IT- og Telestyrelsen Holsteinsgade København Ø.

Transkript

1 IT- og Telestyrelsen Holsteinsgade København Ø Sendt til: og 17. marts 2011 Vedrørende høring over udkast til bekendtgørelse om krav til information og samtykke ved lagring af og adgang til oplysninger i slutbrugeres terminaludstyr Datatilsynet Borgergade 28, København K CVR-nr Ved e-post af 1. marts 2011 har IT- og Telestyrelsen anmodet om Datatilsynets bemærkninger til ovennævnte udkast. Telefon Fax E-post dt@datatilsynet.dk J.nr Sagsbehandler Kristian Gyde Poulsen Direkte I den anledning skal Datatilsynet efter at sagen har været behandlet på et møde i Datarådet udtale følgende: 1.1. Det fremgår af udkastets 1, stk. 2, at bestemmelserne i bekendtgørelsen ikke træder i stedet for regulering i henhold til andre gældende forskrifter Datatilsynet afgav den 30. august 2010 et høringssvar 1 vedrørende udkast til lov om elektroniske kommunikationsnet og tjenester (teleloven). I den forbindelse bemærkede Datatilsynet følgende om forholdet mellem telelovgivningen og persondataloven: Indledningsvis bemærkes, at ifølge persondatalovens 2 2, stk. 1, går regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, forud for reglerne i lov om behandling af personoplysninger. Det fremgår af bemærkningerne til bestemmelsen, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Ifølge bemærkningerne gælder dette dog ikke, hvis den dårligere retsstilling har været tilsigtet og i øvrigt ikke strider mod direktivet om behandling af personoplysninger. For så vidt angår forholdet mellem persondataloven og teleloven lægger Datatilsynet til grund, at de generelle regler i persondataloven vil finde anvendelse på behandling af personoplysninger inden for telesektoren i det omfang, der er tale om et databeskyttelsesretligt spørgsmål, som ikke er reguleret i teleloven. Datatilsynet finder umiddelbart, at den påtænkte bekendtgørelse i hvert fald i nogle henseender vil give den registrerede en bedre retsstilling end per- 1 Datatilsynets brev af 30. august 2010 til IT- og Telestyrelsen i sagen j.nr Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

2 2 sondataloven. Det er derfor tilsynets opfattelse, at bekendtgørelsen vil gå forud for persondataloven. Tilsynet skal derfor foreslå, at udkastets 1, stk. 2, ændres eller udgår Det fremgår af udkastets 3, stk. 1, at fysiske eller juridiske personer ikke må lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnå adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysningerne. Af udkastets 3, stk. 2, fremgår, at ved samtykke, jf. stk. 1, forstås enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved slutbrugeren indvilger i, at der lagres oplysninger eller opnås adgang til allerede lagrede oplysninger i slutbrugerens terminaludstyr. Af udkastets 3, stk. 3, fremgår, at information, jf. stk. 1, er fyldestgørende, når den som minimum 1) fremstår i et klart, præcist og letforståeligt sprog eller tilsvarende billedskrift, 2) indeholder oplysning om formålet med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr, 3) indeholder oplysning om, hvor lang tid oplysningerne er bestemt til at være lagret i slutbrugerens terminaludstyr, 4) indeholder oplysning om navnet på enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne, 5) indeholder en umiddelbart tilgængelig adgang for slutbrugeren til at afslå samtykke eller tilbagekalde samtykke til lagringen af eller adgangen til oplysninger samt en klar, præcis og letforståelig vejledning om, hvordan slutbrugeren anvender en sådan adgang, og 6) er umiddelbart tilgængelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne. Desuden skal information, når der sker lagring af eller adgang til oplysninger på slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste, være vedvarende tilgængelig for slutbrugeren ved en direkte og tydeligt markeret adgang på den pågældende informations- og indholdstjeneste Datatilsynet har noteret sig, at definitionen af samtykke i udkastets 3, stk. 2, er i overensstemmelse med e-databeskyttelsesdirektivets 3 artikel 2, litra e, der henviser til databeskyttelsesdirektivets 4 definition af dette begreb. 3 Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelses af privatlivets fred i den elektroniske kommunikationssektor som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

3 3 Det fremgår af flere bestemmelser i teleloven 5, at IT- og Telestyrelsen fører tilsyn med overholdelse af visse af lovens afsnit og regler udstedt i medfør heraf. Det fremgår endvidere af lovens 73, stk. 1, at IT- og Telestyrelsen kan kræve alle oplysninger og alt materiale, som IT- og Telestyrelsen skønner relevant i forbindelse med tilsyn med overholdelse af lovens regler eller regler fastsat i medfør heraf og i forbindelse med administration, undersøgelser og konkrete afgørelser, der gennemføres og træffes efter lovens bestemmelser herom. Datatilsynet går på denne baggrund ud fra, at IT- og Telestyrelsen er kompetent myndighed til at fortolke begrebet samtykke i bekendtgørelsesudkastets 3, stk Datatilsynet skal henlede opmærksomheden på artikel 29-gruppens 6 udtalelse af 22. juni 2010 om adfærdsbaseret annoncering på internettet (arbejdsdokument nr. 171) 7 og de heri indeholdte betragtninger om forpligtelsen til at indhente forudgående informeret samtykke. Heraf fremgår det bl.a., at samtykke skal indhentes, inden en cookie gemmes, og/eller oplysninger, som er lagret på brugerens terminaludstyr, indsamles. Det fremgår endvidere heraf, at et samtykke skal kunne tilbagekaldes. Vedrørende samtykke gennem browserindstillinger tilkendegiver artikel 29- gruppen bl.a. følgende: For det første kan registrerede med udgangspunkt i definitionen af og kravene til gyldigt samtykke, jf. artikel 2, litra h), i direktiv 95/46/EF generelt ikke anses for at have givet samtykke, blot fordi de har anskaffet/anvendt en browser eller en anden applikation, der som standard muliggør indsamling og behandling af deres oplysninger. Den gennemsnitlige registrerede er ikke opmærksom på sporingen af sin adfærd på internettet, formålene med sporingen osv. og ved ikke altid, hvordan browserindstillingerne bruges til at afvise cookies, selvom dette er omfattet af politikkerne for beskyttelse af personoplysninger. Det er en vildfarelse at vurdere, at manglende handling fra brugerens side (han/hun har ikke indstillet browseren til at afvise cookies) udgør en klar og utvetydig tilkendegivelse af den pågældendes ønsker Til illustration af Datatilsynets praksis med hensyn til samtykkekravet i persondataloven kan tilsynet henvise til en sag vedrørende FDB og Coop Danmark A/S medlemsprogram, hvor Datatilsynet har udtalt, at et elektronisk 5 Lov nr. 169 af 3. marts 2011 om elektroniske kommunikationsnet og -tjenester 6 I medfør af artikel 29 i Europa-parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er der nedsat en gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, den såkaldte Artikel 29- gruppe. Artikel 29-gruppen er rådgivende og uafhængig og består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen. 7

4 4 samtykke, hvorved der samtykkes til medlemskabet i forbindelse med, at den registrerede logger sig ind på en hjemmeside ved anvendelse af et personligt kodeord og samtidig afkrydser en erklæring om, at FDB og Coop Danmark A/S må behandle vedkommendes oplysninger, er foreneligt med persondataloven. 8 Datatilsynet fandt i denne sag endvidere, at den foreslåede procedure, hvorved der sker ibrugtagning af medlemskortet, udgør en aktiv viljestilkendegivelse og dermed et udtrykkeligt samtykke i persondatalovens forstand. Tilsynet lagde herved vægt på, at det nye medlemskort fremsendes personligt til medlemmets postadresse, og at ibrugtagning af kortet forudsætter en række fysiske handlinger. Datatilsynet har således i praksis fundet, at specifikke aktive handlinger kan udgøre et samtykke i persondatalovens forstand, når det sker på informeret grundlag Af artikel 29-gruppens udtalelse fremgår bl.a. følgende vedrørende kravet om underretning i forbindelse med adfærdsbaseret annoncering: I henhold til artikel 5, stk. 3, skal brugeren modtage information i overensstemmelse med direktiv 95/46/EF, bl.a. om formålet med behandlingen Artikel 10 i direktiv 95/46/EF omhandler leveringen af denne information. Databeskyttelsesdirektivets artikel 10 er gennemført i dansk ret ved bestemmelsen i persondatalovens 28. Det fremgår af 28, stk. 1, at den dataansvarlige eller dennes repræsentant ved indsamling af oplysninger hos den registrerede skal give den registrerede meddelelse om følgende: 1) Den dataansvarliges og dennes repræsentants identitet. 2) Formålene med den behandling, hvortil oplysningerne er bestemt. 3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.: a) Kategorierne af modtagere. b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare. c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede. Det fremgår af Datatilsynets rettighedsvejledning 9, at forpligtelsen til at give meddelelse om den dataansvarliges eller dennes repræsentants identitet efter 28, stk. 1, nr. 1, kan opfyldes ved meddelelse om navn og adresse. 8 Udtalelsen er tilgængelig på Datatilsynets hjemmeside: 9 Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger, afsnit 2.1.3

5 5 På denne baggrund skal Datatilsynet foreslå, at der i udkastets 3, stk. 3, indgår krav om oplysninger, der som minimum svarer til kravene efter databeskyttelsesdirektivets artikel 10 og persondatalovens 28. Tilsynet skal således foreslå, at der medtages oplysninger om den dataansvarliges og dennes repræsentants identitet (navn og adresse) samt alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser. Datatilsynet skal herudover foreslå, at formuleringen i udkastets 3, stk. 3, nr. 2, oplysning om formålet med lagringen af eller adgangen til oplysninger ændres til oplysning om formålet med lagringen af, adgangen til og den videre behandling af oplysninger. Datatilsynet skal i den forbindelse henlede opmærksomheden på artikel 29- gruppens ovenfor omtalte udtalelse, hvoraf bl.a. følgende fremgår vedrørende samtykke gennem browserindstillinger: For at opfylde kravene i direktiv 95/46/EF skal browsere på vegne af reklameudbyderen formidle de relevante oplysninger om formålene med de pågældende cookies og den videre behandling. (Datatilsynets kursivering) 2.6. Af artikel 29-gruppens udtalelse fremgår følgende vedrørende det geografiske anvendelsesområde for e-databeskyttelsesdirektivets artikel 5, stk. 3, og databeskyttelsesdirektivet: Det geografiske anvendelsesområde for ovennævnte ramme bestemmes ved en kombination af artikel 3, stk. 1, i e-databeskyttelsesdirektivet og artikel 4, stk. 1, litra a) og c), i direktiv 95/46/EF. Af e-databeskyttelsesdirektivets artikel 3, stk. 1, fremgår, at direktivet finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr. Datatilsynet finder det uklart, hvorvidt en reklameudbyder etableret i en anden EU-medlemsstat end Danmark vil være omfattet af bekendtgørelsesudkastets regler og dermed IT- og Telestyrelsens kompetence i tilfælde, hvor den pågældende europæiske reklameudbyders lagring eller læsning af oplysninger på brugeres terminaludstyr sker via en dansk hjemmeside. Tilsvarende problemstillinger vil eventuelt kunne opstå, hvis en dansk reklameudbyder lagrer eller læser sådanne oplysninger via en hjemmeside udgivet af en virksomhed i et andet EU-land. Datatilsynet finder, at der er behov for en ganske ensartet om muligt identisk implementering af artikel 5, stk. 3, i hele EU. Dette taler efter Datatilsynets opfattelse for, at man indholdsmæssigt lægger sig ganske tæt op af kra-

6 6 vene i såvel e-databeskyttelsesdirektivet som det generelle databeskyttelsesdirektiv. 3. Datatilsynet har noteret sig, at udkastets bestemmelser vedrører lagring af og adgang til oplysninger i terminaludstyr. Som nævnt ovenfor i afsnit 1.2 lægger Datatilsynet til grund, at de generelle regler i persondataloven vil finde anvendelse på behandling af personoplysninger inden for telesektoren i det omfang, der er tale om et databeskyttelsesretligt spørgsmål, som ikke er reguleret i teleloven eller regler udstedt i medfør heraf. I en række tilfælde vil adgangen til oplysninger i terminaludstyr indebære indsamling af personoplysninger. Denne indsamling er tæt forbundet med den i bekendtgørelsesudkastet beskrevne adgang til terminaludstyret. Efter Datatilsynets umiddelbare opfattelse må denne indsamling i relation til behandlingshjemmel og oplysningspligt anses for reguleret ved de foreslåede regler. Datatilsynet lægger til grund, at persondatalovens øvrige krav om f.eks. behandlingssikkerhed og indsigtsret fortsat finder anvendelse, ligesom den videre behandling af de indsamlede personoplysninger kan være omfattet af persondataloven. 4. Datatilsynet går ud fra, at IT- og Telestyrelsen fører tilsyn med bekendtgørelsesudkastets regler om behandling af personoplysninger. Datatilsynet har tidligere i forbindelse med afgivelse af det ovenfor i afsnit 1.2 omtalte høringssvar vedrørende udkast til lov om elektroniske kommunikationsnet og tjenester (teleloven) påpeget, at IT- og Telestyrelsen i forbindelse med førelsen af et sådant tilsyn samt behandling af klagesager vedrørende behandling af personoplysninger skal leve op til de krav, som er indeholdt i artikel 28 i databeskyttelsesdirektivet, herunder bl.a. kravet om at der skal være tale om en uafhængig myndighed. Tilsynsmyndigheden skal herudover bl.a. kunne iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver. Datatilsynet har noteret sig, at det af 67, stk. 1, i lov om elektroniske kommunikationsnet og tjenester fremgår, at ministeren for videnskab, teknologi og udvikling ikke kan give IT- og Telestyrelsen tjenestebefaling om IT- og Telestyrelsens varetagelse af myndighedsopgaver vedrørende konkrete sager, om behandling og afgørelse af enkeltsager, om IT- og Telestyrelsens udstedelse af administrative forskrifter på områder, hvor IT- og Telestyrelsen ved lov er bemyndiget hertil, eller om IT- og Telestyrelsens øvrige tilsynsaktiviteter med henblik på at sikre overholdelse af denne lov og administrative forskrifter udstedt i medfør heraf. Tilsynet har endvidere noteret sig, at det af bemærkningerne til denne bestemmelse fremgår, at bestemmelsen har til formål at sikre, at IT- og Telesty-

7 7 relsen uafhængigt udøver sin virksomhed som national tilsynsmyndighed og dermed som selvstændighed myndighed ved myndighedsopgaver om konkrete sager, om behandling og afgørelse af enkeltsager, om IT- og Telestyrelsens udstedelse af administrative forskrifter på områder, hvor styrelsen ved lov er bemyndiget hertil, eller om IT- og Telestyrelsens øvrige tilsynsaktiviteter. Tilsynet har herudover noteret sig, at IT- og Telestyrelsen i medfør af 73, stk. 1, i lov om elektroniske kommunikationsnet og tjenester kan kræve alle oplysninger og alt materiale, som IT- og Telestyrelsen skønner relevant i forbindelse med tilsyn med overholdelse af lovens regler eller regler fastsat i medfør heraf og i forbindelse med administration, undersøgelser og konkrete afgørelser, der gennemføres og træffes efter lovens bestemmelser herom, af en nærmere angivet række personer. Datatilsynet går herefter ud fra, at IT- og Telestyrelsen af egen drift kan påse, at behandling af personoplysninger finder sted i overensstemmelse med bekendtgørelsesudkastet. Med venlig hilsen Janni Christoffersen Direktør