Journalnummer: 2018-31-0455
Resume
Datatilsynet har behandlet en klage, hvor en person, der arbejder i en it-funktion, ofte varetager hvervet som fuldmægtig for en eller flere domænenavnsregistranter. I den forbindelse er vedkommendes personoplysninger blevet offentliggjort af DK Hostmaster i WHOIS-databasen.
Datatilsynet traf den 28. marts 2019 afgørelse i sagen og meddelte DK Hostmaster påbud om, at ophøre med at offentliggøre personoplysninger om klager som fuldmægtig for en eller flere domænenavnsregistranter samt personoplysninger om fuldmægtige for domænenavnsregistranter i øvrigt.
Efter Datatilsynets opfattelse var offentliggørelsen af disse oplysninger ikke nødvendig af hensyn til udførelsen af en opgave i samfundets interesse, ligesom behandlingen af oplysningerne ikke var begrænset til det nødvendige i forhold til de formål, hvortil oplysningerne blev behandlet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor [klager] den 10. juli 2018 har klaget til Datatilsynet over, at DK Hostmaster A/S offentliggør personoplysninger om ham i WHOIS-databasen i forbindelse med, at han er fuldmægtig for flere domænenavnsregistranter.
1. Påbud
Datatilsynet finder, at den omhandlede behandling af personoplysninger ikke er i overensstemmelse med databeskyttelsesforordningens[1] artikel 5, stk. 1, litra c, og artikel 6, stk. 1, litra e.
Datatilsynet skal herefter meddele DK Hostmaster A/S påbud om at ophøre med at offentliggøre personoplysninger om klager som fuldmægtig for en eller flere domænenavnsregistranter samt personoplysninger om fuldmægtige for domænenavnsregistranter i øvrigt. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddet er den 25. april 2019. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.
Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2.
2. Sagsfremstilling
Det fremgår af sagen, at klager oprindelig den 18. november 2016 klagede til Datatilsynet over, at DK Hostmaster offentliggjorde personoplysninger om ham i WHOIS-databasen i forbindelse med, at han var fuldmægtig for flere domænenavnsregistranter.
Datatilsynet videresendte ved brev af 26. april 2017 klagen til Erhvervsstyrelsen, idet spørgsmål vedrørende WHOIS-databasen som udgangspunkt henhører under Erhvervsstyrelsens ressort.
Erhvervsstyrelsen traf den 12. juni 2017 afgørelse i sagen over for Dansk Internet Forum (som ejer DK Hostmaster) og fandt i den forbindelse, at Dansk Internet Forum ikke med henvisning til § 18 i lov nr. 164 af 26. februar 2014 om internetdomæner er berettiget til at offentliggøre en fuldmægtigs navn og adresse via WHOIS-databasen.
Klager har herefter den 10. juli 2018 klaget til Datatilsynet, idet DK Hostmaster forsat offentliggør personoplysninger om fuldmægtige for domænenavnsregistranter, herunder om klager.
2.1. DK Hostmasters bemærkninger
Som svar på Datatilsynets anmodning af 13. september 2018 er DK Hostmaster den 4. oktober 2018 fremkommet med en udtalelse i sagen:
”DK Hostmaster behandler oplysninger om klager i kraft af dennes rolle som fuldmægtig for en række .dk-domænenavne. Visse af disse oplysninger er omfattet af databeskyttelsesforordningens definition af personoplysninger. Det drejer sig om følgende oplysninger:
- bruger-ID (unikt identifikationsnummer, der identificerer personen i DK-Hostmasters it-systemer),
- navn,
- adresse,
- telefonnummer.
DK Hostmaster har offentliggjort de ovenfor nævnte personoplysninger på internettet i WHOIS-databasen. Det bemærkes, at klagers telefonnummer kun blev offentliggjort frem til den 18. november 2016, hvorefter dette ikke har været offentliggjort af tekniske årsager. De øvrige oplysninger offentliggøres fortsat i forbindelse med de aktive .dk-domænenavne, som klager er fuldmægtig for.
Der er flere formål med at offentliggøre oplysninger i WHOIS, herunder særligt:
- at skabe åbenhed for en primært teknisk kontakt til personen/personerne bag et domænenavn, eksempelvis hvis indholdet på domænenavnet ikke er tilgængeligt, eller hvis en tredjepart udøver cyberkriminalitet fra domænenavnet,
- at skabe åbenhed om hvem der står bag indholdet på et domænenavn, således at den/de person(er) kan kontaktes med henblik på, at der kan gøres et eventuelt ansvar for indhold på en hjemmeside gældende. Dette hensyn ligger til grund for domænelovens § 18, hvorefter DK Hostmaster har pligt til at offentliggøre navn, adresse og telefonnummer for alle personer, der har brugsretten til et .dk-domænenavn (kaldet ”registranter”). § 18 er en videreførelse af den tidligere domænelovs § 8, hvoraf det i forarbejderne fremgår:
”Udvalgets udgangspunkt for indførelsen af bestemmelsen har været at skabe et højkvalitetsdomæne med en så stor gennemsigtighed på området som muligt. Enhver skulle kunne gøre sig bekendt med identiteten på en registrant og dermed, hvem der stod bag et konkret internetdomænenavn. Bestemmelsen skulle blandt andet medvirke til at begrænse grove hjemmesider samt chikane på hjemmesider m.v., da registranter som udgangspunkt ikke var anonyme.”
Det er fortsat DIFO’s formål at forblive et højkvalitetsdomæne, og behovet for gennemsigtighed, herunder til kriminalpræventive formål, er uformindsket. Truslen fra cyberkriminalitet udgør et stigende globalt problem, og DIFO ser det som et af sine hovedformål at medvirke til at begrænse denne trussel inden for sit forretningsområde. Det er derfor DIFO’s opfattelse, at den gennemsigtighed, der skabes ved at offentliggøre registranters kontaktoplysninger, også bør omfatte fuldmægtige, idet denne rolle er tiltænkt personer, der varetager – eller bidrager væsentligt til at varetage – aktiviteten på et domænenavn.
DIFO/DK Hostmaster finder derfor, at de ovenfor nævnte personoplysninger om fuldmægtige kan offentliggøres med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e. DIFO/DK Hostmaster har ifølge domæneloven pligt til at sikre et .dk-domæne af høj kvalitet og med så stor gennemsigtighed som muligt, særligt for at medvirke til at begrænse kriminalitet på internettet. Det er DIFO/DK Hostmasters opfattelse, at dette er en opgave, der udføres i samfundets interesse og ikke mindst en opgave af så væsentlig karakter, at hensynet til enkeltpersoners interesse i ikke at få vist deres kontaktoplysninger offentligt bør vige herfor.
Det bemærkes i den forbindelse, at registranter og fuldmægtige har mulighed for at få skjult deres kontaktoplysninger fra WHOIS ved at vælge navne- og adressebeskyttelse i CPR. De konkrete væsentlige grunde, som en person kan have til at ikke at ønske offentliggørelse af sine kontaktoplysninger er således tilgodeset i medfør af denne mulighed.
Det bemærkes i den forbindelse, at DK Hostmaster den 21. juni 2018 traf beslutning om ikke længere at offentliggøre bruger-ID’er i WHOIS, og at denne ændring forventes implementeret inden for kort tid.
Det bemærkes desuden, at DK Hostmaster med virkning fra den 19. december 2017 har ændret sine vilkår for brugsretten til et .dk-domænenavn, og at der i denne forbindelse er sket en skærpelse af formuleringen af bestemmelsen vedrørende offentliggørelse af fuldmægtiges kontaktoplysninger.
Det følger nu endnu klarere af DK Hostmasters nye vilkår, at det er en forudsætning for tildeling af rollen som fuldmægtig, at en fuldmægtig accepterer rollen, herunder at DK Hostmaster offentliggør fuldmægtigens navn, adresse og telefonnummer i WHOIS.
Når en person modtager en anmodning om at acceptere rollen som fuldmægtig fremgår det ligeledes meget klart af denne anmodning, at fuldmægtigens kontaktoplysninger bliver offentliggjort i WHOIS. Denne ændring er foretaget for at skabe øget oplysning til fuldmægtig om behandling af dennes personoplysninger. Det bemærkes, at DK Hostmaster ikke har foretaget denne ændring med henblik på at basere offentliggørelsen af personoplysninger på fuldmægtigens samtykke.”
2.2. Klagers bemærkninger
Klager har indledningsvis oplyst, at han som en del af sit arbejde er fuldmægtig for flere domænenavnsregistranter.
Endvidere har klager anført, at DK Hostmaster offentliggør hans private kontaktoplysninger frem for hans professionelle kontaktoplysninger, hvilket ifølge klager ellers er standarden for andre domænenavne.
Klager har herudover anført, at hvervet som fuldmægtig for et domænenavn typisk er en teknisk funktion, der bliver udført af ansatte i en it-funktion, og at fuldmægtige således ikke har direkte indflydelse på, hvordan domænet anvendes, da de ikke er ejere af domænet.
Klager har herunder anført, at hvervet er en del af hans jobfunktion, og at han dermed ikke kan fravælge at være fuldmægtig for et domænenavn.
Ligeledes har klager anført, at det ikke er rimeligt, at han skal have navne- og adressebeskyttelse for at undgå at få offentliggjort sine personoplysninger i forbindelse med et almindeligt it-job.
Klager har endelig henvist til, at administrator af domænenavne i bl.a. Tyskland kun videregiver personoplysninger efter individuel dokumentation, og at administrator i Sverige slet ikke videregiver oplysninger.
3. Begrundelse for Datatilsynets afgørelse om påbud
Datatilsynet finder, at offentliggørelse af personoplysninger om klager i forbindelse med, at han er fuldmægtig for en eller flere domænenavnsregistrant(er), ikke er nødvendig af hensyn til udførelse af en opgave i samfundets interesse og dermed ikke kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Endvidere finder Datatilsynet, at DK Hostmasters behandling af personoplysninger om klager ikke er begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil oplysningerne behandles, jf. forordningens artikel 5, stk. 1, litra c.
Datatilsynet finder herunder, at DK Hostmaster ikke har gjort tilstrækkeligt rede for nødvendigheden af at offentliggøre personoplysninger om klager i forbindelse med, at klager er fuldmægtig for en eller flere domænenavnsregistrant(er).
I den forbindelse har Datatilsynet lagt vægt på, at et eventuelt civil- eller strafferetligt ansvar for indhold på et domænenavn som udgangspunkt vil skulle gøres gældende over for registranten af hjemmesiden og ikke dennes fuldmægtige. Dette hensyn er efter tilsynets opfattelse tilgodeset ved bl.a. domænelovens § 18, stk. 2, hvorefter administrator er forpligtet til at offentliggøre personoplysninger om registranten af et domænenavn.
Datatilsynet har endvidere lagt vægt på, at Erhvervsstyrelsen har truffet afgørelse om, at domænelovens § 18, stk. 2, ikke tillige indebærer en forpligtelse til at offentliggøre personoplysninger om en fuldmægtig for registranten.
Det fremgår endvidere af pkt. 8.2. i DK Hostmasters vilkår for brugsret til et .dk-domænenavn, at en fuldmægtig kan disponere på vegne af registranten, herunder skifte navneservere og skifte betaler, og at meddelelser fra DK Hostmaster vedrørende de handlinger, som fuldmægtigen har adgang til at foretage på vegne af registranten, kun sendes til fuldmægtigen.
På denne baggrund er det Datatilsynet opfattelse, at en fuldmægtig i relation til et domænenavn har adgang til at handle på vegne af registranten i relation til DK Hostmaster, herunder fastsætte indstillinger vedrørende domænenavnet samt foretage betaling herfor. Det er imidlertid efter Datatilsynets opfattelse ikke dermed givet, at en fuldmægtig for en registrant er den person, der varetager – eller bidrager væsentligt til at varetage – aktiviteten på et domænenavn.
Datatilsynet har endvidere lagt vægt på, at de forfulgte formål kan opnås med mindre indgribende midler, herunder ved videregivelse af personoplysninger om fuldmægtige på anmodning frem for offentliggørelse af oplysningerne på internettet.
Datatilsynet bemærker herunder, at det af pkt. 7.2. i DK Hostmasters vilkår for brugsret til et .dk-domænenavn fremgår, at DK Hostmaster på anmodning kan udlevere oplysninger om en registrant eller om et registreret domænenavn til fysiske og juridiske personer, der har dokumenteret at være berettiget hertil i medfør af dansk lovgivning.
Endelig bemærker Datatilsynet, at Det Europæiske Databeskyttelsesråd i relation til den globale WHOIS-database, der administreres af ICANN, senest ved brev af 5. juli 2018 har udtalt bl.a. følgende:
”The EPDB considers that registrants should in principle not be required to provide personal data directly identifying individual employees (or third parties) fulfilling the administrative or technical functions on behalf of the registrant. […] It should therefore be made clear, as part of the registration process, that the registrant is free to (1) designate the same person as the registrant (or its representative) as the administrative or technical contact; or (2) provide contact information which does not directly identify the administrative or technical contact person concerned (e.g. admin@company.com).”
Efter en samlet vurdering af ovenstående omstændigheder finder Datatilsynet således, at DK Hostmasters offentliggørelse af personoplysninger om klager i forbindelse med dennes hverv som fuldmægtig for en eller flere domænenavnsregistranter ikke er i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra c, og artikel 6, stk. 1, litra e.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).