Vedrørende monitorering og logning af 1-1 kommunikation på gosupermodel.com

Publiceret 20-01-2010
Historisk afgørelse

Journalnummer: 2007-42-0219

Datatilsynet meddelte den 21. juli 2008 tilladelse til watAgames behandling "Logning af brugergenereret indhold på gosupermodel.dk".

I forbindelse med behandling af watAgames oprindelige anmeldelse udtrykte watAgame ønske om, at tilladelsen også skulle omfatte brugernes interne beskedsystem. Da logningen af beskedsystemet rejste principielle spørgsmål, som ville forsinke virksomhedens tilladelse, aftaltes det telefonisk, at tilladelsen i første omgang ikke skulle omfatte logning af det interne beskedsystem, men at watAgame kunne indsende en selvstændig ansøgning i form af en ændringsanmeldelse vedrørende logning af internt beskedsystem med henblik på tilsynets principielle stillingtagen.

På inspektionen hos watAgame den 18. februar 2009 blev det imidlertid oplyst, at alt indhold på watAgames websider monitoreres og lagres, herunder også det interne beskedsystem.

WatAgame har den 5. maj 2009 indsendt en ændringsanmeldelse til Datatilsynet og er ved e-post af 18. maj 2009 fremkommet med en skriftlig begrundelse for firmaets behov for at lagre 1-1 kommunikation, samt virksomhedens security policy. WatAgame har endvidere vedlagt en udtalelse fra Rigspolitiet vedrørende Rigspolitiets Nationale IT-Efterforskningscenters (NITEC) efterforskning i straffesager samt oplyst, hvor mange gange politiet har været involveret i sager med hændelser på watAgames sites.

Som aftalt på Datatilsynets inspektion har watAgame i ændringsanmeldelsen ændret slettefristen til 6 måneder.

Herudover indebærer watAgames anmeldelse en ansøgning om tilladelse til behandling af følsomme personoplysninger i forbindelse med monitorering og logning af 1-1 kommunikation. Det er i den forbindelse oplyst, at watAgame er firmaet bag online-fællesskabet www.gosupermodel.com for piger mellem 10 og 15 år. Websiden tilbyder brugerne et trygt pigefællesskab, hvor de igennem spil og brugergenereret indhold kan kommunikere og interagere med hinanden.

WatAgame har oplyst, at sikkerheden på hjemmesiden, i betragtning af målgruppen, er watAgames største prioritet.

Ifølge watAgame kan 1-1 beskederne på websiden bedst sammenlignes med privat chat. Gennemsnitslængden for disse beskeder er 64 bogstaver, og frekvensen af beskeder er meget høj.

WatAgame har endvidere oplyst, at formålet med at gemme beskederne i et tidsrum er at gøre det muligt at skabe et trygt og sikkert forum for målgruppen, hvor alt indhold af seksuel, truende, voldelig, chikanerende eller racistisk karakter holdes så langt nede som muligt. For at kunne gøre dette er det ifølge watAgame vigtigt, at firmaet kan bevise, at en bruger har opført sig dårligt og derfor skal udelukkes fra siden. Ifølge watAgame vil den dårlige opførsel ofte finde sted i 1-1 beskeder.

WatAgame har endvidere oplyst, at det specielt i forbindelse med eventuelle seksuelle krænkelser, dødstrusler og lignende er vigtigt at kunne videresende bevismateriale til politiet til brug for deres behandling af sager, der er af mere alvorlig karakter.

Ifølge NITEC har anmeldelser fra watAgame været baggrund for en række videregående efterforskninger af straffesager. WatAgame har i 2008 foretaget politianmeldelse til politiet i Danmark i 3 tilfælde, modtaget 3 henvendelser fra politiet i Norge og foretaget 1 politianmeldelse til politiet i Norge.

WatAgame har oplyst, at firmaet på websiden tydeligt gør opmærksom på, at 1-1 beskeder bliver logget og kan blive gennemset i forbindelse med sikkerhedsrelaterede sager. Beskederne håndteres som sensitive data, hvor kun ansatte med ansvar for sikkerhed har adgang.

Ifølge watAgame vil det være svært for firmaet at opretholde et godt sikkerhedsniveau på websiden, såfremt det ikke er muligt for firmaet at logge 1-1 beskeder i et tidsrum efter brugerens sletning. WatAgame har anført, at det vil stille brugerne dårligt, lige som det vil stille virksomheden dårligt i forhold til udenlandske konkurrenter på markedet, som ifølge watAgame alle gemmer beskeder.

Endelig har watAgame henvist til, at FDIMs chatmærke kræver, at man logger al kommunikation, samt at chatmærket udspringer af et direkte ønske fra videnskabsministeren om at forbedre online-sikkerheden for børn.

Datatilsynet skal herefter udtale følgende:

I forhold til den oprindelige anmeldelse har Datatilsynet noteret sig, at watAgame som aftalt under inspektionen har nedsat slettefristen til 6 måneder.

Datatilsynet har endvidere noteret sig, at anmeldelsen er ændret, således at den omfatter logning af brugergenereret indhold på www.watagame.com, og at der er angivet nye databehandlere.
Datatilsynet har behandlet det principielle spørgsmål om monitorering og lagring af 1-1 kommunikation på sociale netværk med børn og unge som målgruppe i Datarådet.

Datatilsynet finder herefter, at watAgame i lyset af tjenestens målgruppe og af hensyn til virksomhedens egne formål med logningen, dvs. især at kunne behandle klager fra brugerne og evt. udelukke brugere, der ikke overholder retningslinjerne for sitet, kan monitorere og lagre alle 1-1 beskeder - under for-udsætning af, at der foreligger et klart og tydeligt udtrykkeligt samtykke fra brugerne. Persondatalovens  grundlæggende krav om saglighed, proportionalitet, dataminimering og sletterutiner indebærer, at behandlingen af oplysningerne skal begrænses mest mulig. I lyset heraf og henset til oplysningernes karakter - det er personers private kommunikation -  samt formålet med behandlingen finder Datatilsynet, at de omhandlede 1-1 beskeder kun må lagres i maksimalt 3 måneder.

Datatilsynet er således indstillet på at udvide den tilladelse, som watAgame ApS har fået i 2008, til også at omfatte 1-1 kommunikation på sitet.

Datatilsynet skal understrege, at vurderingen af, om der foreligger klart og tydeligt udtrykkeligt samtykke, som lever op til persondatalovens krav, skal foretages under hensyntagen til målgruppen for sitet. Samtykkeerklæringen skal være placeret og formuleret, så de unge brugere af tjenesten kan forstå, hvad de siger ja til.

Datatilsynet skal anmode om at få tilsendt en tilrettet samtykkeerklæring, som lever op til denne forudsætning.

Datatilsynet skal endvidere henlede opmærksomheden på, at en bruger i medfør af persondatalovens § 38 kan tilbagekalde sit samtykke, hvorefter alle oplysninger, som behandles på grundlag af samtykket, skal slettes.

Datatilsynet skal i øvrigt henvise til vilkårene for watAgames tilladelse. Datatilsynets brev af 16. juni 2008 vedlægges i kopi.

Ændringsanmeldelsen vil snarest blive offentliggjort i fortegnelsen på Datatilsynets hjemmeside . I den forbindelse vil slettefristen blive specificeret, således at det fremgår, at 1-1 beskeder maksimalt må lagres i 3 måneder.

Datatilsynet forventer i øvrigt at orientere FDIM om denne udtalelse, og tilsynet vil desuden offentliggøre den på sin hjemmeside