Indsamling af oplysninger om internetbrugere på IT- og Telestyrelsens hjemmeside

Publiceret 10-08-2007
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2007-311-0031

Datatilsynet anmodede ved brev af 18. februar 2004 IT- og Telestyrelsen om en udtalelse i anledning af indsamling af oplysninger om internetbrugere på ovennævnte hjemmeside.

Ved brev 1. marts 2004 har IT- og Telestyrelsen fremsendt en redegørelse i sagen.

Ved e-post af 10. marts 2004 har Datatilsynet stillet en række uddybende spørgsmål, som IT- og Telestyrelsen har besvaret ved e-post af 23. marts 2004.

Datatilsynet har desuden indhentet en udtalelse fra TNS Gallup A/S (herefter Gallup) ved e-post af 10. februar 2006. IT- og Telestyrelsens har fremkommet med bemærkninger hertil ved brev af 6. december 2006.

Det fremgår herefter af sagen, at IT- og Telestyrelsen er ansvarlig for hjemmesiden www.digitalsignatur.dk, hvorfra borgere, virksomheder og myndigheder kan søge information om digitale signaturer.

IT- og Telestyrelsen har oplyst, at styrelsen med henblik på at videreudvikle og forbedre hjemmesiden har anmodet Gallup om at indsamle statistiske oplysninger om internetbrugeres adfærd på hjemmesiden. Gallup har i den forbindelse anvendt cookies fra Red Sheriff.

IT- og Telestyrelsen har oplyst, at der er indsamlet oplysninger om brugerens IP-adresse, et cookie-id på 19 cifre og et tidsstempel for, hvornår cookien udløber. Det er styrelsens opfattelse, at der ikke er sket videregivelse af oplysninger til tredjemand.

Gallup har bl.a. oplyst, virksomheden under samarbejde med Red Sheriff har indsamlet statistiske oplysninger om brugerne på www.digitalsignatur.dk og på TDC’s hjemmeside for oprettelse af digital signatur. De indsamlede oplysninger har ifølge Gallup været personhenførbare på grundlag af IP-adresser og cookie-oplysninger.
Gallup har desuden oplyst, at virksomheden som dataansvarlig har viderebehandlet oplysningerne ved hjælp af algoritmer. På dette grundlag har Gallup udarbejdet statistiske oplysninger om trafikken på hjemmesiderne, og disse oplysninger er i ikke-personhenførbar form blevet videregivet til IT- og Telestyrelsen og TDC med henblik på optimering af deres hjemmesider.

Gallup har endvidere oplyst, at virksomheden er ophørt med at anvende cookies fra Red Sheriff den 3. marts 2005.

IT- og Telestyrelsen har endelig oplyst, at der ikke længere anvendes cookies fra Red Sheriff, og at al målekode er blevet fjernet fra websiderne på www.digitalsignatur.dk.

Datatilsynet skal herefter udtale følgende:

1. Ifølge Artikel 29-gruppens arbejdsdokument om beskyttelse af privatlivets fred på internettet1 er cookies data, der genereres af en netserver, og som kan lagres i tekstfiler, der eventuelt anbringes på internetbrugerens harddisk, mens en kopi opbevares af netstedet. En cookie kan indeholde et entydigt nummer (GUI, Global Unique Identifier), som sikrer en bedre tegning af den personlige profil end dynamiske IP-adresser. Dermed kan netstedet holde sig ajour med brugerens søgemønstre og foretrukne netsteder.

Datatilsynet finder, at indsamling af oplysninger om IP-adresser ved brug af cookies med henblik på statistiske analyser af trafikdata på enkelte hjemmesider, som udgangspunkt udgør en behandling af almindelige ikke-følsomme oplysninger omfattet af persondatalovens2  § 6, stk. 1.

Persondataloven indeholder en række bestemmelser om statistisk behandling af personoplysninger.

Der kan efter lovens § 6, stk. 1, nr. 5, ske behandling af almindelige ikke-følsomme oplysninger såsom IP-adresser, hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse. Ifølge lovbemærkningerne til bestemmelsen vil dette bl.a. være tilfældet for så vidt angår behandling i statistisk, historisk eller videnskabeligt øjemed. Det forhold, at behandling sker i et kommercielt øjemed, udelukker ikke, at behandlingen anses for at ske til varetagelse af almene interesser.

Der følger af persondatalovens § 10, stk. 1, at følsomme personoplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

Efter § 10, stk. 2, må de af stk. 1 omfattede oplysninger ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. § 6.

Endelig følger det af § 10, stk. 3, at de af stk. 1 og 2 omfattede oplysninger kun må videregives til tredjemand efter forudgående tilladelse fra Datatilsynet, der kan stille nærmere vilkår for videregivelsen.

2. Datatilsynet lægger til grund, at Gallup har været dataansvarlig for indsamling og statistisk behandling af oplysninger om brugerne på www.digitalsignatur.dk og på TDC’s hjemmeside til oprettelse af digital signatur.

Datatilsynet lægger endvidere til grund, at Gallups behandling af de indsamlede oplysninger er sket udelukkende i statistisk øjemed og inden for rammerne af persondatalovens § 6, stk. 1, nr. 5.

Datatilsynet har noteret sig, at IT- og Telestyrelsen og TDC alene har modtaget oplysningerne om trafikken fra Gallup i ikke-personhenførbar form. I den forbindelse må Datatilsynet således konstatere, at Gallup har respekteret de begrænsninger, som persondatalovens § 10, stk. 2 og 3, sætter for anvendelse og videregivelse af oplysninger, som behandles udelukkende i statistisk øjemed.

Datatilsynet har i øvrigt noteret sig, at Gallups brug af cookies fra Red Sheriff er ophørt i marts 2005, og at IT- og Telestyrelsen ikke længere benytter denne type målekode.

Datatilsynet betragter herefter sagen for afsluttet.

 

1 WP37 om beskyttelse af privatlivets fred på internettet - en integreret EU-strategi til beskyttelse af onlineoplysninger, vedtaget den 21. november 2000.
2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.