Endelig kontrollrapport

Transkript

1 Saksnummer: 11/00956 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Lånekassen Sted: Oslo Utarbeidet av: Renate Thoreid Jørgen Skorstad 1 Innledning Datatilsynet gjennomførte kontroll hos Lånekassen Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42 tredje ledd. 1 Temaet for kontrollen var virksomhetens behandling av personopplysninger relatert til verktøy for analyse og statistikk på Lånekassens nettsted, I det følgende beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Disse forholdene er beskrevet slik de fremsto på kontrolltidspunktet. Først og fremst er det de opplysningene som kontrollobjektet har avgitt muntlig under kontrollen som ligger til grunn for rapporten. I tillegg kommer dokumentasjonen som Lånekassen har oversendt på forhånd. Kontrollrapporten danner grunnlaget for Datatilsynets vurderinger, og eventuelle pålegg. Datatilsynet gjør oppmerksom på at det kun har vurdert de rettslige aspekter ved tjenesten som sorterer under personopplysningsloven med tilhørende forskrift, jf. personopplysningsloven Tilstede under kontrollen 2.1 Fra virksomheten: Espen Grimnes, systemeier, kundetjenester Britt Eva Haaland, jurist, kundetjenester Frank Ruus, personvernombud Lillian Røstad, sikkerhetsansvarlig Jan Erik Ressem, IT-direktør 2.2 Fra Datatilsynet: Jørgen Skorstad, seniorrådgiver, juridisk avdeling Renate Thoreid, senioringeniør, tilsyn- og sikkerhetsavdelingen 3 Dokumentasjon oversendt fra Lånekassen Lånekassen har oversendt følgende dokumentasjon til Datatilsynet før tilsynet: 1 Lov av 14. april 2000 nr. 31 om behandling av personopplysninger. 1 av 14

2 Skjematisk oversikt over hvilke analyseverktøy som benyttes på angitt ved produktnavn og leverandør Kart over informasjonsflyten for de enkelte verktøy Avtaler inngått med leverandører av analyseverktøy Oversikt over deltakere fra direktoratet, angitt ved navn og stilling 4 Generelt om behandling av personopplysninger 4.1 Personopplysningsloven og Datatilsynets rolle Datatilsynets oppgave er blant annet å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. Pliktbestemmelsene i personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. 2 Det er altså vilkårene i denne bestemmelsen som angir lovens saklige anvendelsesområde. Loven definerer behandling av personopplysninger som enhver bruk av personopplysninger. Det kan for eksempel dreie seg om innsamling, registrering, lagring og utlevering. 3 Personopplysninger er det bare snakk om hvis opplysningene enten direkte eller indirekte kan knyttes til en identifiserbar enkeltperson. Behandling av opplysninger om anonyme personer, er ikke omfattet av regelverket. 4 Personopplysningsloven vil dermed i alle fall som et generelt utgangspunkt komme til anvendelse når personopplysninger behandles via Internett. 5 Se også rapportens innledning, samt varselbrevet av 1. september De av personopplysningslovens bestemmelser som er aktuelle i denne saken, er presentert underveis. 4.2 Den behandlingsansvarlige Personopplysningslovens pliktregler adresserer seg først og fremst til den behandlingsansvarlige. Riktig plassering av behandlingsansvaret er derfor en grunnleggende forutsetning for den videre anvendelsen av lovens regler. Ifølge personopplysningsloven 2 nr. 4 er det to faktorer som er avgjørende for ansvarsplasseringen: hvem som bestemmer formålet med den aktuelle databehandlingen hvem som bestemmer hvilke hjelpemidler som skal benyttes 2 Vår utheving. 3 Denne oppramsingen er ikke uttømmende. 4 Legaldefinisjonene er gitt i lovens 2. 5 Viktige begrensninger gjelder, se for eksempel personopplysningsloven 3 andre ledd, 4 og 7. 2 av 14

3 I dette tilfellet er det Lånekassen som har besluttet at aktiviteten på nettstedet skal analyseres, til de formål som er angitt nedenfor. Det er også Lånekassen som har bestemt at disse analysene skal skje ved hjelp av Google Analytics. Datatilsynet legger etter dette til grunn at Lånekassen er behandlingsansvarlig for alle personopplysninger som behandles ved hjelp av Google Analytics i tilknytning til besøk på etatens nettsted. Dette innebærer at det er Lånekassen som er forpliktet til å svare for de rettslige aspekter vedrørende behandlingen av IP-adressene til de besøkende på Dette inkluderer også all eventuell videre prosessering på Googles servere i USA. Datatilsynet legger til grunn at Google Inc. opererer som Lånekassens databehandler i dette tilfellet. 6 Tilsynet understreker at det som er nevnt i dette avsnittet, er sentrale premisser for rapportens konklusjoner. 4.3 Den registrerte Pliktene i regelverket gjenspeiles som regel i tilsvarende rettigheter. Rettighetshaveren er i loven og forskriften omtalt som den registrerte. 7 I denne saken vil den registrerte som regel være ensbetydende med den som besøker se nedenfor i avsnitt Om analyseverktøyet 5.1 Innledning Google Analytics er et internettbasert verktøy som kan benyttes til å analysere trafikken på et nettsted, inkludert dets underliggende nettsider. For eksempel kan verktøyet telle antallet besøkende, hvor de besøkende befinner seg når besøket finner sted, hvilket tidspunkt besøket er avlagt, hvilke nettsteder de besøkende kommer fra, og hvilke underliggende nettsider som besøkes. Google Analytics tilbys av Google Inc. (heretter Google ). For å ta i bruk tjenesten, må brukeren opprette en Google Analytics-konto. I den forbindelse må brukeren registrere adressen til nettstedet som ønskes analysert, i tillegg til kontonavn og kontaktinformasjon. Brukeren må legge inn en sporingskode på sine nettsider for å aktivisere Google Analytics. Prosessen er beskrevet på Googles nettsider, hvor sporingskoden han hentes og kopieres. 8 Google Analytics kan dermed begynne å samle inn relevant informasjon som grunnlag for ulike rapporter, som deretter blir tilgjengelige for brukeren. Lånekassen opplyste at analyservertøyet har vært i bruk siden november Se definisjonen av begrepet i personopplysningsloven 2 nr Se definisjonen av begrepet i personopplysningsloven 2 nr av 14

4 5.2 Behandling av IP-adresser via Google Analytics på IP-adressene som saken dreier seg om vil heretter for enkelhets skyld omtales som de(n) besøkendes IP-adresse(r), IP-adressene, eller lignende. Kommunikasjonen som oppstår ved bruk av Google Analytics-kode er beskrevet i et dokument som er tilgjengelig fra Googles nettsider. 9 Hovedtrekkene i kommunikasjonsstrømmen mellom den besøkende, og Google kan beskrives på følgende vis: 1. Den besøkendes nettleser laster ned en nettside fra www. lanekassen.no med Google Analytics-kode. 2. Den besøkendes nettleser laster deretter ned et javascript med sporingskoden fra Googles server (http[s]:// 3. Etter at sporingskoden har samlet inn data om den besøkende, etterspør den besøkendes nettleser et GIF-bilde på Googles server som Google Analytics benytter for logging og prosessering av informasjonen. Når den besøkende henter opp en nettside fra med Google Analyticskode, kommuniseres den besøkendes IP-adresse til Google. Dette skyldes direkte forespørsel fra den besøkende mot Google i punkt 2. og 3. ovenfor. Det fremgår av den oversendte dokumentasjonen 10 at Google Analytics virker på følgende måte, slik det er satt opp på Et lite javascript fra Google (GATC-Google Analytics Tracking Code) er installert på sidene som utgjør innholdet på Inkludert i skriptet er en unik kode som identifiserer Lånekassens Google Analytics konto og kopler data som hentes inn mot kontoen. [ ] Javascriptet fra Google som er installert på laster ned et større script, ga.js, fra Google-analytics.com når det aktiviseres. Funksjonen i disse scriptene til sammen gjør det mulig å bygge opp en tabell son inneholder informasjon som samles om brukeren. Denne informasjonen sendes så over til googleanalytics.com ved at det går en http request om et 1-pixel bilde fra URLen i GET-requesten bygges opp med parametere som representerer informasjon i tabellen. 9 code.google.com/apis/analytics/docs/concepts/gaconceptsoverview.html 10 Kart over informasjonsflyt for de enkelte verktøy 4 av 14

5 De besøkende på får følgende informasjon: 11 Informasjonskapsler (cookies) og Google Analytics For at vi skal kunne utvikle og forbedre nettstedet vårt bruker vi Google Analytics, som er en tjeneste for webanalyse levert av Google, Inc ( Google ). Google Analytics bruker cookies (informasjonskapsler), som er tekstfiler som plasseres på din maskin. Dette gjøres for å hjelpe nettstedet å analysere hvordan brukerne anvender nettstedet. Informasjon som cookien samler inn om bruk (herunder din IP adresse) sendes til Google og lagres på selskapets servere i USA. Google vil bruke denne informasjonen for det formål å vurdere din bruk av nettsiden, lagre rapporter til innehaver av nettstedet om aktiviteten på nettstedet, samt for å yte andre tjenester i tilknytning til aktiviteten på nettstedet og brukeren av internett. Google kan også overføre denne informasjonen til tredjepart dersom det foreligger en rettslig plikt til dette, eller dersom slike tredjeparter behandler informasjonen på vegne av Google. Google vil ikke sammenstille dine IP adresser med andre opplysninger Google måtte ha i sin besittelse. Du kan avvise bruken av cookies på din maskin ved å justere de nødvendige innstillingene på nettleseren din. Vær imidlertid oppmerksom på at om du gjør dette vil du kanskje ikke være i stand til å benytte nettstedets funksjonalitet i sin helhet. Ved å bruke nettstedet godtar du at Google behandler opplysninger om deg på den måten og for det formålet som er beskrevet ovenfor. 5.3 Bruk av informasjonskapsler En informasjonskapsel eller en cookie kan defineres som en liten datamengde som en nettleser mottar fra nettsider som brukeren besøker, og som lagres som en fil på brukerens harddisk. En cookie kan inneholde informasjon som brukeren har registrert på siden, for eksempel brukernavn og passord i kryptert form, og som oversendes nettsiden ved påfølgende besøk. På den måten er det ikke nødvendig å registrere informasjonen mer enn én gang. Nettpublikasjoner bruker ofte informasjonskapsler til å samle inn opplysninger om sidens besøkende, og et besøk på en nettside kan gjerne innebære en innsamling av flere kapsler, noen til selve publikasjonen, andre til publikasjonens annonsører. Nettlesere og brannmurer kan innstilles til ikke å godta cookies. 12 Googles beskrivelse av informasjonskapslene som anvendes i Google Analytics er slik: utma This cookie is typically written to the browser upon the first visit to your site from that web browser. If the cookie has been deleted by the browser operator, and the browser subsequently visits your site, a new utma cookie is written with a different unique 11 På 12 Ifølge Store Norske Leksikon, nettutgaven, på 5 av 14

6 ID. This cookie is used to determine unique visitors to your site and it is updated with each page view. Additionally, this cookie is provided with a unique ID that Google Analytics uses to ensure both the validity and accessibility of the cookie as an extra security measure. Identifying Unique Visitors Each unique browser that visits a page on your site is provided with a unique ID via the utma cookie. In this way, subsequent visits to your website via the same browser are recorded as belonging to the same (unique) visitor. Thus, if a person interacted with your website using both Firefox and Internet Explorer, the Analytics reports would track this activity under two unique visitors. Similarly if the same browser were used by two different visitors, but with a separate computer account for each, the activity would be recorded under two unique visitor IDs. On the other hand, if the browser happens to be used by two different people sharing the same computer account, one unique visitor ID is recorded, even though two unique individuals accessed the site. Når det gjøres et oppslag på fra en bestemt nettleser, sender altså utmakapselen ut et unikt identifikasjonsnummer. Kapselen sørger dermed for at Lånekassen blir i stand til å gjenkjenne den samme besøkende 13 ved en senere anledning, inntil brukeren aktivt sletter kapselen fra datamaskinen. 6 Funn og avvik 6.1 Innledning Her gjennomgås reglene i personopplysningsloven som det er aktuelt å gå nærmere inn på i rapporten, på bakgrunn av de faktiske forholdene som foreligger i denne saken. Disse forholdene er delvis presentert innledningsvis og delvis nedenfor, sammen med Datatilsynets vurderinger. 6.2 Personopplysningslovens anvendelighet lovens 3, jf. 2 Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. 14 Begrepet personopplysning er definert i personopplysningsloven 2 nr. 1: opplysninger og vurderinger som kan knyttes til en enkeltperson Det fremgår av det som er sagt i avsnitt 5.2 at bruk av Google Analytics innebærer en behandling av IP-adressene til besøkende på nettstedet eller rettere sagt IP-adressene til maskinvaren som de besøkende benytter i den forbindelse. 13 Det vil egentlig si den enkelte datamaskin og nettleser. 14 Jf. lovens 3 første ledd bokstav a. 6 av 14

7 EF-domstolen har slått fast at IP-adresser skal regnes som personopplysninger i henhold til direktiv 95/46/EF, det såkalte personverndirektivet. 15 Ettersom den norske personopplysningsloven implementerer personverndirektivet i norsk rett, får EF-domstolens forståelse avgjørende betydning for tolkningen også av de norske reglene. 16 Som en konsekvens, må det samme synet legges til grunn ved anvendelse av reglene i den norske personopplysningsloven. 17 En hver behandling slik dette er definert i personopplysningsloven 2 nr. 2 av IP-adresser må følgelig oppfylle kravene i personopplysningsloven. Nedenfor vurderes de aktuelle behandlingene i lys av personopplysningslovens krav. 6.3 Behandling av IP-adresser rettslige krav Personopplysningsloven oppstiller flere grunnkrav for at en behandling av personopplysninger skal kunne finne sted. Grunnkravene er nedfelt i lovens 11 første ledd bokstavene a til og med e. Alle grunnkravene må være oppfylt samtidig. De ulike behandlingsmåtene innsamlingen, registreringen og lagringen må vurderes hver for seg. På bakgrunn av de opplysningene som foreligger, kan det være vanskelig å peke på hvor grensene mellom de ulike databehandlingene går. I tillegg vil tidspunktene for når de ulike behandlingsmåtene inntreffer i realiteten kunne være nokså sammenfallende. Dette utgangspunktet kunne tale for å vurdere alle behandlingene samlet. Vi mener imidlertid at personopplysningsloven, blant annet sett i lys av uttalelser i forarbeidene, gir anvisning på separate vurderinger av hver enkelt behandling. 18 Og selv om behandlingsmåtene i tid kan være sammenfallende, vil en slik tilnærming være i samsvar med den logiske rekkefølgen som behandlingsmåtene inntreffer i en innsamling vil logisk sett inntreffe før en lagring, og så videre. Nedenfor går tilsynet gjennom de aktuelle behandlingene, i lys av grunnkravene som personopplysningsloven 11 oppstiller. Det er naturlig å ta utgangspunkt i innsamlingen av opplysningene, ettersom denne behandlingen vil ligge først i tid, i alle fall først på den logiske tidslinjen. 15 Se for eksempel sak C-70/10 (Scarlet Extended SA): Those addresses are protected personal data because they allow those users to be precisely identified (premiss 51). 16 Personvernnemnda har for øvrig ved flere anledninger lagt til grunn at en IP-adresse er en personopplysning i personopplysningslovens forstand, se for eksempel nemndas vedtak PVN Hvorvidt en IP-adresse er å regne som en personopplysning, avhenger av om opplysningen kan knyttes til en enkeltperson. Det vil ikke alltid være mulig, se for eksempel NOU 2009:1 Individ og integritet, om tilknytningskriteriet i avsnitt , med henvisning. Se imidlertid også Artikkel 29-gruppens uttalelse nr. 4/2007 om begrepet personopplysninger (WP 136), side 17, hvor det fremgår at [ ] medmindre internetudbyderen med 100 % sikkerhed kan fastslå, at oplysningerne svarer til brugere, der ikke kan identificeres, vil det være nødvendigt at behandle alle IP-oplysninger som personoplysninger for at være på den sikre side. 18 Ot.prp. nr. 92 ( ) side 108: Vurderingen av om nødvendighetskravet er oppfylt kan bli forskjellig alt ettersom hva slags form for behandling det er tale om. Etter forholdene kan det f.eks. tenkes at innsamling av opplysningene er nødvendig, men at utlevering av dem ikke er det. 7 av 14

8 6.4 Innsamling av de besøkendes IP-adresser Av punkt 5.2 i rapporten fremgår det at den besøkendes IP-adresse samles inn av Lånekassen, jf. trinn 1. Denne informasjonsutvekslingen er en nødvendig forutsetning for at den besøkende skal få den informasjonen som er kunngjort på Lånekassens nettsted. IP-adressen sendes i neste omgang 19 direkte til Google, jf. trinn 2 og 3. Denne informasjonsstrømmen er en del av Google Analytics funksjonalitet. Også denne behandlingen er å regne som en innsamling. Ettersom det er slått fast at Lånekassen er behandlingsansvarlig, har Lånekassen det fulle ansvaret for at denne innsamlingen oppfyller lovens krav. Det dreier seg altså om to informasjonsstrømmer, som tjener to separate behandlingsformål. For det første foreligger det et grunnleggende kommunikasjonsformål, som beskrevet ved trinn 1 i rapportens punkt 5.2. For det andre foreligger det et statistikk- og analyseformål, representert ved punktene 2 og 3 samme sted i rapporten Lovens krav om rettslig grunnlag for innsamling av personopplysninger Det første grunnleggende kriteriet for innsamling av personopplysninger fremgår av personopplysningsloven 11 første ledd bokstav a. Bestemmelsen henviser til lovens 8, som slår fast at personopplysninger bare kan behandles når det foreligger et rettslig grunnlag for behandlingen. Innsamling er som tidligere nevnt bare en av flere behandlingsmåter, jf. lovens 2 nr. 2. Bestemmelsen i 8 oppstiller flere alternative rettslige grunnlag. Innledningsvis henvises det til samtykke og lovhjemmel. Samtykke er ikke påberopt som rettslig grunnlag for innsamlingen av IP-adressene i dette tilfellet. Lovhjemmel er ikke påberopt, og vi kjenner heller ikke til at slik hjemmel i lov eksisterer. Bestemmelsen oppstiller i tillegg en rekke alternative nødvendighetsgrunner. Av disse er det ett grunnlag som kan være aktuelt, nemlig paragrafens bokstav f: Personopplysninger kan bare behandles dersom [ ] behandlingen er nødvendig for [ ] at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Bestemmelsen oppstiller to vilkår, som begge må være oppfylt samtidig: For det første må det foreligge interesseovervekt i den behandlingsansvarliges favør 20 For det andre må behandlingen må være nødvendig for at denne interessen skal kunne ivaretas 19 Også her skjer operasjonene uten at det nødvendigvis ligger noe vesentlig tidsmessig opphold mellom dem, men trinn 1 er en logisk forutsetning for trinn 2 og Også interessene til tredjepersoner som opplysningene utleveres til kan rettferdiggjøre behandling av personopplysninger etter bestemmelsen, men noen slike interesser er ikke anført eller identifisert i saken. 8 av 14

9 Spørsmålet som Datatilsynet skal vurdere, blir dermed om Lånekassen med hjemmel i personopplysningsloven 8 bokstav f kan samle inn IP-adressene til de besøkende på Lånekassens nettsted, for de formålene som er beskrevet over i avsnitt De anførte behandlingsformålene Lånekassen oppga under kontrollen at innhentingen av IP-adressene gir informasjon om de besøkendes adferd på nettstedet, og at adferden sier noe om kundenes behov. Innsamlingen legger til rette for at nettløsningen kan gjøres så velfungerende som mulig. I tillegg oppgis det i Googles vilkår for bruk av Google Analytics at IP-adresser samles inn for å kunne brukes til følgende formål: å vurdere din bruk av nettsiden lage rapporter til innehaveren av nettstedet om aktiviteten på nettstedet yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av Internett Vurdering Det er på det rene at kommunikasjon av IP-adresser er grunnleggende for informasjonsutvekslingen på Internett. 21 Innsamlingen beskrevet i punkt 1 i avsnitt 5.2 ovenfor i rapporten, er etter vår oppfatning ikke i strid med de alminnelige kriteriene i personopplysningsloven 11. Vurderingene nedenfor knytter seg med andre ord ikke på noe tidspunkt til denne informasjonsflyten. Vi understreker at de følgende vurderingene utelukkende omfatter IPadresser som Lånekassen behandler ved hjelp av Google Analytics det vil si den delen av informasjonsstrømmen som er beskrevet i trinn 2 og 3 i avsnitt Interesseavveiningen Interesseavveiningen i 8 bokstav f er ett av to vilkår som må være oppfylt for at innsamlingen av IP-adressene skal kunne skje, jf. over i avsnitt Lånekassen har anført at det har en slik interesse i å samle inn IP-adressene denne interessen kan beskrives ved å vise til de anførte analyseformålene, se over i avsnitt På den andre siden foreligger det imidlertid en interesse hos de besøkende, som går ut på at deres bevegelsesmønstre og kommunikasjon på Internett ikke blir sporet eller kartlagt. Dette synspunktet kan forankres i EMK artikkel Bestemmelsen fastslår at enhver har rett til respekt for sitt privatliv og sin korrespondanse. Interessen kommer også til uttrykk i personverndirektivet, som beskriver retten til privatlivets fred som en grunnleggende rettighet Se for eksempel no.wikipedia.org/wiki/ip-adresse 22 Den europeiske menneskerettskonvensjon, inkorporert i det norske regelverket gjennom lov av 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven). 23 Direktiv 95/46/EF artikkel 1. 9 av 14

10 Interessen gjenspeiles dessuten i personopplysningsloven, for eksempel i grunnkravet i 11 første ledd bokstav d. Bestemmelsen slår fast at personopplysningene som behandles, må være relevante for behandlingsformålet et formål som på sin side må være saklig begrunnet i den behandlingsansvarliges virksomhet. 24 Det er oppgitt at det utelukkende er anonymiserte IP-adresser som benyttes for de behandlingsformålene som er anført av Lånekassen. At opplysningene anonymiseres, og at det bare er anonymiserte IP-adresser som benyttes i statistikkberegningene og analysene, bør etter vårt syn få betydning for utfallet av interesseavveiningen. Begrunnelsen er at en anonymisering reduserer risikoen for slik sporing og kartlegging som nevnt over. Av disse grunnene, har vi funnet at interesseavveiningen går i Lånekassens favør Nødvendighetskravet Vi har i det foregående avsnittet kommet til at det første vilkåret i personopplysningsloven 8 bokstav f er oppfylt. I tillegg til at interesseavveiningen går i den behandlingsansvarliges favør, må nødvendighetskriteriet være oppfylt begge de to kravene må altså være oppfylt samtidig. I dette tilfellet vil det si at Lånekassen må kunne godtgjøre at det er nødvendig å samle inn IP-adresser for å oppnå de formålene som er angitt over. At det skjer en innsamling av disse fullstendige IP-adresser er på det rene; anonymiseringen av den siste delen av IPadressene finner først sted en tid i alle fall logisk etter selve innsamlingen. At det skulle være nødvendig å samle inn fullstendige IP-adresser, når det likevel bare er anonymiserte IP-adresser som inngår i beregningsgrunnlaget, kan fremstå som et paradoks. Vi har likevel funnet at nødvendighetsvilkåret kan anses som oppfylt i dette tilfellet. Begrunnelsen er at IP-adressene først må samles inn i sin fullstendige form før de kan anonymiseres Konklusjon Vi har funnet at de to vilkårene i personopplysningsloven 8 bokstav f er oppfylt. Dette innebærer at Lånekassen kan samle inn fullstendige IP-adresser for å ivareta de nevnte interessene, som altså er sammenfallende med statistikk- og analyseformålene omtalt over. Personopplysningslovens vilkår for å samle inn fullstendige IP-adresser ved hjelp av Google Analytics, er med andre ord til stede. 6.5 Lovens forbud mot å lagre personopplysninger lenger enn nødvendig Av personopplysningsloven 11 første ledd bokstav e følger det at innsamlede og registrerte personopplysninger ikke skal lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Det samme er gjentatt i lovens 28. Denne bestemmelsen tilføyer dessuten at personopplysningene skal slettes dersom nødvendighetsvilkåret ikke er oppfylt. 24 Se for øvrig Eit informasjonssamfunn for alle, St.meld. nr. 17 ( ), avsnitt 8.3.3, Retten til å være anonym. 10 av 14

11 Det er slått fast at de innsamlede IP-adressene anonymiseres etter at de er mottatt hos Google i USA. En slik anonymisering vil kunne ha samme virkning som sletting. Imidlertid er det ikke mulig å fastslå hvorvidt opplysningene oppbevares i identifiserbar form utover det som er nødvendig for å oppfylle de relevante behandlingsformålene. Som behandlingsansvarlig er det Lånekassens ansvar å sørge for at anonymiseringen finner sted så snart det anførte statistikkformålet er oppfylt, slik at opplysningene kan anses slettet og kravene i lovens 11 og 28 kan anses oppfylt. Den behandlingsansvarlige er forpliktet til å dokumentere dette, ifølge personopplysningsloven Forbudet mot behandling til andre formål Personopplysningsloven 11 første ledd bokstav c fastsetter at personopplysninger ikke kan brukes senere til formål som er uforenlige med det opprinnelige formålet med innsamlingen, med mindre den registrerte samtykker. Google viser til at den innsamlede informasjonen kan brukes til å yte andre tjenester i tilknytning til [ ] bruken av internett, og at dette er et av formålene for innsamlingen av IPadressene. 25 Det er høyst uklart hva som ligger i dette. Uttrykket kan etter vår vurdering i praksis tenkes å omfatte horisontal sporing av internettbrukere, og markedsføring på bakgrunn av personprofiler, for å nevne noen eksempler. Slik praksis vil i så fall ikke være forenlig med personopplysningslovens formålsbegrensning. Dersom Google, i egenskap av Lånekassens databehandler, benytter de innsamlede opplysningene for å yte andre tjenester i tilknytning til [ ] bruken av internett, og uttrykket omfatter slik praksis som nevnt over, er det i utgangspunktet Lånekassen som må svare for brudd på i personopplysningsloven 11 første led bokstav c. 6.7 Utleverer Lånekassen personopplysninger til Google? Googles retningslinjer for personvern ble endret i mars i år. Den franske datatilsynsmyndigheten CNIL har uttrykt bekymring for at Googles nye retningslinjer er for generelle og uklare. 26 I tillegg refereres det til at Google claims publicly that it will combine data across services, og at dette raises fears about Google s actual practices Det fremstår med andre ord som om Google ønsker å behandle innsamlede personopplysninger til egne formål. I så fall vil ikke Google lenger kunne betraktes som Lånekassens databehandler. I stedet vil Google inneha et selvstendig behandlingsansvar. Dette forutsetter igjen at opplysningene må regnes som utlevert fra Lånekassen til Google. En slik utlevering er en av de behandlingskategorier som er definert i personopplysningsloven 2 nr. 2. Som nevnt tidligere, krever enhver slik behandling et rettslig grunnlag, og dessuten må de øvrige grunnkravene i lovens 11 være oppfylt. 25 Se rapportens avsnitt CNILs brev til Google Inc., datert 27. februar av 14

12 Vi kan ikke se at det foreligger noe rettslig grunnlag for en slik utlevering, med mindre den registrertes informerte forhåndssamtykke er innhentet. Som behandlingsansvarlig, er det i så fall Lånekassens juridiske ansvar å godtgjøre at et slikt behandlingsgrunnlag foreligger. 6.8 Om informasjonskapsler Lånekassen har opplyst at det benyttes informasjonskapsler på De aktuelle kapslene er beskrevet over, i rapportens avsnitt 5.3. Vi viser til at artikkel 2 (5) i direktiv 2009/136/EF fastslår at artikkel 5 (3) i direktiv 2002/58/EF skal endres. 27 Bestemmelsen i den nye artikkel 5 (3) har fått følgende ordlyd: Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«endringen innfører en hovedregel om at det må innhentes samtykke fra den registrerte ved bruk av informasjonskapsler. Samtykket skal dessuten oppfylle de informasjonskrav som følger av direktiv 95/46/EF, jf. personopplysningsloven 2 nr. 7, jf. 19. Som det fremgår av bestemmelsen gjengitt ovenfor, er innhenting av samtykke ikke nødvendig dersom ett av følgende kriterier er oppfylt: Hvis kapselen utelukkende benyttes for det formål å overføre kommunikasjon via et elektronisk kommunikasjonsnett Hvis kapselen er absolutt nødvendig for å sette tjenestetilbyderen i stand til å levere en tjeneste som brukeren uttrykkelig har anmodet om Ingen av disse unntakene er anvendelige i dette tilfellet. For det første er utma-kapselen ikke nødvendig for å utføre den operasjonen som er beskrevet i punkt 1 over i rapportens 27 Europa-Parlamentets og Rådets direktiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og beskyttelse av privatlivets fred i den elektroniske kommunikasjonssektor. Artikkel 5 (3) i direktiv 2002/58/EF tilsvarer bestemmelsen i dagens forskrift av 16. februar 2004 nr. 401 om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste 7-3, som lyder: Elektronisk kommunikasjonsnett kan ikke benyttes til lagring av opplysinger i brukers kommunikasjonsutstyr eller for å skaffe seg adgang til slike, uten at bruker er gitt informasjon av den behandlingsansvarlige i henhold til personopplysningsloven, herunder om behandlingsformålet og er gitt anledning til å motsette seg behandlingen. Dette er likevel ikke til hinder for teknisk lagring eller adgang til opplysninger: 1. utelukkende for det formål å overføre eller lette overføringen av kommunikasjon i et elektronisk kommunikasjonsnett 2. som er nødvendig for å levere en informasjonstjeneste etter brukerens uttrykkelige forespørsel. 12 av 14

13 avsnitt 5.2. For det andre vil neppe brukeren kunne sies å ha anmodet om noen tjenester fra Google Analytics brukeren har oppsøkt en tjeneste levert av Lånekassen. Artikkel 29-gruppen har kommet til den samme konklusjonen hva gjelder analytics-cookies i Opinion 4/2012 on Cookie Consent Exemption : While they are often considered as a strictly necessary tool for website operators, they are not strictly necessary to provide a functionality explicitly requested by the user (or subscriber). In fact, the user can access all the functionalities provided by the website when such cookies are disabled. As a consequence, these cookies do not fall under the exemption defined in CRITERION A or B. 28 Imidlertid ser det ikke ut til at denne endringen i direktiv 2002/58/EF er implementert i norsk rett, til tross for at implementeringsfristen for EU-medlemsstatene var 25. mai 2011, og at direktivet utvilsomt er EØS-relevant. Vi viser til at ekomforskriften 7-3 fremdeles kun gir brukeren en rett til å motsette seg behandlingen, jf. ordlyden i direktiv 2002/58/EF artikkel 5 (3) slik den lød før endringen i direktiv 2009/136/EU. Tilsynet antar imidlertid at en slik implementering er nært forestående. Av denne grunn gjøres Lånekassen oppmerksom på dette allerede nå. 6.9 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv Når det samles inn opplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om følgende forhold: 29 navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, formålet med behandlingen, opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, det er frivillig å gi fra seg opplysningene, og annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28 Under de generelle vilkårene på informeres det om at Lånekassen benytter Google Analytics, og at Google Analytics bruker informasjonskapsler. Informasjonen kan til dels fremstå som motstridende og uklar. For eksempel gjelder dette spørsmålet om formålet med innsamling av IP-adresser og opplysningene om Googles bruk av de innsamlede IP-adressene. På den ene siden er det uttalt at formålet er analyse av nettstedet. På den andre siden er det oppgitt at Google vil bruke informasjonen for å yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av Internett. Etter vår vurdering, og særlig i lys av CNILs uttalelser sitert over, vil dette kunne være i strid med personopplysningsloven Criterion A og B tilsvarer de to kriteriene i kulepunktene ovenfor. 29 Jf. personopplysningsloven 19 første ledd. 13 av 14

14 6.10 Personopplysningslovens krav om internkontroll Ifølge personopplysningsloven 14 skal den behandlingsansvarlige etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Den behandlingsansvarlige skal dessuten dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren, og for Datatilsynet ved forespørsel. 14 av 14