Journalnummer: 2009-321-0219
Ved e-post af 23. april 2009 har Forbrugerrådet på baggrund af tre henvendelser fra borgere anmodet om Datatilsynets vurdering af FDIMs og Gemius’ dataindsamling i forbindelse med borgeres besvarelse af brugerundersøgelser.
Ved brev af 14. maj 2009 anmodede Datatilsynet Gemius om en udtalelse til brug for sagen.
Ved brev af 9. juni 2009 fremkom Gemius med en udtalelse til sagen, hvoraf det bl.a. fremgik, at Gemius indsamler og behandler data på vegne af FDIM.
Ved brev af 29. oktober 2010 anmodede Datatilsynet på denne baggrund FDIM om en udtalelse til brug for sagen.
Ved brev af 24. november 2010 fremkom FDIM herefter med en udtalelse til sagen.
Den 1. marts 2011 blev der desuden afholdt et møde mellem FDIM og Datatilsynet.
Det fremgår herefter af sagen, at Gemius på vegne af FDIM indsamler data vedrørende internetbrugere på tre måder, nemlig ved hjælp af cookies og gennem henholdsvis et software og et cookie panel.
Oplysningerne indsamles med henblik på at udarbejde en generel opgørelse af de enkelte FDIM medlemmers websites og det danske internet generet set. De opgjorte statistikker giver ifølge det oplyste ikke mulighed for at kunne identificere fysiske personer.
FDIM har desuden oplyst, at der på intet tidspunkt bliver anvendt, herunder videregivet, personhenførbare oplysninger til markedsførings formål. De indsamlede oplysninger anvendes således udelukkende til udarbejdelse af statistikker og aldrig til markedsføring på personniveau.
Den statistik, der udarbejdes på baggrund af de indsamlede oplysninger, anvendes alene til, at de websites, der abonnerer på statistikken, kan dokumentere, at de har brugere inden for en bestemt demografi.
Herudover har Gemius ifølge det oplyste indgået en aftale med brancheforeningen DRRB om levering af tallene til DRRB. Medlemmerne af DRRB anvender – som medlemmer af FDIM – trafiktallene til planlægning af reklamekampagner.
Det fremgår desuden af bl.a. FDIMs udtalelse af 24. november 2010 og af Gemius’ udtalelse af 9. juni 2009, at der ikke foretages sletning af de indsamlede data.
Datatilsynet skal herefter udtale følgende:
1. Ifølge Artikel 29-gruppens arbejdsdokument om beskyttelse af privatlivets fred på internettet1 er cookies data, der genereres af en netserver, og som kan lagres i tekstfiler, der eventuelt anbringes på internetbrugerens harddisk, mens en kopi opbevares af netstedet. En cookie kan indeholde et entydigt nummer (GUI, Global Unique Identifier), som sikrer en bedre tegning af den personlige profil end dynamiske IP-adresser. Dermed kan netstedet holde sig ajour med brugerens søgemønstre og foretrukne netsteder.
Datatilsynet finder, at indsamling af oplysninger om IP-adresser ved brug af cookies med henblik på statistiske analyser af trafikdata på enkelte hjemmesider, som udgangspunkt udgør en behandling af almindelige ikke-følsomme oplysninger omfattet af persondatalovens2 § 6, stk. 1.
Persondataloven indeholder en række bestemmelser om statistisk behandling af personoplysninger.
Der kan efter lovens § 6, stk. 1, nr. 5, ske behandling af almindelige ikke-følsomme oplysninger såsom IP-adresser, hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse. Ifølge lovbemærkningerne til bestemmelsen vil dette bl.a. være tilfældet for så vidt angår behandling i statistisk, historisk eller videnskabeligt øjemed. Det forhold, at behandling sker i et kommercielt øjemed, udelukker ikke, at behandlingen anses for at ske til varetagelse af almene interesser.
Der følger af persondatalovens § 10, stk. 1, at følsomme personoplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.
Efter § 10, stk. 2, må de af stk. 1 omfattede oplysninger ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. § 6.
Endelig følger det af § 10, stk. 3, at de af stk. 1 og 2 omfattede oplysninger kun må videregives til tredjemand efter forudgående tilladelse fra Datatilsynet, der kan stille nærmere vilkår for videregivelsen.
2. Datatilsynet lægger til grund, at FDIM er dataansvarlig for den beskrevne indsamling og behandling af oplysninger om brugerne.
Datatilsynet lægger endvidere til grund, at FDIMs behandling af de indsamlede oplysninger udelukkende sker i statistisk øjemed og inden for rammerne af persondatalovens § 6, stk. 1, nr. 5.
Datatilsynet har noteret sig, at FDIM har oplyst, at foreningens medlemmer alene har modtaget oplysningerne om trafikken fra FDIM i ikke-person¬hen-førbar form. Datatilsynet lægger herefter til grund, at FDIM respekterer de begrænsninger, som persondatalovens § 10, stk. 2 og 3, sætter for anvendelse og videregivelse af oplysninger, som behandles udelukkende i statistisk øjemed.
3. Af punkt 4. i FDIMs persondatapolitik fremgår, at:
”4.1. Oplysninger og data indsamles af Gemius på vegne af FDIM. Oplysninger og data kan videregives til tredjeparter eller FDIM's medlemmer, med det formål at målrette markedsføring, dog videregives emailadresser ikke. Oplysninger videregives også til tredjeparter, hvis dette kræves i medfør af ufravigelige regler eller myndighedskrav.
4.2. Generelle statistikker og lignende, som ikke kan henføres til dig, vil være offentligt tilgængelige på FDIM's hjemmeside.”
Når der som oplyst ikke videregives personoplysninger, er denne tekst ikke retvisende. Datatilsynet skal derfor anbefale, at det præciseres, at der ikke videregives personoplysninger.
4. Datatilsynet finder desuden, at FDIM må fastsætte en frist for, hvornår oplysninger enten skal anonymiseres eller slettes, idet det følger af persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Datatilsynet skal beklage den lange sagsbehandlingstid, der bl.a. skyldes stor travlhed i tilsynet.
Datatilsynet sender kopi af dette brev til Forbrugerrådet til orientering.
Datatilsynet betragter herefter sagen for afsluttet.
1 WP37 om beskyttelse af privatlivets fred på internettet - en integreret EU-strategi til beskyttelse af onlineoplysninger, vedtaget den 21. november 2000.
2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.