Lagring af chat hos Jubii

Publiceret 02-11-2004
Historisk afgørelse Private virksomheder

Journalnummer: 2002-219-0136

I forbindelse med behandling af en klage over manglende indsigt efter persondatalovens § 31 har Datatilsynet over for Jubii A/S rejst spørgsmål om virksomhedens grundlag for at behandle personoplysninger i forbindelse med chat service og e-post service på Internettet.

Ved brev af 1. august 2003 har Jubii A/S dels besvaret Datatilsynets spørgsmål og dels stillet en række spørgsmål i anledning af tilsynets brev af 16. juni 2003.

Ved brev af 9. december 2003 har Datatilsynet besvaret Jubii A/S' henvendelse.

Der har desuden været afholdt et møde i sagen, og Jubii A/S er i brev af 13. juni 2004 og e-post af 30. september 2004 fremkommet med yderligere oplysninger til sagen.

Jubii A/S har oplyst, at formålet med behandlingen af personoplysninger dels er at skabe en sikker chat for brugerne dels at kunne hjælpe politiet ved at udlevere relevante oplysninger i tilfælde af lovovertrædelser. Jubii A/S ønsker at gemme de registrerede oplysninger, herunder al kommunikation på chatten, i 1 år med brugernes samtykke.

I brev af 1. august 2003 har Jubii A/S oplyst, at for at kunne benytte chatservicen skal man være registreret som bruger hos Jubii A/S. I forbindelse med oprettelse af brugerprofil registrerer Jubii A/S brugerens navn, adresse, amt, køn, brugernavn, alder, oprettelsesdato, dato for ændringer i oplysningerne, kodeord og huskesætning til kodeord. Det er kun brugernavn, alder og køn, der er til-gængelig for andre brugere, medmindre brugeren selv aktivt går ind  og ændrer i opsætningen, således at flere oplysninger bliver tilgængelige.

Jubii chat er opbygget omkring et skib, hvilket er ensbetydende med, at der er flere muligheder for at chatte. Man kan få en privat kahyt, eller man kan søge på de forskellige dæk efter det chatrum, der passer en. Den sidste mulighed benytter flertallet sig af. Når man kommer ind i "skibets" elevator kan man på nuværende tidspunkt vælge mellem følgende ni dæk: "Kommandodæk", "Temadæk", "Casinodæk", "Datingdæk", "Voksendæk", "Ungdomsdæk", "Citydæk", "Kahytdæk" og "Lastdæk". Sammenlagt er der 40 chatrum. Hvis man f.eks. kigger på "Voksendæk", så består dette bl.a. "Menslounge", "Nostalgia" og "Spejlsalen", hvor "Ungdomsdækket bl.a. består af "HipHop", "Biffen", "Atlantic Café" og "Piratbar".

I hvert af disse chatrum kommunikeres der på den måde, at alle folk "snakker i munden på hinanden", således at måske ti andre personers "individuelle snak" kommer ind mellem to personers kommunikation. Ind i mellem tager robotter over og "taler" med folk - ofte uden at de besøgende er klar over, at de taler med en robot.

Man har desuden mulighed for at vælge sit eget private chatrum (kahyt), hvor op til 6 personer kan deltage, og hvor andre i sagens natur ikke kan kigge med.

Den samlede kommunikation (cryptologgen) fylder i snit pr. dag ca. 200 MB, hvilket er mere end 200 millioner tegn, som svarer til mere end 200.000 A4 sider. Alle logs bliver gemt på DVD'er, hvor det vil tage op til 5 minutter at scanne en dags kommunikation for en bruger. Det vil sige, at det pr. måned vil tage 2½ time at scanne for alt, der er sket denne måned. Desuden har chatterne mulig-hed for at trykke F8 på deres computer, mens de er online og derved selv gemme alt, hvad der er skrevet til og fra dem på deres egen maskine. Denne funktion har eksisteret i 2 år.

Jubii A/S registrerer automatisk oplysninger om data, tidspunkt, IP-nummer, User Agent for browseren, Metode/protokol anvendt, URL Parametre, Udfyldte felter og Referrer Resultat.

I forbindelse med konkret kommunikation registreres yderligere oplysninger om valgt brugernavn, adresse, postnummer, by, land, telefonnummer, ICO/MSN/AOL/Yahoo/ODIGO adresse, e-post adresse, fødselsdato, køn, op-rettelsesdato, dato for ændringer i oplysningerne, kodeord og huskesætning. Oplysningerne udleveres af brugeren selv efter eget valg.

Registreringen sker med henblik på at analysere requests for at identificere mulige angreb (f.eks. DOS), at analysere logs for optimering af servicen og identifikation af flaskehalse og med henblik på at udelukke brugere, der skaber ballade på chatten og/eller misbruger Jubii A/S' services (f.eks. ved at udføre "social engineering" og lokke andre brugers oplysninger fra dem ved at lade som om de er ansatte ved Jubii A/S). Oplysningerne kan videregives til politiet, hvis der er belæg for det.

Den samlede kommunikation bliver gemt linje for linje og bliver dermed ikke gemt under hver enkelt bruger. Den eneste information, der gemmes under brugeren er de informationer, denne selv har indtastet. Formålet med at gemme al kommunikation på chatten er at opretholde en sikker chat og at hjælpe politiet i forbindelse med lovovertrædelser, f.eks. ved blufærdighedskrænkelser over for børn.

Jubii A/S benytter sig af et system, hvor kombination af de anvendte ord på chatten udløser en alarm om uønsket adfærd - f.eks. at en med kaldenavn "Susanne12" taler om seksuelt relaterede emner. I tilfælde af mistanke om noget sådant printes al kommunikation ud, og Jubii A/S foretager en gennemgang heraf. Herefter overgiver Jubii A/S materialet til politiet, som så kan finde frem til den IP-adresse, hvorfra den type kommunikation er foregået.

Et andet formål med opbevaring af oplysningerne er at yde services til brugerne i forbindelse med køb af chat-pakker, som bl.a. giver brugerne mulighed for at dekorere private chatrum, egne visitkort, uploade billeder mv.

Jubii A/S har uddybende oplyst, at Jubii A/S på nuværende tidspunkt har registreret 300.000 brugere. Demografien vedrørende de besøgende på Jubii chatten er 43 % mænd og 57 % kvinder. Aldersfordelingen er som følger: < 15: 20 %, 15-17: 18 %, 18-25: 22 %, 26-35: 20 %, 36-45: 12 %, 46-60: 6 % og 61+: 1 %.

Jubii A/S har endvidere oplyst, at selskabet har brug for at lagre kommunikationen på chatten i op til et år, fordi der er behov for at kunne se tilbage på mønstret af uønsket adfærd på chatten.
 
Ved brev af 13. juni 2004 har Jubii A/S om selskabets e-post service oplyst, at mailservicen for langt størstedelen består af brugere med en gratis mailadresse, men at der er et par tusind brugere, der betaler for at få en personlig e-post adresse.

Jubii A/S oplyser, at selskabet ikke har en interesse i at gemme e-post, udover det tidsrum, kunden ønsker. Den eneste grund til at gemme e-post ud over brugernes ønske herom, er, at politiet cirka et par gange om måneden ønsker at finde frem til en lovovertræder, der har brugt Jubii A/S e-post service til at snyde andre eller til at sende børneporno rundt. Jubii A/S oplyser, at disse brugere typisk ikke har oplyst navn og adresse og derfor kun kan findes via IP-adressen. Hvis Jubii A/S ikke gemmer disse oplysninger, er selskabet ikke i stand til at hjælpe politiet.

Datatilsynet skal - efter sagen har været behandlet på et møde i Datarådet - udtale følgende:

Vedrørende logning og opbevaring af kommunikationsdata på Jubii chatten

Som anført i Datatilsynets afgørelse af 16. juni 2003 er det tilsynets opfattelse, at Jubii A/S er dataansvarlig  for opbevaring af kommunikationen fra chatten.

Det er desuden Datatilsynets opfattelse, at lagring af kommunikation på chatten alene vil kunne komme på tale, såfremt brugerne har givet udtrykkeligt samtykke, jf. persondatalovens § 6, stk. 1, nr. 1, § 7, stk. 2, nr. 1, og § 8, stk. 4.

Herudover indeholder persondataloven i § 5 grundlæggende principper for den dataansvarliges behandling af oplysninger, som altid skal iagttages.

Efter § 5, stk. 1, skal oplysninger behandles i overensstemmelse med god databehandlingsskik. Af bemærkningerne til bestemmelsen indebærer dette, at behandlingen skal være rimelig og lovlig. En rimelig behandling af oplysninger forudsætter bl.a., at registrerede personer kan få kendskab til behandlingens eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen.

Af lovens § 5, stk. 2, fremgår, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.

Ifølge lovens § 5, stk. 3, skal oplysninger, der behandles, være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil de senere behandles.

For så vidt angår sletning af oplysninger fremgår det bl.a. af lovens § 5, stk. 5, at oplysninger skal slettes, når det ikke længere er nødvendigt at være i besiddelse af dem af hensyn til de formål, hvortil oplysningerne behandles.

Efter det oplyste har Jubii A/S flere formål med logning og opbevaring af indholdet på chatten. Virksomheden ønsker således både at skabe en sikker chat for brugerne af chatten og at kunne hjælpe politiet i form af udlevering af oplysninger i tilfælde af mistanke om pædofili eller andre lovovertrædelser i forbindelse med benyttelse af chatten. Jubii A/S ønsker endvidere at kunne udelukke brugere, der skaber ballade på chatten og/eller misbruger Jubii A/S services ved at udgive sig som ansat ved Jubii A/S og dermed lokke oplysninger fra brugerne.
 
Efter Datatilsynets opfattelse vil den ønskede opbevaring i et år kunne ske inden for rammerne af persondatalovens § 5. Datatilsynet lægger herved navnlig vægt på formålene med opbevaringen og det forhold, at mange børn og unge benytter sig af Jubii chatservice. På denne baggrund finder Datatilsynet, at behandlingen opfylder kravene i persondatalovens § 5.

Datatilsynet skal i den forbindelse henlede opmærksomheden på, at de nærmere krav til samtykket er indeholdt i lovens § 3, nr. 8, hvoraf det fremgår, at den registreredes samtykke er enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv gøres til genstand for behandling.

I kravet om et specifikt samtykke ligger, at samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilket formål behandlingen kan ske.

I kravet om, at samtykket skal være informeret, ligger, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Det er den dataansvarlige, der må sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykket bør meddeles.

For så vidt angår kravet om, at samtykket skal være frivilligt, bemærkes, at Datatilsynet på det foreliggende grundlag finder, at det må anses for frivilligt for Jubii A/S' brugere, om de anvender Jubii's chatside, som bliver underlagt vilkår om samtykke til lagring, eller om de benytter en anden chat-tjeneste, der ikke stiller et sådant krav, og som således heller ikke giver brugerne samme sikkerhed. Datatilsynet finder derfor, at et samtykke til lagring af chatten må anses for frivilligt.

Et samtykke vil kunne gives digitalt eller på en anden måde, der indebærer en aktiv handling fra den registreredes side. Det er således ikke en betingelse, at samtykke gives skriftlig.

Vedrørende børns mulighed for at afgive samtykke har Datatilsynet i en tidligere sag  udtalt, at et barn, der er i stand til at logge sig på et chatrum, og dér afgive oplysninger, som udgangspunkt normalt også gyldigt vil kunne samtykke til den omhandlede databehandling.

Datatilsynet skal dog understrege, at afgørelsen af, hvorvidt der foreligger et gyldigt samtykke, beror på en konkret vurdering i hver enkelt situation, hvor bl.a. barnets individuelle modenhed har betydning.

Datatilsynet skal i øvrigt anbefale, at Jubii A/S - for at undgå tvivl - etablerer en særlig facilitet, der sikrer, at de registrerede afgiver et samtykke, der opfylder lovens krav. Dette kunne eksempelvis gøres ved en konkret tekst, som de besøgende obligatorisk skal klikke "ja" til at have læst og accepteret for at få adgang til at bruge chatten.

Anmeldelsespligt til Datatilsynet

Det følger af persondatalovens § 48, stk. 1, at forinden iværksættelse af en behandling af oplysninger, som foretages for en privat dataansvarlig, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse heraf til Datatilsynet.

Det følger endvidere af persondatalovens § 50, stk. 1, nr. 1, at der forinden iværksættelse af en behandling, der omfatter oplysninger, som angivet i § 7 og § 8 (følsomme oplysninger), skal indhentes en tilladelse fra Datatilsynet.

Datatilsynet skal anmode Jubii A/S om snarest at foretage anmeldelse af Jubii chatten til Datatilsynet.

I forbindelse med meddelelse af tilladelse efter § 50, stk. 1, nr. 1, vil tilsynet fastsætte nærmere vilkår for behandlingen til beskyttelse af de registreredes privatliv, jf. § 50, stk. 5.

Vedrørende opbevaring af indholdet af e-post

Formålet med at gemme indholdet af e-post er ikke at skabe et sikkert miljø for Jubii A/S' brugere, men ifølge det oplyste udelukkende at hjælpe politiet i forbindelse med efterforskning.

Under henvisning til persondatalovens § 5 er det Datatilsynets opfattelse, at udbydere af telenet og teletjenester som dataansvarlige kun må behandle - herunder opbevare - oplysninger, som de selv har et aktuelt behov for af hensyn til varetagelse af deres egne (civile) formål. Oplysningerne må kun opbevares, så længe udbyderne selv har behov for dem af hensyn til varetagelse af deres egen (civile) formål - herunder til opfyldelse af en retlig forpligtelse, som påhviler dem, såsom lagring med henblik på fakturering eller andet legitimt øjemed.

Registrering og opbevaring af oplysninger på baggrund af samtykke alene med henblik på politiets retshåndhævelse, dvs. med den begrundelse, at politiet i efterforskningsmæssig sammenhæng kan få behov for dem, kan efter Datatil-synets opfattelse ikke ske inden for rammerne af persondatalovens § 5. Tilsynet har herved ikke taget stilling til opbevaring af e-post med andre formål.

Datatilsynet har herved bl.a. lagt vægt på, at der efter indsættelsen af § 786a i retsplejeloven som led i en efterforskning konkret kan meddeles udbydere af telenet eller teletjenester pålæg om at foretage sikring af elektroniske data, herunder trafikdata, i op til 90 dage (hastesikring).

Datatilsynet skal derfor på det foreliggende grundlag anmode Jubii A/S om at ophøre med lagring af e-post kommunikationen samt straks at slette allerede lagret e-post kommunikation.

Datatilsynet kan samtidige oplyse, at tilsynet i en anden sag behandler spørgsmålet om opbevaring af e-post kommunikation med samtykke til andre formål, f.eks. sikkerhedskopiering som en særlig service over for kunderne.

Datatilsynet vil orientere Jubii A/S om udfaldet af overvejelserne i den pågældende sag. 

Efterskrift

Ved brev af 12. juni 2006 meddelte Datatilsynet tilladelse til Jubii A/S' behandling "Kundedatabase for Jubii Chat". Jubii A/S ophørte imidlertid med at være dataansvarlig for behandlingen af personoplysninger omfattet af Datatilsynets tilladelse, og tilladelsen er derfor ved brev af 14. august 2008 annulleret af Datatilsynet