 kommenterte tilsynets varsel om vedtak i brev av 1. juli I brev av 1. juli 2011 anbefaler NetCom Datatilsynet om å avvente eventuelle pålegg. Virksomheten antar (med rette) at Datatilsynet vil endre den gjeldende standard konsesjonen fra 2003, og ser at utarbeidingen av nye konsesjonsvilkår i sammenheng med implementering av datalagringsdirektivet. Virksomheten anfører at det er viktig å kunne planlegge dette samtidig, og unngå å bruke unødvendige ressurser på forskjellige tekniske løsninger. Det vises blant annet til at et pålegg om endring av virksomhetens lagringspraksis vil innebære bruk av omfattende tekniske ressurser samt medføre vesentlige kostnader. Datatilsynet har vurdert NetCom sin anbefaling og ser at et pålegg om endring av virksomheten sin lagringspraksis, på det nåværende tidspunkt, vil være unødvendig byrdefullt med hensyn til beskrivelsen om at dette vil kreve store ressurser. Dette skyldes at virksomheten i nær fremtid vil måtte gjøre vesentlig endringer i sin lagringspraksis på grunn av implementering av datalagringsdirektivet i norsk lovgivning. Tilsynet har på den bakgrunnen konkludert med, at det på nåværende tidspunkt, ikke vil være hensiktsmessig å pålegge NetCom å gjøre om på sine lagringsrutiner, jf. varsel om vedtak pkt.1, 2, 3 og 4. Datatilsynet utsetter derfor fastsettelsen av vedtaket for de nevnte punkter inntil videre. Tilsynets varsel om vedtak pkt. 5 blir derfor det eneste punktet som virksomheten pålegges å gjennomføre. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: Virksomheten kan kun behandle personopplysninger på vegne av Chess dersom det foreligger skriftlig databehandleravtale. Behandlingen av personopplysninger på 1 Datatilsynet er kjent med endringen av selskapsnavnet til TeliaSonera Norge AS i januar 2011, men vil for enkelhets skyld benytte merkenavnet NetCom i det følgende. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 vegne av Chess må opphøre, med mindre en skriftlig databehandleravtale inngås jf. personopplysningsloven 15. Det vises til kontrollrapportens punkt Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt Med hilsen Bjørn Erik Thon direktør Henok Tesfazghi rådgiver Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 10/ Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: NetCom AS Utarbeidet av: Henok Tesfazghi og Sted: Oslo Atle Årnes 1 Innledning Datatilsynet gjennomførte kontroll hos NetCom AS den 22. mars Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med utlevering av personopplysninger til politiet. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - August Baumann, administrerende direktør - Randi Punsvik, ansvarlig samfunnskontakt - Lise Dalen, senior saksbehandler PKR - Dag Anders Bodal, sikkerhetssjef 2.2 Fra Datatilsynet: - Henok Tesfazghi, juridisk rådgiver - Atle Årnes, senioringeniør 3 Generelt NetCom AS er nest størst av 3 leverandører av infrastruktur på mobiltelefoni i Norge. I brev av 8. mars 2010 har NetCom opplyst følgende: Assistanse til politiet og redningsetatene er en samfunnspålagt oppgave. Informasjon fra mobilnettet er et nyttig hjelpemiddel for politiet og redningsetatene i arbeidet med å bekjempe alvorlig kriminalitet samt å redde liv. Samtidig må vi ta hensyn til våre kunders personvern, og forsikre oss om at utlevering av data bare skjer der det er helt nødvendig. I samme brev opplyses det: Det å ivareta personvern er en del av NetComs generelle internkontrollsystem. Det betyr at det utarbeides styrende dokumenter som skal sikre at arbeidsprosessene rosessene møter de ulike krav som stilles fra myndigheter, kunder, ledelse og ansatte. 1 av 10

4 De styrende dokumentene består av policy dokumenter, retningslinjer og selskapsprosedyrer. Disse er tilgjengelige for alle ansatte via Intranett. Basert på disse dokumentene utarbeides det håndbøker, instrukser, prosedyrebeskrivelser med mer. I internkontrollsystemet inngår regelmessige kontroller av at de styrende dokumentene etterleves og er gode nok. Corporate security i TeliaSonera er ansvarlig for koordinering og styring av sikkerhet innenfor TeliaSonera-konsernet. For å beskytte kunder og aksjeverdien, utvikler og vedlikeholder Corporate Security en levedyktig og bærekraftig strategi for å implementere sikkerhetsprogrammer og prosesser i hele organisasjonen. Det er igangsatt et arbeid for å harmonisere NetComs dokumenter mot TeliaSoneras styrende dokumenter. NetCom sin politisvartjeneste består av 2 fulltidsansatte, samt noen teknikere med forskjellige tilganger. 4 Kort om bruk av personopplysninger samt formålet med behandlingene NetCom har konsesjon fra Datatilsynet for å lagre trafikkdata for å kunne fakturere for sine tjenester. Konsesjonen tillater lagring av nødvendige trafikkdata i 3 måneder, for månedsbasert fakturering og lagring opp til 5 måneder for kvartalsvis fakturering. NetCom lagrer trafikkdata for fakturering av egne kunders bruk i henhold til egen konsesjon. I tillegg lagrer NetCom trafikkdata for andre leverandørers kunder som NetCom har avtale med. Denne lagringen skjer på grunnlag av disse leverandørenes konsesjon fra Datatilsynet. Aktuelle trafikkdata som lagres er informasjon om: utgående mobilsamtaler. innkommende mobilsamtaler. Bruk av datatrafikk (IP). Nødrett Det ble i 2009 utlevert informasjon fra NetCom i 396 saker hvor det ble påberopt nødrett. Trafikkdata I forbindelse med henvendelser fra politiet levers det ut informasjon hvis det er et fritak fra Post- og teletilsynet (PT) eller hvis det foreligger et skriftlig samtykke. For 2009 viser NetCom sin statistikk at det ble behandlet totalt 1730 trafikkdatasaker (basestasjonssøk og ordinær trafikkdata). Av dette antallet var 1023 saker utlevert til politiet etter fritak fra PT, og 707 saker ble utlevert til politiet etter samtykke fra den registrerte. 2 av 10

5 I snitt omfatter hver henvendelse fra politiet 3 anropsnummer Abonnementsdata NetCom mottok i e-posthenvendelser fra politiet. Ved disse henvendelsene etterspurte politiet i hovedsak om følgende opplysninger: Abonnement SIM-kort Når abonnementet ble opprettet Om abonnementet er aktivt Hvem som er registrert bruker Som regel så er det de samme etterforskerne som spør om informasjon. E-posthenvendelsene kommer alltid fra politi.no adresse. Politiet kontakter NetCom for utlevering av opplysninger på NetComs kunder samt for kundene til andre operatører som benytter NetComs nett. Dette gjelder abonnentene til Chess og Tele2. NetCom fakturerer politiet for politiets oppslag, også for de oppslag som gjøres i kundemassen til Chess og Tele2. Chess og Tele2 får ingen informasjon fra NetCom om at det er blitt foretatt utlevering av personopplysninger på deres kunder til politiet. Virksomheten opplyste at politiet ikke hadde tilgang til NRDB (nummerdatabasen) for å vite hvilket mobilselskap et mobilnummer tilhørte. Virksomheten får forespørsler fra andre enn politiet for innsyn i trafikkdata. Advokater kan be om slike opplysninger, men får ikke det. Dersom advokatens klient har gitt sitt samtykke, kan trafikkdata utleveres. Virksomheten opplyste at det tidligere forelå et krav om rettens kjennelse for å få utlevert trafikkdata. Dette er ikke lenger nødvendig, kun Post- og teletilsynets opphevelse av taushetsplikten. Virksomheten oppfattet Post- og teletilsynet som mer restriktiv til å gi tilgang til trafikkdata enn dommerne. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelle krav til behandling av personopplysninger Virksomheten har opplyst at politiet etterspør om kundens identitet bak en elektronisk kommunikasjonsadresse (ip-adresse vil inngå i begrepet elektronisk kommunikasjonsadresse) og abonnementsopplysninger. Utlevering av trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse er å anse som en behandling av personopplysninger, jf. personopplysningslovens 2 nr av 10

6 For å behandle personopplysninger, må man ha et behandlingsgrunnlag, jf personopplysningsloven 11, jf. 8. Som hovedregel bør dette være samtykke fra den det gjelder. Andre behandlingsgrunnlag kan være at adgangen til behandling er fastsatt i norsk lov eller at en slik behandling er nødvendig for nærmere angitte formål. For behandling av sensitive personopplysninger må i tillegg et av vilkårene i personopplysningsloven 9 være oppfylt. Hva som regnes som sensitive personopplysninger er uttømmende regulert i personopplysningsloven 2 nr. 8. Det at en person har vært (eller er) mistenkt for en straffbar handling er å anse som en sensitiv personopplysning. Når politi/påtalemyndighet etterspør trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse. Vil de personopplysningene teletilbyder utleverer anses som en sensitiv personopplysning, siden opplysningene kan knyttes til en enkeltperson som er mistenkt for en straffbar handling Samtykke Et samtykke er et av vilkårene som i utgangspunktet vil tilfredsstille både personopplysningslovens 8 og 9. Samtykket må imidlertid være en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningslovens 2 nr. 7. Etter forarbeidene (Ot.prp.nr.92 [ ] Behandling av personopplysninger [personopplysningsloven] til personopplysningsloven 2) ligger det i uttrykket at samtykket ikke må være avgitt "under noen form for tvang fra den behandlingsansvarlige eller andre". Problemstillingen som reises når politiet innhenter et samtykke fra en mistenkt, er om samtykke blir avgitt frivillig. Datatilsynet viser da til den «maktubalanse» som ofte vil være til stede dersom politi- og påtalemyndighet ber noen om et samtykke. Det kan være vanskelig å overskue hva som vil være konsekvensen av ikke å avgi et samtykke og personen opplysningene gjelder vil kunne føle seg presset til å avgi samtykke når en myndighetsperson ber om det. Et samtykke til utlevering av trafikkdata samt øvrige personopplysninger kan fort få som konsekvens at individet samtykker med den motivasjon å bevise sin uskyld. Tilsynet peker da på faren for utglidning i forhold til prinsippet om at det er politi- og påtalemyndighetens plikt å bevise skyld. Det er i utgangspunktet virksomheten (tilbyder) som skal foreta den konkrete vurdering av om vilkårene til et gyldig samtykke er oppfylt, før virksomheten utleverer personopplysningene. Datatilsynet kan dog overprøve den vurderingen som virksomheten foretar. Det vil her være naturlig å skille mellom den konkrete informasjonen som står nedfelt i samtykkeerklæringen som virksomheten mottar av politi/påtalemyndighet, samt den psykologiske situasjonen som den enkelte befinner seg i. Den sist nevnte situasjonen vil det være vanskelig for virksomheten å vurdere om den registrerte har blitt utsatt for utilbørlig press fra politi/påtalemyndighet. 4 av 10

7 Ved behandling av sensitive personopplysninger vil det være særlig hensiktsmessig at samtykket blir dokumentert skriftlig. En løsning der den mistenkte kun blir muntlig orientert om at det er frivillig å avgi et samtykke, vil etter de gitte omstendigheter, fremtre som mindre sannsynlig at kravet til et frivillig, utrykkelig og informert samtykke er oppfylt. 1 Datatilsynet fikk gjennom kontrollen tilgang til en standard samtykkeerklæring som ble benyttet av Vestfold politidistrikt (Felles Kriminal Enhet). Erklæringen inneholdt ingen opplysninger om at det å avgi et samtykke er frivillig, noe som tilsynet vil oppfatte som et sentralt element i vurderingen av om samtykket ble avgitt frivillig. En løsning der den mistenkte kun blir muntlig orientert om at det er frivillig å avgi et samtykke, vil etter de gitte omstendigheter, fremtre som lite tilfredsstillende i forhold til å kunne sannsynliggjøre at kravet til et frivillig, utrykkelig og informert samtykke er oppfylt. Samtykkeerklæringen benyttes overfor tilbyder for å dokumentere at den registrerte har samtykket til utlevering av f. eks. trafikkdata, jf. personopplysningsloven 11 jf. 8 første alternativ og 9, 1.ledd litra a, samtykke fra bruker er også en forutsetning for at tilbyders taushetsplikt blir opphevet, jf. ekomloven 2-7 annet ledd annet punktum, jf. ekomforskriften 7-4. Eventuelle mangler ved samtykket, jf. personopplysningslovens 2 nr 7, vil følgelig få betydning for om tilbyder kan utlevere personopplysninger (trafikkdata). Tilsynet vil imidlertid understreke at hvert forhold må vurderes konkret. Bemerkning Tilsynet vil under dette punkt påpeke den særlige plikt tilbyder har til å forvisse seg om at når samtykke benyttes som et behandlingsgrunnlag, jf. personopplysningsloven 11 jf. 8 første alternativ og 9, 1.ledd litra a, må det oppfylle kravet til et gyldig samtykke, jf. personopplysningsloven 2 nr Hjemmel i lov Det andre aktuelle behandlingsgrunnlaget er at det er fastsatt i lov at det er adgang til slik behandling, jf. personopplysningsloven henholdsvis 8 første ledd og 9 litra b). Når politiet etterspør trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse vises det til beslagshjemler i straffeprosesslovens Politiets beslagshjemler er etter Datatilsynets vurdering lite egnet ovenfor virksomheten, og virksomheten vil etter tilsynets bedømning ikke være rettslig forpliktet til å utlevere trafikkdata, abonnementsopplysninger eller identiteten bak en elektronisk kommunikasjonsadresse, når det vises til straffeprosesslovens Spørsmålet blir så om tilbyder har adgang til å utlevere sensitive personopplysninger, jf. personopplysningslovens 8 første alternativ og 9, 1. ledd litra b? 1 Jf. Ot.prp.nr.92 [ ] s Se også Riksadvokaten sin vurdering i brev til Oslo statsadvokatembete av 2. mars 2010 (saksnr. Ra TAA/KAK 332.1) 5 av 10

8 I følge personopplysningslovens 8 første alternativ og 9, 1. ledd litra b kreves det at «det er fastsatt i lov at det er adgang til slik behandling». Etter forarbeidene (Ot.prp.nr.92 [ ] Behandling av personopplysninger [personopplysningsloven] til personopplysningsloven 8) sies det følgende: Hjemmelskravet er relativt, slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få. Også slik behandling av personopplysninger som er regulert i annen lov må fylle de kravene som oppstilles for lovlig behandling i EU-direktivet artikkel 7 i den utstrekning behandlingen faller inn under direktivets anvendelsesområde. 3 Hvorvidt en behandling faktisk er hjemlet i lov, vil bero på en konkret vurdering. Det må dog legges til grunn at de personopplysninger som behandles av tilbyder er sensitive, og at det derfor må stilles et strengere krav til en klar hjemmel, enn hvis personopplysningene ikke var sensitive. I denne saken må det vurderes om politi/påtalemyndighetens kompetanse til å ta beslag, jf. strprl , tilfredsstiller lovkravet etter personopplysningslovens 8 første alternativ og 9, 1.ledd litra b, slik at tilbyder har adgang til å sammenstille og utlevere sensitive personopplysninger. Bestemmelsene skal forsåes dit hen at hvis det finnes en tiltrekkelig klar lovbestemmelse som tillater en slik behandling, vil bestemmelsenes vilkår vær oppfylt. Bemerkning Riksadvokaten har i sin avklaring konkludert med at politiet både kan benytte reglene om beslag og utleveringspålegg (etter at fritak fra taushetsplikt er innhentet). Datatilsynet tar Riksadvokatens vurdering til etterretning og legger til grunn at et en beslagsbeslutning fra kompetent myndighet, vil kunne oppfylle lovkravet, jf. personopplysningslovens 8 første alternativ og 9, 1.ledd litra b Konsesjonsplikt NetCom ble gitt konsesjon fra Datatilsynet den 14. april Konsesjonen gir virksomheten mulighet til å behandle personopplysninger om abonnenters bruk av teletjenester. Den behandlingsansvarlige skal hvert tredje år sende Datatilsynet bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler. Datatilsynet skulle ha mottatt en slik bekreftelse innen 14. april Datatilsynet har ennå ikke mottatt en slik bekreftelse. En manglende bekreftelse på at NetCom behandler personopplysninger i samsvar med den gitte konsesjonen, anses som et brudd på konsesjonsvilkåret pkt Ot.prp.nr.92 [ ] s av 10

9 5.1.4 Sikkerhet ved utlevering I henhold til personopplysningsforskriften 2-11 skal det treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. Henvendelser fra politiet kom enten inn på telefaks eller via kryptert e-post (PGP). Fra sommeren 2009 begynte politiet å foreta noen henvendelser om trafikkdata på PGP. Flere henvendelser innkommer nå på PGP enn på telefaks. Spesielt politiet i Oslo og Rogaland er flinke til å benytte PGP. Dersom henvendelsen innkommer til virksomheten på PGP vil også svaret tilbake til politiet bli gitt via PGP. Dersom forespørselen fra politiet kommer på telefaks vil svaret bli sendt ut fra virksomheten i CD-format. Virksomheten svarer ikke politiet tilbake på telefaks. Datatilsynet anser at virksomhetens håndtering av henvendelsene fra politiet er i henhold til kravene i personopplysningsforskriftens Bruk av telefaks anses å stride mot personopplysningsforskriftens At politiet foretar henvendelser via telefaks vil ligge innenfor politiets ansvarsområde, selv om NetCom muliggjør denne kommunikasjonsformen ved å tilkjennegi et telefaksnummer overfor politiet Lagring av trafikkdata I henhold til personopplysningsloven 28 er det forbudt å lagre unødvendige personopplysninger. Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I henhold til konsesjonen gitt NetCom 14. april 2003 skal opplysninger som benyttes til faktureringsformål, slettes når faktura er gjort opp, eventuelt når klagefrist er gått ut. Ved kvartalsvis fakturering skal opplysningene slettes senest fem 5 måneder etter at de ble registrert. Velger virksomheten å gå over til månedsvis fakturering, skal opplysningene slettes senest tre 3 måneder etter at de ble registrert. Virksomheten opplyste at trafikkdata ble lagret i 150 dager (omtrent 5 måneder) uavhengig om det ble foretatt kvartalsvis eller månedsvis fakturering. Denne lagringstiden omfattet trafikkdata for: Innkommende samtaler utgående samtaler datatrafikk (med IP-opplysninger) Opplysningene omfatter alle abonnenter, også forhåndsbetalte (kontantkort). For datatrafikk var det ikke skilt mellom abonnementene, for eksempel om det var basert på fastbeløp uavhengig av forbruk eller forbruksbasert. 7 av 10

10 Formålet med å lagre innkommende anrop ble opplyst å være å spore sjikane, samt å følge opp svindelforsøk. På forespørsel ble det opplyst at politiet ikke har bedt NetCom om å lagre disse opplysningene. Informasjonen om hvor kunden var når kommunikasjonen ble foretatt ble også lagret. Denne informasjonen fremkom ved at navn på basestasjon og celleinformasjon ble lagret. Opplysning om hvilken IP-adresse kunden ble tildelt ved bruk av datatrafikk, ble lagret i 150 dager. Sammen med IP-adressen ble følgende opplysninger lagret ved bruk av datatrafikk: Dato Klokkeslett Varighet Anropsnummer Mengde data opplastet Mengde data nedlastet Formålet med å lagre IP-adressen som kunden var blitt tildelt, ble opplyst til å være håndtering av misbruk av nett og data. Datatilsynet har i et prinsippvedtak (som virksomheten bør være kjent med) besluttet at en ISP (Internet service provider) maksimalt kan lagre IP-adresser i 3 uker. Tilsynet kan ikke se at virksomhetens behov skulle fordre en lengre lagrings adgang. Datatilsynet anser at virksomhetens lagring av IP-adressen i 150 dager ikke er nødvendig, og derfor vil være i strid med personopplysningslovens 11 litra e), jf. 28. Del konklusjon Virksomhetens lagring av IP-adresse i 150 dager, anses i strid med personopplysningslovens 11 litra e), jf. 28. Celle/basestasjon Etter ekomlovens 2-7 annet ledd heter det at «Trafikkdata skal slettes eller anonymiseres så snart de ikke lenger er nødvendig for kommunikasjons- eller faktureringsformål, med mindre annet er bestemt i eller i medhold av lov.» Datatilsynet kan ikke se at det er nødvendig å lagre lokaliseringsinformasjon basert på celle/basestasjon. Virksomheten differensierer ikke på pris for kommunikasjon i forhold til hvilken basestasjon som benyttes, men isteden om kunden kommuniserer innen Norge, Norden, Europa osv. Datatilsynet anser at lagring av lokaliseringsinformasjon, altså hvilken basestasjon og celle, som ble benyttet i forbindelse med kommunikasjonen ikke er nødvendig faktureringsinformasjon. 8 av 10

11 Del konklusjon Virksomhetens lagring av lokaliseringsinformasjon basert på celle/basestasjon i 150 dager strider mot personopplysningslovens 11 litra e), jf. 28. Trafikkdata Virksomheten viser til samtrafikk reglene, jf. ekomlovens 4-2, og det økonomiske oppgjøret som skal skje mellom tilbyderne i denne sammenheng nødvendiggjør lagring av informasjon om abonnentenes eller sluttbrukernes bruk av elektronisk kommunikasjon. Ved uoverensstemmelser med dokumentasjonen vil det kunne være nødvendig for tilbyderne å gå igjennom samtrafikkmålingene i detalj. I følge konsesjon fra Datatilsynet skal virksomheten slette opplysninger som benyttes til faktureringsformål etter følgende frister: Ved kvartalsvis fakturering skal opplysningene slettes senest fem 5 måneder etter at de ble registrert. Velger virksomheten å gå over til månedsvis fakturering, skal opplysningene slettes senest 3 tre måneder etter at de ble registrert. Datatilsynet vil her presisere at slettefristene vil kunne være kortere, jf. begrepet «slettes senest». Det er virksomheten selv som i utgangspunktet skal foreta den konkrete vurdering av behov for lagring, innenfor konsesjonens rammer. Konsesjonen regulerer videre at dersom det oppstår rettslig tvist om betalingsplikt, kan opplysningene likevel oppbevares inntil kravet er gjort opp eller rettslig avgjort. Datatilsynet anser at uoverensstemmelser med hensyn til avklaring av endelig faktura med andre tilbydere (i forbindelse med samtrafikk) ikke er normal situasjonen, men unntaket. I slike unntakssituasjoner åpner konsesjonen for lagring av trafikkdata inntil kravet er gjort opp eller rettslig avgjort. Tilsynet registrerte under kontrollen at virksomheten lagret all trafikkdata i 150 dager. I ettersendt dokumentasjon sies det imidlertid at trafikkdata lagres i inntil 5 måneder (under pkt «inngående samtaler»). Det er således ikke samsvar mellom opplysninger som ble gitt under kontrollen og de opplysningene som fremkommer av ettersendte dokument. Ut i fra det som ble opplyst under den stedlige kontrollen vil det ved månedlige faktureringer bli lagret trafikkdata 60 dager utover det som konsesjonen gir adgang til. Datatilsynet kan ikke se at det skulle være nødvendig for gjennomføring av faktureringsformålene at all trafikkdata lagres i 150 dager (5 måneder). Del konklusjon Virksomhetens lagring av trafikkdata i 150 dager (5 måneder) strider mot personopplysningslovens 11 litra e), jf. 28, jf. telekonsesjonens pkt vedrørende sletting. 9 av 10

12 5.1.6 Databehandleravtale I henhold til personopplysningslovens 15 kan ikke en databehandler behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. NetCom behandler kundeopplysninger (trafikkdata) for henholdsvis Tele2 og Chess. Virksomheten vil i den relasjon anses som en databehandler, jf. personopplysningslovens 2 nr. 5, for søsterselskapene Tele2 og Chess. For Tele2 har Datatilsynet mottatt et utdrag av «Wholesale Access Agreement» henholdsvis vedlegg (annex) B5, som tilfredstiller kravene til en databehandleravtale, og vedlegg (annex) B10 som omhandler politihenvendelser. Virksomheten erkjenner at det ikke er inngått en skriftlig databehandleravtaler med søsterselskapet Chess. Den manglende databehandleravtalen med Chess, medfører at henholdsvis NetCom og Chess behandler personopplysninger i strid med personopplysningslovens regler. Konklusjon Virksomhetens manglende skriftlige databehandleravtale med Chess strider i mot skriftlighetskravet, jf. personopplysningslovens av 10