Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Transkript

1 TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/ /FUE 4. august 2011 Dato Kontroll hos TV2 Sumo Internettbaserte TV-tjenester - Vedtak Det vises til Datatilsynets kontroll TV2 Sumo den 28. april 2011 og Datatilsynets tilsynets varsel om vedtak av 3. juni Vurdering av tilsvar Datatilsynet har i brev av 23.juni 2011 mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. Punkt 2 og 5 Virksomheten har gjennomført de varslede vedtak vedrørende sletting av unødvendige personopplysninger og endring av rutinen for sikkerhetskopiering. Dermed anser tilsynet de varslede vedtak som gjennomført, og det vil det ikke fattes vedtak på de nevnte punkter. Ad. Punkt 3 Virksomheten har i sin tilbakemelding om lagring av brukermønster beskrevet et behov for å lagre opplysningene på direkte identifiserbart grunnlag i inntil 24 måneder. Hovedgrunnen til vurderingen bak lagringstiden er tredelt; Rettighetshavernes behov for etterkontroll, brukerstøtte og infiltrasjon/piratdistribusjon. Datatilsynet har lignende saker vurdert at en maksimal lagringstid på 3 måneder for brukermønster er tilstrekkelig for å ivareta de behov som både virksomheten og kunden har i denne type tv-tjenester. tjenester. Nærmere grunnlag og redegjørelse for tilsynets standpunkt finnes i sak 11/ , vedrørende et system tatt i bruk av Altibox, kalt Agama. Brevet er for ordens skyld vedlagt. Dette er en linje tilsynet har lagt seg på i andre lignende saker om IP-TV/Nett- TV, så fremt det foreligger et tilstrekkelig angitt formål for en slik registrering. Generelt Tilsynet har ingen kommentarer til fremdriftplanen, og vil derfor den til grunn. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må utarbeide en oversikt over hvilke personopplysninger som behandles samt det rettslige grunnlaget for behandlingen, jf. personopplysningslovens 9 jf. 8, jf. personopplysningsforskriftens 2-4. Det vises til tilsynsrapportens 5.1, og 5.4 om IP-adresser. 2. Virksomheten må etablere en rutine for sletting eller anonymisering av brukermønster i tjenesten, jf. personopplysningsloven 28, jf 14 om internkontroll. Det vises til kontrollrapporten Virksomheten må etablere en rutine for sletting eller anonymisering av kundeprofiler i tjenesten, jf. personopplysningsloven 28, jf 14 om internkontroll. Det vises til kontrollrapporten Virksomheten må etablere databehandleravtale med Nets i tråd med personopplysningslovens 15. Det vises til kontrollrapporten Virksomheten må etablere en løsning for å gi kunden tilstrekkelig informasjon ved behandling av personopplysninger, jf. personopplysningsloven 18, jf 19. Det vises til kontrollrapporten punkt 5.5. Datatilsynet gir frist for gjennomføring av påleggene til 1. oktober Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført med kopi av nye rutinebeskrivelser. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 2

3 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med hilsen Leif T. Aanensen avdelingsdirektør Frank Ulfsby Eriksen senioringeniør Vedlegg: Endelig kontrollrapport Brev til Altibox (11/ ) 3

4 Saksnummer: 11/00258 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: TV2 Sumo Sted: Bergen Utarbeidet av: Frank Ulfsby Eriksen Maria Bakke 1 Innledning Datatilsynet gjennomførte kontroll hos TV2 AS den (Heretter virksomheten). Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med IP-TV. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets tilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Hege Kosberg Direktør Multimedia TV2 - Børge S. Nielsen Salgssjef Brukerinntekter TV2 - Ingebrigt Lunde - Sikkerhetssjef - Theo Jordahl Advokat - Roy Kenneth Venjum Leder Softwareutvikling - Ann Kristin S. Engkrog Direktør HR og Administrasjon 2.2 Fra Datatilsynet: - Maria Bakke - rådgiver - Frank Ulfsby Eriksen - senioringeniør 3 Generelt TV2 Sumo er TV2 Gruppen sin kommersielle web-tv tjeneste. Tjenesten er også størst i Skandinavia navia målt etter antall abonnenter. TV2 Gruppen eies likt av A-pressen og Egmont gjennom holdingselskapet AE-Holding AS. TV2 har sitt hovedkontor i Bergen, og har ca 715 ansatte, omtrent likt fordelt mellom Bergen og kontoret i Oslo. Virksomheten ble tildelt konsesjon tilbake i 1991, og sendingene startet 5. september TV2 Sumo ble lansert i starten av 2007 som en nettjeneste, som nå også har blitt tilgjengelig for bærbare enheter som smarttelefoner og lesebrett. 1 av 7

5 4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten samler inn opplysninger om kunder for å levere tv-abonnement igjennom internett. Dette er i hovedsak fullt navn, adresse, e-post, telefonnummer og kredittkortinformasjon. I tillegg ber de om fødselsdato, kjønn og kallenavn. TV-løsningen registrerer også brukermønster for hvilke tv-programmer hver enkelt kunde ser. Formålet er delvis administrasjon av kundeforholdet og delvis rapportering til rettighetshavere. Sistnevnte på statistisk grunnlag for avregning av kostnader. Kredittkortinformasjon formidles til PayEx for betaling av abonnement. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Grunnkrav til behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningslovens 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette i henhold til personopplysningslovens 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningslovens 11 bokstav b). Videre stilles det i personopplysningslovens 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. Ved opphør av for eksempel et kundeforhold skal opplysningene slettes med mindre det foreligger utestående krav eller lagring er regulert i annen lovgivning. 5.2 Behandlingsgrunnlag og sletterutiner Generelt om behandlingsgrunnlag i kundeforhold Etter personopplysningslovens 8 kreves et behandlingsgrunnlag ved behandling av personopplysninger. Behandlingen kan baseres på et samtykke fra den registrerte, lovhjemmel, eller at behandlingen fremstår som nødvendig holdt opp mot nærmere angitte formål, jf. bokstav a-f. Virksomhetens behandlingsgrunnlag for egne aktiviteter ovenfor abonnenter vil være behandling nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, jf. personopplysningslovens 8 bokstav a. For å behandle personopplysninger utover det som anses for å være nødvendig for å oppfylle avtalen med den registrerte, må en eventuell behandling av personopplysninger baseres på et samtykke fra den registrerte Generelt om sletting og anonymisering I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dersom opplysningene anonymiseres, oppfyller dette også vilkåret 2 av 7

6 i personopplysningsloven 28, da opplysningene ikke lenger kan knyttes til enkeltpersoner og derfor ikke lenger er personopplysninger. Sletting eller anonymisering av opplysninger må skje i alle ledd hvor opplysninger lagres for å oppfylle vilkåret i lovens Behandlingsgrunnlag for innsamling av personopplysninger som ikke er nødvendige for gjennomføringen av avtalen Som nevnt under avnitt fire, samler TV2 inn opplysninger om kjønn, kallenavn og fødselsdato dersom kunden oppgir dette ved registrering. Opplysningene er ikke obligatoriske for å kunne benytte TV2 Sumo, men selskapet ønsker å benytte disse i fremtiden for tjenester som kan bli lansert ved en senere anledning. Det fremgår ikke tydelig av skjemaet man skal fylle ut at disse opplysningene frivillig for å få tilgang til TV2 Sumo eller hva formålet med utfylling av disse opplysningene er. I henhold til personopplysningslovens 11 bokstav c) og d) skal den behandlingsansvarlige påse at opplysninger som innhentes er relevante for formålet med behandlingen, og ikke senere behandles til formål som er uforenlige med det opprinnelige formålet. Så fremt opplysninger ikke er nødvendig for formålet å abonnere på TV2 Sumo, kan de med dette som utgangspunkt heller ikke samles inn for eventuell fremtidig bruk som ikke har et klart og definert formål. Dersom den behandlingsansvarlige skal samle inn personopplysninger ut over det som er nødvendig for å oppfylle avtalen med kunden, jf. behandlingsgrunnlaget i personopplysningslovens 8 bokstav a), må kunden informeres om dette på en klar måte, slik at dersom kunden ønsker å oppgi slik informasjon, vil dette gjøres på bakgrunn av et frivillig, uttrykkelig og informert samtykke, jf personopplysningslovens 8 og 2 nr. 7). Det er ikke innhentet samtykke fra abonnentene til en oppbevaring av opplysninger utover det som følger av avtalen med medlemmet, og det finnes etter dette ikke behandlingsgrunnlag for denne behandlingen. Så fremt det ikke foreligger et saklig formål skal ikke personopplysninger samles inn. Manglende behandlingsgrunnlag anses som et brudd på personopplysningslovens 11 jf. 8. Dersom virksomheten ikke kan vise til et rettslig grunnlag for behandling av disse opplysningene, skal det som er samlet inn slettes uten unødig opphold, jf. personopplysningslovens 28. Det gjelder også sikkerhetskopi, se avsnitt om sikkerhetskopiering Behandlingsgrunnlag for lagring av brukermønster - sletting og anonymisering av brukermønster Det vises her til avsnitt og med hensyn til krav til behandlingsgrunnlag og et konkret formål med behandling av personopplysninger. Som beskrevet i punkt må det være samsvar mellom formålet med innhenting/behandling av personopplysninger og det rettslige grunnlaget for behandling av personopplysningene - det må altså foreligge en sammenheng mellom innhenting av opplysninger om abonnenters brukermønster, det rettslige grunnlaget for dette, og formålet med det som faktisk registreres i løsningen. 3 av 7

7 TV2 lagrer pr i dag brukermønster på abonnenter, men det er ikke avklart konkret hvor lenge dette lagres. Formålet med lagringen ble under kontrollen oppgitt å være fordeling av inntekter med rettighetshavere til programmer vist på TV2 Sumo. I henhold til personopplysningsforskriftens 2-4 at det skal den behandlingsansvarlige ha en oversikt over hva slags personopplysninger som behandles. TV2 Sumos manglende oversikt over behandling av opplysninger om brukermønster anses for å være i strid med nevnte bestemmelse. Dette punktet må også ses i sammenheng med hvilken informasjon kunden gis når avtale om bruk av TV-løsningen inngås, jf. avsnitt 5.5 om informasjonsplikt og avsnitt og hvor det beskrives at informasjon til kunden er en forutsetning for behandlingsgrunnlag som samtykke og avtale. Ettersom kundene i avtalen ikke får informasjon om, og dermed ved inngåelse av avtalen muligheten til å samtykke til registrering av brukermønster, vil det ikke foreligge et rettslig grunnlag for denne typen registrering, jf. personopplysningslovens 8. Så fremt det ikke finnes et saklig formål for lagringen som er begrunnet i behandlingsgrunnlaget, eller det foreligger hjemmel i annen lovgiving for lagringen vil behandlingen kunne være i strid med personopplysningslovens 28. Se nærmere om dette i punkt Manglende behandlingsgrunnlag anses som et brudd på personopplysningslovens 11 jf. 8. Manglende rutine for sletting eller anonymisering av brukermønster anses å være i strid med personopplysningslovens 28, jf 14 om internkontroll Behandlingsgrunnlag for lagring av kundeopplysninger - sletting av kundeprofiler og gjenbruk av kundeopplysninger Det vises her til avsnitt med generell informasjon om sletting og anonymisering. Normalt skal alle personopplysninger om en kunde slettes ved avslutningen av kundeforholdet med mindre lagring er begrunnet i annet regelverk, jf. personopplysningslovens 28. Dette kravet kan fravikes hvis kunden har samtykket til videre lagring og fått tilstrekkelig informasjon om videre behandling av kundens personopplysninger. I så fall foreligger det et nytt behandlingsgrunnlag for lagringen og bruken av opplysningene, jf. personopplysningslovens 8. Et samtykke til fortsatt lagring og bruk av generell kundeinformasjon (som kontaktinformasjon) gjelder likevel ikke umiddelbart også informasjon om brukermønster og andre personopplysninger. TV2 Sumo har ikke konkrete rutiner for når opplysninger om abonnenter slettes dersom abonnementet sies opp. Dette må ses i sammenheng med behandlingsgrunnlaget som er avtale med kunden om kjøp av produkt, jf. personopplysningslovens 8 bokstav a). Grunnlaget for at kundeprofiler ikke rutinemessig slettes etter oppsigelse av abonnement, ble oppgitt å være gjenbruk av opplysninger til markedsføring. Bruk av opplysningene til dette formålet, er noe abonnentene må få informasjon om, jf. også avsnitt 5.5. Manglende rutiner på 4 av 7

8 dette området gjør at abonnenter ikke får den informasjonen som er nødvendig ved avtaleinngåelsen for å kunne ivareta sine rettigheter til innsyn, m.m., jf. punkt 5.5. Da en lignende problemstilling som gjaldt Telenors lagring av kundeopplysninger ble behandlet i Personvernnemnda (PVN ), kom nemnda frem til at Telenor kunne ha et grunngitt behov for lagring av kundedata om oppsagte abonnement i inntil 2 år. Datatilsynet legger til grunn at TV2 Sumo vil foreta en konkret vurdering av eget behov for lagringstid for oppsagte kanalpakker, men slik at lagringstiden ikke overstiger 2 år slik dette er skissert i Personvernnemndas avgjørelse nevnt ovenfor Sletting og anonymisering i sikkerhetskopieringsløsningen I henhold til personopplysningsloven 28 skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis opplysningene ikke deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. Dette gjelder også sikkerhetskopier. Tilsynet vet av erfaring at sletting av spesifikke filer på sikkerhetskopier er vanskelig, så derfor er en kort rotasjonstid på kopiene før de overskrives akseptert. Virksomheten kunne ikke redegjøre for hvilke rutiner som gjelder for sikkerhetskopiering av informasjon behandlet for TV2 Sumo tjenesten. Det er etablert rutiner for oppbevaring av sikkerhetskopier i henholdsvis 3, 6 og 12 måneder før de overskrives. Ved sletting av personopplysninger i TV2 Sumo bør ikke informasjon lagres lenger enn strengt tatt nødvendig for å gjenopprette systemtilstand. En sikkerhetskopi skal normalt benyttes for å gjenopprette systemtilstand når det eventuelt skjer uforutsette ting som serverkrasj, brann eller andre ting som vil påvirke driften og ikke benyttes som et arkiv. Datatilsynet har erfart at egnet lagringstid på sikkerhetskopi ligger på mellom 1-3 måneder. Det må uansett gjøres en konkret vurdering for hvert enkelt system det skal tas sikkerhetskopi av. Datatilsynet anser det faktum beskrevet ovenfor for å være i strid med personopplysningsloven 28. Virksomheten må avklare og eventuelt endre sine rutiner for sikkerhetskopiering slik at unødvendig lagring opphører. 5.3 Databehandleravtale Personopplysningsloven 2 nr. 4 omhandler plassering av behandlingsansvar for personopplysninger. Den behandlingsansvarlige er i henhold til bestemmelsen den som bestemmer formålet med behandlingen av personopplysningene, og hvilke hjelpemidler som skal brukes. I tillegg omhandler paragrafens nr 5. bruk av databehandler, den som behandler personopplysninger på vegne av den behandlingsansvarlige. Den behandlingsansvarlige må som hovedregel være etablert i Norge, jf. personopplysningsloven 4. Personopplysningsloven 15 regulerer forholdet mellom en behandlingsansvarlig og en databehandler med hensyn til rådighet over personopplysinger. Det må foreligge en avtale 5 av 7

9 som klart definerer ansvaret virksomheter imellom. Avtalen kan være en del av annet avtaleverk mellom partene, for eksempel som et vedlegg. TV2 benytter seg av PayEx som leverandør av betalingsløsning for abonnement som tilbys gjennom TV-løsningen. Kredittkortinformasjon regnes som personopplysninger og dersom en annen virksomhet behandler slike opplysninger på vegne av en behandlingsansvarlig må dette reguleres i en databehandleravtale, jf. personopplysningsloven 15. Under kontrollen fremkom det at en slik avtale ikke foreligger mellom TV2 og PayEx. TV2 har inngått en avtale med Nets (tidligere BBS) om leveranse av betalingsløsninger. I den sammenheng har Nets fremlagt en standardavtale hvor det finnes et eget avsnitt om behandling av personopplysninger. I avsnittet står det: Oppbevaring og bruk av personopplysinger, herunder oppbevaring av kortnummer skal være i overensstemmelse med personopplysningsloven og annet relevant lovgivning. Minimumskravene som Datatilsynet legger til grunn i sin veileder for databehandleravtale anes ikke å være oppfylt i ovennevnte avtalevilkår. Det skal eksempelvis avklares formål, hvordan opplysningene skal behandles, sikkerhet og sikkerhetsrevisjoner. Det er ikke på plass i den avtalen som foreligger fra Nets for bruk av betalingsløsninger. Standardavtalen kan uten hinder innholde minimumskravene til databehandleravtalen i selve avtaleteksten. Mangelfull databehandleravtale anses å være i strid med personopplysningslovens Bruk av IP-adresser Som hovedregel regnes IP-adresser som personopplysninger, da disse ofte indirekte kan knyttes til enkeltpersoner. IP-adresser må derfor normalt behandles på samme måte som andre personopplysninger, jf. personopplysningsloven 2 nr. 1. Behandling av IP-adresser krever også et gyldig behandlingsgrunnlag etter personopplysningsloven 8, og den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Det må også gis tilstrekkelig informasjon til den registrerte, jf personopplysingsloven 18, jf 19, se avsnitt 5.5. TV2 benytter IP-adresser for å generere statistikk til bruk i avregninger mot rettighetshavere og vise sonebeskyttet materiale innenfor de avtalte sonene. Det fremkom at TV2 ikke har ansett IP-adresser for å være personopplysninger, og derfor ikke hatt rutiner i tråd med kravene i personopplysningsloven for lagring og bruk av disse. Det er derfor uklart hvor lenge informasjon om IP-adresser lagres i tilknytning til øvrige abonnementsopplysninger hos TV2. Lagring av IP-adresser hos virksomheten har heller ikke et klart avgrenset formål. Datatilsynet anser manglende rutiner og retningslinjer for innsamling, behandling og informasjon for bruk av IP-adresser i strid med ovennevnte bestemmelser. 6 av 7

10 5.5 Informasjonsplikt Lagring og behandling av personopplysningene som beskrevet ovenfor i punkt 5.2 og 5.4 er ikke inntatt i avtalen med kundene. Det er heller ikke innhentet samtykke fra abonnentene til en oppbevaring av opplysninger utover det som følger av avtalen med medlemmet, og det finnes etter dette ikke behandlingsgrunnlag for denne behandlingen. Manglende behandlingsgrunnlag anses som et brudd på personopplysningslovens 11 jf. 8, se nærmere om dette i punkt 5.2. Dette får følger også for informasjonsplikten den behandlingsansvarlige har overfor kundene. I henhold til personopplysningsloven 18, jf. 19 er behandlingsansvarlig forpliktet til å informere abonnentene om hvordan deres personopplysninger blir behandlet og legge til rette for abonnentens innsynsrett. Som følge av at noe av behandlingen av personopplysninger om TV2 Sumos kunder ikke er inntatt i avtalen med kundene, og det heller ikke er innhentet samtykke for dette, får abonnenten per i dag ikke tilstrekkelig informasjon over hvilke behandlinger av personopplysninger som foretas. Dette må ses i sammenheng med avsnitt 5.2 og 5.4 om kartlegging av formål og behandlingsgrunnlag for behandling av kundeopplysninger, samt sletting og anonymisering av brukermønster og lagring av IP-adresser. TV2 har på nåværende tidspunkt ikke kartlagt på en tilstrekkelig måte hvilke personopplysninger som behandles om brukermønster, jf. punkt 5.2.4, som igjen gjør at kunden ikke kan få tilstrekkelig informasjon for å ivareta sine rettigheter. Datatilsynet anser manglende informasjon til kunden i strid med personopplysningslovens 18, jf av 7