Personvernnemndas avgjørelse av 8. juni 2015 (Eva I E Jarbekk, Arve Føyen, Nina Melsom, Ørnulf Rasmussen, Ann R Sætnan, Gisle Hannemyr, Marta Ebbing)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om opphør av lagring av destinasjons-IPer hos Telenor.
2 Saksgang
Datatilsynet har mottatt en klage på Datatilsynets vedtak om opphør av lagring av destinasjons-IPer hos Telenor. Bakgrunnen for denne saken var omtale i media av Network Norways praksis. De lagret informasjon om hvilke nettsteder kunder besøkte ved bruk av mobildata. Den aktuelle saken omhandlet en kunde som ble fakturert for et betydelig beløp for datatrafikk etter et ferieopphold i Tyrkia. Under påfølgende tvist kunne tilbyder legge frem en detaljert oversikt over hvilke nettsteder kunden hadde besøkt.
I etterkant av denne saken gjennomførte Datatilsynet brevkontroller av de fire leverandørene av mobilt internett i Norge for å undersøke om denne praksisen var vanlig blant leverandørene. Datatilsynet sendte 5.1.2012 ut et brev til de fire tilbyderne av mobile kommunikasjonsnett, Network Norway, TeliaSonera Norge (NetCom), Telenor og ICE Norge, med krav om redegjørelse. Temaet for redegjørelsen var virksomhetens behandling av personopplysninger i forbindelse med lagring av innholds- og trafikkdata ved bruk av mobildata. Sakene mot Network Norway, TeliaSonera Norge og ICE Norge ble avsluttet uten klagebehandling.
Telenor oversendte sin redegjørelse l.2.2012. Her redegjorde virksomheten for sin lagring av personopplysninger i forbindelse med mobildata/mobilt Internett. Her fremgikk det at Telenor lagret personopplysninger i to systemer ved bruk av mobilt bredbånd: History Tool og brannmur for mobilt Internett. Telenor bekreftet i epost datert 22.6.2012 at løsningen History Tool var endret slik at lagringen av innholdsdata var deaktivert. Datatilsynet valgte derfor ikke å problematisere lagringen i dette systemet nærmere.
På bakgrunn av Telenors redegjørelse utformet Datatilsynet et varsel om vedtak og foreløpig kontrollrapport. For å avklare enkelte av momentene i Telenors redegjørelse valgte tilsynet å henvende seg til Post- og teletilsynet i brev 6.2.2013. Post og teletilsynet besvarte denne henvendelsen i brev 12.2.2013.
Datatilsynets varsel om vedtak og foreløpig kontrollrapport ble oversendt Telenor 13.3.2013. I kontrollrapporten konkluderte Datatilsynet med at Telenors praksis for å lagre destinasjons-IPer i 21 dager for sikkerhetsformål er et avvik fra personopplysningsloven § 11, første ledd. På bakgrunn av dette funnet varslet Datatilsynet følgende vedtak:
Virksomhetens praksis med å lagre brukeres IP-adresser og destinasjonsadresser opphører. Eventuell lagring kan ikke overstige et svært begrenset tidsrom nødvendig for drift og sikring av systemet. Det vises til tilsynsrapportens 3.4 og personopplysningsloven § 11, jf. § 8.
Telenor svarte på Datatilsynets varsel om vedtak i brev 15.5.2013. Her påpekte Telenor sitt behov for lagring av destinasjons-IPer i inntil 21 dager for sikkerhetsformål.
I brev til Telenor 20.6.2013 fattet Datatilsynet et vedtak som var presisert noe i forhold til varselet, men som ikke var ment å inneholde realitetsendringer. Vedtaket lød:
Virksomhetens praksis med å lagre IP-adressen til egne kunder ved aksept av eksterne forbindelser opphører med mindre samtykke til slik lagring innhentes fra kundene. Eventuell lagring kan ikke overstige et svært begrenset tidsrom nødvendig for drift og sikring av systemet. Det vises til kontrollrapportens avsnitt 3.4 og personopplysningsloven§ 11, jf. § 8.
Telenor ba om utsatt klagefrist. Datatilsynet svarte i epost 2.7 og utsatte fristen til 29.8.2013. Telenor klaget på vedtaket i brev datert 28.8.2013.
Saken ble oversendt Personvernnemnda 30.4.2014, som mottok saken 15.5.2014. Klager ble orientert om dette i brev fra nemnda datert 16.5.2014, med frist til uttalelse innen 2.6.2014, som senere ble utsatt til 27.6.2014.
Post- og teletilsynet (NPT) kommenterte klagen i epost av 2.6.2014. Telenor kommenterte klagen i brev av 26.6.2014. Telenor oversendte dessuten ytterligere dokumentasjon i saken i brev av 11.8.2014.
Nemnda sendte brev til Telenor, NPT og Datatilsynet i brev av 8.12.2014 med spørsmål om hvorfor personopplysningsforskriften § 2-16 ikke var påberopt i saken. NPT besvarte henvendelsen i brev av 9.12.2014 og opplyste at NPT ikke hadde noen synspunkter på hvorvidt personopplysningsforskriften kom til anvendelse i saken.
Personvernnemnda inviterte Telenor, NPT og Datatilsynet til å delta på et møte i nemnda 16.12.2014 hvor Nasjonal Sikkerhetsmyndighet (NSM) var invitert for å informere om NSMs syn på trusselbildet. Representanter fra Telenor, NPT og Datatilsynet deltok på møtet. Deltakerne ble bedt om å komme med eventuelle innspill skriftlig etter møtet.
Nemnda sendte i epost av 9.1.2015 ytterligere oppfølgingsspørsmål til Telenor og NPT, med kopi til Datatilsynet.
Telenor besvarte nemndas brev av 8.12.2014 i brev av 9.1.2015. Videre besvarte Telenor nemndas epost av 9.1.2015 i epost av 12.1.2015.
Nemndas henvendelse av 8.12.2014 ble besvart av Datatilsynet i epost av 3.3.2015. Nemndas henvendelse av 9.1.2015 er ikke besvart av NPT.
3 Faktum
Saken omhandler teleoperatørers adgang til å lagre opplysninger om kunders bruk av mobilt bredbånd/mobildata. Saken gjelder opplysninger om kunders aktivitet på internett og omfatter ikke lagring av opplysninger til faktureringsformål. Tre av fire leverandører av mobildata i Norge har etterkommet Datatilsynets krav om ikke å lagre slike innholdsdata. Telenor har delvis etterkommet Datatilsynets krav. En del av Telenors lagringspraksis er imidlertid opprettholdt og er tema for denne klagesaken.
Telenors klagesak gjelder spesifikt lagring av IP-adresser til Telenors egne kunder i brannmur for mobilt Internett ved forsøk på kommunikasjon der opphavet for kommunikasjonen er utenfor Telenors nett. Telenors standpunkt er at lagring av destinasjons-IPer (IP-adresser som er knyttet til Telenors kunder) er nødvendig for å ivareta sikkerheten i Telenors nett. Denne lagringen gjelder alle aksepterte forbindelser og skjer løpende. Datatilsynet bestrider behovet for slik lagring. Behovet for lagring av IP-adressen knyttet til opphavet til kommunikasjonen er ikke omstridt.
4 Klagers anførsler
Klager anfører at Telenor forsøkte å få frem hvor avgjørende det var for Telenors virksomhet – og for så vidt for hvilken som helst seriøs ISP (og deres kunder) – at det av sikkerhetshensyn ble lagret destinasjons-IP hvor opphavet for kommunikasjonen er utenfor Telenors nett. Dette budskapet har Telenor åpenbart ikke maktet å få tilstrekkelig klart frem i sin klage. Det vises til Datatilsynets oversendelsesbrev:
Denne saken gjelder teleoperatørers adgang til å lagre opplysninger om kunders bruk av mobilt bredbånd/mobildata. Saken gjelder opplysninger om kunders aktivitet på internett og omfatter ikke lagring av opplysninger til faktureringsformål.
Datatilsynet fokuserer altså på kundens aktivitet, ikke på aktiviteter rettet mot kunden. Telenor forsøker derfor på nytt forsøk å få frem de sikkerhetsmessige aspekter, og vil sterkt understreke at den lagring Telenor mener er tvingende nødvendig, men som Datatilsynet ikke aksepterer, utelukkende har sikkerhetsmessige formål og overhodet ikke er diktert av kommersielle hensyn (bortsett fra den indirekte effekt det har at kundene vet at deres ISP gjør sitt ytterste for at deres internettkommunikasjon er så trygg som mulig).
Telenor er åpen for at ikke alle rettslige grunnlag for den ønskede lagring, som ble påberopt i klagen, er like holdbare. Men Datatilsynets meget restriktive holdning tvang Telenor til å gå bredt ut. Klager vil påvise at det finnes tilstrekkelig grunnlag i personopplysnings- og ekomloven for den aktuelle lagringen.
4.1 Vedtaket er uklart formulert
Telenor påpeker at Datatilsynets vedtak kan forstås på to måter, enten som at det åpnes for lagring uten samtykke, men kun innenfor et kort tidsrom eller at det ikke er anledning til å lagre uten samtykke. Telenor påpeker også at det er uklart hva Datatilsynet mener med uttrykket «systemet».
4.2 Lagring er nødvendig for sikkerhetsformål
Telenor påpeker at lagring av destinasjons-IPer i 21 dager er nødvendig av sikkerhetsformål. Bare ved lagring over tid kan Telenor analysere trafikkmønstre. Telenor viser til ekomloven §§ 2-7 annet ledd og 2-10, personopplysningsloven §§ 11 og 8 bokstav b, c og f og personopplysningsforskriften §§ 2-14 og 2-15 som rettslig grunnlag for lagringen.
Som kjent er personopplysningslovens system slik at enhver behandling av personopplysninger må ha et rettslig grunnlag. Bortsett fra de unntaksbestemmelser som følger av personopplysningsloven §§ 3-7, vil det rettslige grunnlag normalt måtte søkes i personopplysningsloven § 8 (eller § 9). For ekomtilbydere vil også konsesjon gitt med hjemmel i personopplysningsforskriften § 7-1, jf personopplysningsloven § 33 annet ledd være retningsgivende. Men da konsesjonsvilkårene neppe gir noen større rett for Telenor enn det som fremgår av de hjemler det redegjøres for nedenfor, går ikke Telenor nærmere inn på dem her. Telenor må gi Datatilsynet rett når det i oversendelsesbrevet slås fast at § 11 ikke i seg selv er et rettslig grunnlag.
Samtykke
Ett av grunnlagene i personopplysningsloven § 8 er samtykke, og det er dette grunnlaget Datatilsynet mener Telenor skal basere seg på, hvis man ønsker lagring lenger enn noen få timer. Datatilsynet fremhever at et slikt samtykke lett kan gis ved inngåelse av avtalen.
At dette ifølge Datatilsynet kan skje «lett», tyder på at man mener at det kan inntas i Telenors standardvilkår og at en slik endring av vilkårene kan gjennomføres uten videre. Det ses da bort fra de innvendinger som kan reises mot frivilligheten av et slikt samtykke i standardvilkårene og også fra den relativt omfattende varslingsprosess man skal gjennom ved en slik endring, jf ekomloven § 2-4. En slik varslingsplikt med tilhørende oppsigelsesadgang for kunden, fremgår også av pkt. 17 i Telenors generelle abonnementsvilkår. Å innhente frivillig, informert og uttrykkelig samtykke fra samtlige av Telenors over en million mobilkunder som har adgang til internett, er i praksis umulig. At det vil kunne være noe enklere overfor nye kunder, gjør ikke samtykkeprosessen som sådan «lett», slik Datatilsynet synes å mene.
Samtykket skal som kjent også være informert. Erfaringen Telenor har i forbindelse med dialogen med Datatilsynet i denne saken, tilsier at det vil være alt annet enn lett å informere kundene tilstrekkelig før et eventuelt samtykke innhentes.
Telenor vurderer det slik at innhenting av samtykke ikke er et reelt alternativ.
Behandling som er nødvendig for å oppfylle en avtale med den registrerte – pol § 8 a)
Det er en forutsetning for den avtale Telenor har med sine internettkunder, at Telenor må gjøre sitt ytterste for å sikre kundene en trygg internettforbindelse. I tillegg er det sikkerhetskrav av hensyn til kundene, både i personopplysningsloven og ekomloven.
Behandling som er nødvendig for å oppfylle en rettslig forpliktelse – pol § 8 b)
Slike rettslige forpliktelser vil finnes i sikkerhetsbestemmelsene i personvernlovgivningen og i ekomloven. Dette er det redegjort for i klagen. Hjemmelen for behandlingen vil følgelig kunne finnes i personopplysningsloven § 8 b, men i henhold til personopplysningsloven § 5 vil de relevante bestemmelser i ekomloven representere et selvstendig rettslig grunnlag for behandlingen, jf ekomloven §§ 2-7 og 2-10.
Behandling som er nødvendig for å ivareta en berettiget interesse – pol § 8 f
Dette er som kjent en hjemmel for behandling ut fra en avveining av interessen til den behandlingsansvarlige (her Telenor), satt opp mot interessen til datasubjektet (her: mobilkunder som har dataaksess til Internett).
Datatilsynet hevder at det kreves en «klar interesseovervekt». Loven krever imidlertid ikke mer enn at kundens personverninteresse ikke skal overstige Telenors berettigede interesse. Telenor kan heller ikke se at lovens forarbeider eller personverndirektivets Art. 7 (f) som ligger til grunn for bestemmelsen, krever en slik klar overvekt.
Telenor mener imidlertid at selv om det rettslig sett skulle være et slikt krav om klar overvekt, vil den argumentasjon Telenor har fremført i klagen, vise at det er oppfylt. Telenor konstaterer at Datatilsynet i sitt oversendelsesbrev overhodet ikke tar stilling til interesseavveiningen i denne konkrete saken.
4.3 Lagring er nødvendig for å identifisere og informere kunder utsatt for angrep
Lagring av destinasjons-IPer i 21 dager er nødvendig for å kunne identifisere kunder som er under angrep, og for å kunne varsle disse kundene om angrepet. Varslingsplikten følger av ekomloven § 2-7 første ledd.
Behandling som er nødvendig for å sikre nettet og brukerne - ekomloven §§ 2-7 og 2-10
Det fremgår av personopplysningsloven § 5 at andre lovbestemmelser på selvstendig grunnlag kan gi hjemmel for behandling av personopplysninger. Ekomloven § 2-7 første ledd er en slik bestemmelse. I henhold til denne har Telenor plikt til å sikre sine nett og installasjoner på best mulig måte. Telenor mener at for å oppfylle denne plikten og sikre nett og installasjoner på best mulig måte, dvs. med «state of the art»-løsninger, må Telenor lagre denne type IP-adresser over noe tid for å kunne utføre pro- og retroaktiv retrospektiv sikkerhetsanalyse. Dette fremgår av ekomlovens § 2-7 første ledd, første setning.
Når det gjelder ekomloven § 2-7 første ledd, hevder Datatilsynet at det er «åpenbart at løpende logging av alle aksepterte destinasjonsadresser til all tid er mer omfattende enn denne bestemmelsen åpner for. Dette er å anse som lagring av innholdsdata og krever egen hjemmel». Datatilsynet gjør ikke noe forsøk på å forklare hvorfor det er «åpenbart». Det begrunnes heller ikke hvorfor slike trafikkmetadata det er tale om, er innholdsdata og hvorfor det kreves egen hjemmel.
Telenor vil anføre at om det er nødvendig å lagre innholdsdata for å ha tilfredsstillende sikkerhet i IP-kommunikasjonen, vil ekomloven § 2-7 første ledd første punktum, sammenholdt med personopplysningsloven § 5, mer enn representere tilstrekkelig hjemmel.
Datatilsynet viser til en vurdering NPT angivelig skal ha gjort «av denne saken», under henvisning til NPTs brev av 12.2.2013. Det fremgår imidlertid av NPTs brev at det ikke er de problemstillinger som denne klage gjelder, som har vært temaet, se eksempelvis følgende sitat:
I relasjon til kommunikasjonsformålet, vil sletteplikten inntre[r] med en gang abonnenten har opprettet kontakt med den nettsiden han eller hun ønsker å besøke.
Dette viser at NPT har en helt annen problemstilling i tankene, jf også henvisningen i siste avsnitt på side l om faktureringsspørsmålet. NPT har åpenbart vært opptatt av den problemstillingen som gjaldt i Network Norway-saken som Datatilsynet viste til i sitt brev til NPT 6.2.2013, og ikke lagring av destinasjonsadresser hvor opphavet for kommunikasjonen er utenfor tilbyderens nett. Dette synes å bli bekreftet i brev av 2.6.2014 fra NPT til Personvernnemnda, som Telenor nettopp er blitt kjent med.
Telenor har redegjort for hvordan sikkerheten ivaretas. Denne redegjørelsen har gyldighet også for de tiltak Telenor gjennomfører med hjemmel i ekomloven § 2-10 første ledd og som etter Telenors mening forutsetter behandling av personopplysninger for å sikre brukere og nett. I Datatilsynets oversendelsesbrev hevdes det at denne bestemmelsen «har et annet siktemål enn sikring av kommunikasjonen til den enkelte kunde» og at den primært er rettet inn mot krig- og krisesituasjoner. Telenor har vanskelig for å forstå en slik argumentasjon. Telenor viser til lovens ordlyd, hvoretter« [T]ilbyder skal tilby elektronisk kommunikasjonsnett og -tjeneste med forsvarlig sikkerhet for brukerne i fred, krise og krig».
Datatilsynet anfører videre at man ikke kan «se at lovgiver har ment at bestemmelsen skal hjemle behandling av personopplysninger». Hva lovgiver åpenbart har ment, er at tilbyderne skal gjennomføre de tiltak som er nødvendig for forsvarlig sikkerhet. Om det skulle vise seg at slike tiltak må inkludere behandling av personopplysninger, er det vanskelig å forstå at lovgiver ikke ville ha akseptert det. Det er ikke vanlig at lovgiver lister opp alle de tiltak som vil kunne være nødvendig, dels fordi lovgiver har begrenset faglig innsikt, dels fordi tiltakene kan endre seg over tid. Det er nettopp derfor lovgiver velger å uttrykke seg overordnet og generelt: «... skal tilby ... forsvarlig sikkerhet...».
4.4 Nærmere om Telenors sikkerhetsmessige behov
Telenor vil peke på at de argumenter Telenor har forsøkt å forfekte, ikke på noen måte er nye for Datatilsynet. Da Datatilsynet i et brev av 13.5.2009 til IKT-Norge fastsatte en maksimal lagringstid for IP-adresser på 21 dager, var nettopp sikkerhetshensyn sentralt fremme, og det fremgår at argumentasjonen fra bransjen i et drøftelsesmøte 12.12.2008 var sterkt medvirkende til Datatilsynets aksept av lagring opptil 21 dager. Datatilsynet refererte følgende fra møtet, uten på noen måte å ta avstand fra argumentasjonen:
Ifølge flertallet var en viss lagringstid nødvendig/or å kunne opptre som en ansvarlig leverandør. Blant annet viste flere til at de måtte kunne spore opp kilde til fiendtlig programvare. I motsatt fall kunne slik programvare kompromittere andre kunder og leverandørers eget nettverk. Videre ble det anført at mangel på slik oppfølging kunne undergrave seriøsiteten ovenfor andre aktører på nettet, herunder også utenlandske internettleverandører.
Dette er eksakt den samme type argumenter Telenor har forsøkt å få frem i dialogen med Datatilsynet i denne saken og som er sentralt i klagesaken.
I klagen har Telenor under overskriften «Begrunnelsen for Telenors klage» forsøkt å få frem en rekke sikkerhetsmessige aspekter som gjør det tvingende nødvendig å lagre kundenes IP-adresser hvor opphavet for kommunikasjonen er utenfor Telenors nett, i mer enn «et svært begrenset tidsrom» (nærmere angitt til «noen få timer»), med mindre det innhentes samtykke fra samtlige kunder.
Telenor kan ikke analysere angrep og får dermed ikke stoppet angrep
Datatilsynets konklusjon fremstår som forankret i en forståelse av at angrep kan identifiseres tilnærmet binært og i realtid. Det er Telenors standpunkt at så ikke er tilfelle, og at moderne sikkerhetsanalyse egnet til å avdekke moderne angrep, inkluderer og forutsetter analyse av trafikkmønstre over tid. Trafikkmønstre kan ikke analyseres uten lagring av transaksjoners originerende og terminerende IP-adresser (IP-trafikkmetadata).
Både som del av initiell identifikasjon av angrep, og når Telenors systemer er under angrep, har blitt kompromittert eller når mistanke om noen av delene foreligger, er pro- og retroaktiv analyse av trafikkmetadata over tid et sentralt verktøy for deteksjon og analyse. Det samme er tilfelle dersom kunders systemer blir angrepet, eller (ufrivillig) deltar i angrep. Både for å kunne fastslå angrepets natur og for å fastslå hvem og hvor mange det gjelder, må Telenor kunne lagre trafikkmetadata over tid som grunnlag for analyse og identifikasjon av slike hendelser/trusler.
Dersom Telenor ikke kan lagre trafikkmetadata over tid, kan man ikke analysere og identifisere angrep, man vil ha sterkt redusert evne til å begrense angrepet, og man vil ikke kunne varsle angrepne/kompromitterte kunder.
Analyse av trafikkmetadata bakover i tid er avgjørende både for å kunne identifisere og verifisere et (mulig) angrep, og for å forstå hvordan angriperen opptrer, hvem som er (forsøkt) rammet, hvem/hvilke grupper som ble først/tidlig rammet, hvorfra angrepet utføres og hvortil kompromitterte noder kommuniserer. Dersom Telenor mottar informasjon om pågående angrep/angriperaktivitet fra andre kilder, er det likeledes avgjørende for å kunne nyttiggjøre seg slik informasjon at man kan analysere trafikkmetadata tilbake i tid for å kunne identifisere allerede vellykkede angrep og trolig kompromitterte kunder eller systemkomponenter. Det er en viktig del av dette bildet at det kan gå betydelig tid fra angrep og kompromittering finner sted til man etablerer kunnskap som setter oss i stand til å identifisere den initielle angrepstrafikken som ondsinnet.
Analyse av trafikkmetadata viser seg også på andre måter å være et avgjørende redskap i effektiv håndtering av angrep og utforming av mottiltak. Et eksempel på dette fra påsken 2013 er proaktiv håndtering av refleksive DNS-baserte (D)DoS-angrep, der analyse av trafikkmetadata satte Telenor i stand til å hvitliste de DNS-tjenester våre kunder bruker mest, og således treffe mottiltak uten at det fikk potensielt dramatiske kundekonsekvenser.
Telenor får ikke informert kundene om at de er rammet av angrep
Dersom Telenor ikke kan lagre egne kunders IP-adresse når den er destinasjonsadresse for en akseptert inngående forbindelse, kan Telenor ikke se hvilke kunder som rammes av et angrep, forsøkes angrepet, eller ufrivillig deltar i et angrep. Telenor kan følgelig heller ikke informere kundene om dette. Telenor kan da ikke innfri sin varslingsplikt etter ekomloven § 2-7 første avsnitt. Telenor kan heller ikke se om det er en kunde eller mange kunder som mottar (mistenkt) angrepstrafikk.
Videre vil det som regel gå betydelig tid fra initiell angrepstrafikk og kompromittering til deteksjon av symptomene på kompromittering (ofte kommunikasjon med kontrollnoder som etter hvert avdekkes). Uten evne til å analysere trafikkmetadata bakover i tid vil man ikke kunne identifisere/forstå det initielle angrepet som kompromitterte noden og man vil heller ikke kunne identifisere andre nettnoder/kunder som har vært utsatt for samme angrepstrafikk.
Telenor får ikke deltatt i samarbeid med «resten av internett»
Telenor Norge, blant annet i egenskap av å være eier av AS2119, deltar i sikkerhetsrelaterte samarbeidsfora med andre aktører på internett hvor Telenor mottar informasjon om ulike IPadresser og domener som brukes i ondsinnet aktivitet. Denne informasjonen brukes deretter for å avdekke hvilke av Telenors systemer og kunder som kommuniserer med disse IP-adressene og domenene. De systemer og kunder som eventuelt kommuniserer med disse, vil utgjøre en sikkerhetsrisiko for Telenors nett, for andre kunder og ikke minst for kunden selv.
Det forventes videre av de andre store aktørene på internett, at Telenor håndterer og mitigerer ondsinnet aktivitet som har sitt opphav fra Telenors nett. (Merk her at noder som er opphav til ondsinnet aktivitet ofte vil være satt opp som mottaker av inngående forbindelser; f.eks. kontrollnoder i botnet.) Dersom Telenor unnlater å gjøre dette, vil vi kunne havne i en situasjon hvor noen aktører på internett vil nekte å motta IP-trafikk fra hele Telenors nett. En slik situasjon vil påvirke tjenestekvaliteten til Telenors kunder betydelig.
Frihavn for nettkriminalitet
Uten lagring av IP trafikkmetadata, vil norske ISP’er produsere en «Off-The-Record» kommunikasjonstjeneste på linje med hva som tilbys av enkelte ISP’er i land med svært høyt nivå av kriminalitet og korrupsjon. Disse retter sine kommunikasjons- og hostingtjenester mot kriminell virksomhet, idet de garanterer at ingen tilbakeførbare spor lagres.
Denne garantien har en markedspris. Dersom det samme tilbys gratis i Norge, er det ingen tvil om at vi vil tiltrekke oss kriminell virksomhet. De kriminelles aktivitet vil føre til mottiltak fra andre internettaktører (f.eks. utestengelse) som kan ramme våre kunder på bred basis.
4.5 Oppsummering
Telenor mener å ha påvist at så vel ekomloven §§ 2-7 første ledd og 2-10 første ledd, som personopplysningsloven §§ 8 a), 8 b) og 8 f), hver for seg gir hjemmel til Telenors ønske om lagring av de aktuelle data, og at Datatilsynet ikke kan se bort fra dette i sitt ønske om å kreve samtykke. De aktuelle rettsgrunnlag er likeverdige med samtykke som rettsgrunnlag og kan ikke overstyres av et idealisert ønske om å basere behandlingen på samtykke. Telenor fastholder at denne behandlingen av personopplysninger er nødvendig for å sikre Telenors nett, kommunikasjonstjenester, og kunders kommunikasjon, i henhold til Telenors lovpålagte forpliktelser.
Telenor mener videre at betydelig lengre lagring enn tre uker er nødvendig for å nå formålet med behandlingen av disse personopplysningene, som er å drive effektiv og relevant sikkerhetsanalyse. Basert på objektive risikovurderinger anser Telenor det nødvendig å lagre denne type transaksjonsdata i 48 måneder (3 + 1 år). Dette for å ha en mulighet til å fange opp de siste 5 %, hvor oppdagelsestiden er over tre år. Denne siste andelen kan muligens synes liten, men det er her vi finner de avanserte angriperne som vi har størst behov for å avdekke. Telenor foretar løpende vurderinger av denne type risikoer med henblikk på formål, behov og hjemmel. Behovet for lagring kan derfor endre seg. Telenor har rutiner og mekanismer for å slette informasjon fortløpende basert på de til enhver tid fastsatte sletteregler.
5 Kommentarer fra Post- og teletilsynet
NPT fikk oversendt foreløpige versjoner av Datatilsynets kontrollrapporter i brev 6.2.2013, og ble bedt om å kommentere på Datatilsynets tolkninger av regelverket. NPT oversendte sine kommentarer til Datatilsynet 12.2.2013. Saken slik den ble presentert for NPT, og følgelig bakgrunnen for NPTs kommentarer, var lagring av destinasjonsadresser hos tilbyder av mobildatatjeneste.
Datatilsynets vedtak av 20.6.2013 innledes imidlertid med «[v]irksomhetens praksis med å lagre IP-adressen til egne kunder ved aksept av eksterne forbindelser opphører...», noe som kan forstås som at dette gjelder hele Telenors (norske) virksomhet. Telenor er en stor tilbyder av en rekke elektroniske kommunikasjonsnett og -tjenester, også i grossistmarkedet og ut mot utenlandske nett. NPT kan ikke utelukke at lagring av destinasjons-IP adresser vil være nødvendig for å sikre nett og tjenester i noen deler av virksomheten, noe som heller ikke synes berørt i vedtakstekstens drøftinger. NPT vil derfor anbefale at et eventuelt vedtak fra Personvernnemda er tydelig på virkeområdet, hva angår hvilke nett og tjenester som omfattes. Etter NPTs syn vil en utvidelse av virkeområdet til å gjelde andre nett og tjenester enn mobildatatjenester kreve en ytterligere konsekvensutredning.
Hva angår Datatilsynets kommentarer til ekomloven § 2-10, kan ikke NPT umiddelbart slutte seg til disse. Det er riktig at vernet av kommunikasjon i nett og tjenester, såkalt logisk sikkerhet, har en særlig regulering i ekomloven § 2-7 og tilhørende forskrifter. Paragraf 2-10 er likevel ikke avgrenset til hverken samfunnspålagte oppgaver eller nasjonal sikkerhet, men gir selvstendige plikter til å sikre nett og tjenester mot blant annet logiske angrep, som tjenestenektangrep og ekstern overtakelse av funksjon eller kapasitet hos tilbyder.
Ekomloven § 2-7 første punktum gir en plikt for tilbyder til å «gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester». En sentral avgrensning i denne forbindelse er at kravet er relatert til egne nett og tjenester, og dermed ikke omfatter sikring av sluttbrukers egne klienter og interne nett. Grensen mellom sikring av eget nett og tiltak for å sikre sluttbrukers klienter/nett mot logiske angrep er likevel ikke helt entydig, spesielt ved internettjenester der et angrep som er rettet mot en eller flere sluttbrukere kan få vesentlige konsekvenser for tjenestekvaliteten i tilbyders nett for øvrig. Dette kan for eksempel være tilfelle ved distribuerte tjenestenektangrep.
Hvilke sikkerhetstiltak som er «nødvendige» vil bero på hvilke løsninger som er tilgjengelige, kostnadene ved å implementere disse, nettet og tjenestens viktighet og de til en hver tid foreliggende risiki. Pliktens konkrete innhold er dermed til en viss grad en dynamisk størrelse, som kan oppsummeres med at «tilbyder [skal] yte en sikkerhet som er tilpasset risikoen».
NPT har i brev 2.4.2013 presisert de risikoakseptkriterier som skal ligge til grunn for tilbyders sikkerhetstiltak. Et sentralt premiss er at tilbyder ikke kan se bort fra trusler mot konfidensialiteten fra meget kompetente organisasjoner, og må iverksette tiltak for å redusere mulige skadevirkninger av disse. En sentral foranledning til dette brev var de stadig økende digitale truslene mot infrastruktur, herunder mot elektroniske kommunikasjonsnett og tjenester.
Etter ekomloven § 2-7 tredje ledd skal blant annet trafikkdata, slik det her er tale om, slettes eller anonymiseres så snart de ikke lenger er nødvendige for en rekke definerte formål. NPT har i brev 12.2.2013 til Datatilsynet tatt stilling til nødvendigheten av lagring av destinasjonsadresser for mobildatatjeneste for kommunikasjonsformål og faktureringsformål, og konkludert med at disse formål ikke foranlediger lagring av slik informasjon. Etter bestemmelsen kan imidlertid også «andre krav fastsatt i medhold av lov» være et grunnlag for å lagre trafikkdata etter § 2-7 tredje ledd. I relasjon til sletteplikten er dermed spørsmålet i det følgende om kravet til kommunikasjonsvern i § 2-7 første ledd, og/eller kravet til å opprettholde forsvarlig sikkerhet etter§ 2-10, forutsetter at Telenor lagrer inngående aksepterte forbindelsers destinasjons-IPadresser. Dette spørsmålet ble ikke tilstrekkelig vurdert i NPTs brev av 12.2.2013.
Det er på det rene at ekomloven § 2-7 første ledd etter omstendighetene kan forplikte tilbyder til å gjennomføre sikkerhetsanalyse av trafikk i eget nett og tjeneste. Det er også på det rene at analyse og dermed lagring av aksepterte innkommende forbindelsers destinasjons IP-adresse vil være av stor verdi for å sikre kommunikasjonen, for eksempel for å oppdage, og begrense virkningene av distribuerte tjenestenektangrep, og ved mer avanserte angrep mot konfidensialiteten. Spesielt i sistnevnte tilfelle, der skadevare installert på brukers klient blir benyttet av tredjeperson til angrep på andre, vil det være viktig å kunne analysere trafikken ved hjelp av de aktuelle IP-adressene.
Det foreliggende vedtaket fra Datatilsynet gir mulighet for slik lagring over kort tid, som er presisert til «noen timer». Videre åpnes det for forlenget lagring ved særlige risikohendelser.
Etter NPTs oppfatning forutsetter plikten i ekomloven § 2-7 også at tilbyder har systemer som tar høyde for at det kan oppstå sikkerhetssituasjoner av en slik art at de ikke kan bli oppdaget innenfor noen få timer, typisk særlig avanserte angrep. Disse kan finne sted både i, og utenfor, perioder der tilbyder har informasjon som iht. vedtaket kan rettferdiggjøre forlenget lagring av de aktuelle IP-adressene.
NPT kan imidlertid ikke se at den til nå praktiserte lagringstid på 21 dager er dokumentert å være fundert i objektive sikkerhetsmessige vurderinger, noe den risikobaserte tilnærmingen i ekomloven § 2-7 legger opp til. Der plikten til å sikre nett og tjenester etter bestemmelsen støter opp mot andre hensyn og plikter, i dette tilfellet til dataminimalisering og personopplysningsvern, er det særlig viktig at lagringstiden settes på bakgrunn av et dokumentert behov.
NPT anser at Telenor Norge AS som tilbyder av den elektroniske kommunikasjonstjenesten mobil internettaksess er forpliktet til å gjennomføre sikkerhetsanalyse for å sikre kommunikasjon og data som formidles gjennom tjenesten, jf ekomloven § 2-7 første ledd. Analyse som innbefatter innkommende forbindelsers destinasjons IP-adresser vil være en nødvendig del av dette, noe som forutsetter at denne informasjonen lagres i en viss periode. NPT ser heller ikke at denne konklusjonen vil være annerledes for andre typer internettaksess.
Slik lagring er dermed også tillatt etter ekomloven § 2-7 tredje ledd, jf første ledd, så fremt lagringstiden er fundert i objektive sikkerhetsmessige vurderinger av behovet, gitt de risiki som foreligger mot konfidensialiteten av kommunikasjon og data som formidles via tjenesten.
6 Datatilsynets vurdering
6.1 Telenors anførsel 1 – vedtaket er uklart formulert
Datatilsynets vedtak lyder slik:
Virksomhetens praksis med å lagre IP-adressen til egne kunder ved aksept av eksterne forbindelser opphører med mindre samtykke til slik lagring innhentes fra kundene. Eventuell lagring kan ikke overstige et svært begrenset tidsrom nødvendig for drift og sikring av systemet. Det vises til kontrollrapportens avsnitt 3.4 og personopplysningsloven § 11, jf § 8.
Datatilsynet vil presisere at vedtaket er ment slik at lagring som ikke tillates etter første setning likevel kan skje uten samtykke, dersom lagringen ikke overstiger et svært begrenset tidsrom. I kontrollrapporten fremgår det at slik lagring kun kan skje «når det er nødvendig for å gjennomføre kommunikasjonen og i en svært begrenset tidsperiode. Denne tidsperioden kan ikke strekke seg lenger enn noen få timer». Datatilsynet mener dette gikk tilstrekkelig klart frem av sakens dokumenter, men erkjenner at vedtaksformuleringen kunne vært mer presis.
Hva vedtaket innebærer er med denne presiseringen klart. Vi kan ikke se at denne avklaringen har betydning for om klagen skal oversendes Personvernnemnda eller ikke.
Telenor kommenterer også at det er uklart hva Datatilsynet mener når vi bruker ordet «system» i vedtaket. Her er det Telenors system eller systemer for leveranse av mobilt bredbånd vi viser til.
6.2 Telenors anførsel 2 – nødvendig for sikkerhetsformål
Datatilsynet ønsker å knytte noen kommentarer til de bestemmelsene Telenor viser til som rettslig grunnlag for behandling for sikkerhetsformål.
Ekomloven § 2-7, l. ledd, l. punktum
Ekomloven § 2-7 første ledd, første punktum krever at ekomtilbyder skal gjennomføre sikkerhetstiltak i egne elektroniske nett og tjenester. Datatilsynet bestrider ikke at tiltak skal gjøres. Loven krever imidlertid kun at nødvendige sikkerhetstiltak gjennomføres. Om denne bestemmelsen hjemler en behandling av personopplysninger etter personopplysningsloven § 8 første ledd avhenger av om hjemmelen er klar nok. Datatilsynet anser ekomloven § 2-7 første ledd, første setning som for generell til å hjemle en kontinuerlig registrering av aksepterte destinasjons IPer. Bestemmelsen forhindrer imidlertid ikke Telenor fra å samle inn slike data om de baserer det rettslige grunnlaget for behandlingen på samtykke fra den registrerte, jf. personopplysningsloven § 8 første ledd.
Datatilsynet vil derimot akseptere registrering ved unntakstilfeller, f.eks. at registrering skrus på ved mistanke om uvanlig trafikk på nettet. Datatilsynet holder fast ved at kontinuerlig registrering av alle aksepterte forbindelser i nettet ikke er nødvendig og dermed er det ikke et rettslig grunnlag for behandlingen.
Ekomloven § 2-7, 2. ledd
Ekomloven § 2-7 annet ledd er et unntak fra varslingsplikten ovenfor kunde som slås fast i bestemmelsens første ledd. Bestemmelsen innebærer ikke i seg selv et krav til gjennomføring av tekniske beskyttelsestiltak.
Post- og teletilsynets vurdering av ekomloven § 2-7
Post- og teletilsynets vurdering av denne saken fremgår av deres brev datert 12.2.2013. Det fremgår av NPTs brev at trafikkdata skal slettes eller anonymiseres så snart de ikke lenger er nødvendig for kommunikasjons- eller faktureringsformål. Sletteplikten inntrer med en gang abonnenten har opprettet kontakt med den nettsiden han eller hun ønsker å besøke. Lagring av trafikkdata ut over dette må basere seg på et kvalifisert samtykke fra den aktuelle abonnenten.
NPT slutter seg til Datatilsynets konklusjon om at lagring av destinasjonsadresser er i strid med ekomloven § 2-7 annet ledd og at slik lagring bør oppheves.
Ekomloven § 2-10
Telenor viser i sin klage til ekomloven § 2-10 første ledd, første punktum. Denne bestemmelsen er ikke nevnt tidligere i saksbehandlingen. Datatilsynet har derfor ikke tidligere tatt stilling til om denne bestemmelsen kan hjemle behandling av personopplysninger. Post- og teletilsynet har heller ikke vurdert dette i denne saken.
Ekomloven § 2-10 første ledd, første punktum krever at tilbydere skal tilby kommunikasjonsnett med forsvarlig sikkerhet for sine brukere. Datatilsynet mener denne bestemmelsen har et annet siktemål enn sikring av kommunikasjonen til den enkelte kunde. Selv om bestemmelsens første punktum generelt krever sikkerhetstiltak, handler bestemmelsen for øvrig om krav til teletilbyderne knyttet til samfunnets interesser og vital sikkerhet, spesielt situasjoner som stiller krav til god beredskap, som krig og kriser. Lovens forarbeider bekrefter dette, jf. Ot.prp. nr. 58 (2002-2003) - Om lov om elektronisk kommunikasjon avsnitt 8.3 og 13.4. Her sies det at bestemmelsen om sikkerhet og beredskap (§ 2-10) regulerer «Spesielle samfunnspålagte oppgaver». Her inngår også «ytelsene til Totalforsvaret». Bestemmelsen (§ 2-10) er tatt inn for å ivareta nasjonal sikkerhet når telenettet leveres av ulike teleoperatører.
Datatilsynet kan ikke se at lovgiver har ment at bestemmelsen skal hjemle behandling av personopplysninger i forbindelse med sikkerhetstiltak ovenfor Telenors kunder.
Personopplysningsforskriften § 2-14
Personopplysningsforskriften § 2-14 første ledd krever at det skal etableres sikkerhetstiltak for å forhindre og oppdage forsøk på uautorisert bruk av informasjonssystemer. Bestemmelsens annet ledd krever at forsøk på slik bruk skal registreres.
Etter Datatilsynets vurdering omfatter § 2-14 avgrensede informasjonssystemer hvor det behandles personopplysninger. For en teleoperatørs behandling av informasjon om kunders kommunikasjon, kan ikke bestemmelsen vurderes som en hjemmel for behandling av personopplysninger etter personopplysningsloven § 8 første ledd.
Personopplysningsforskriften § 2-15
Telenor hevder at behandling av aksepterte destinasjons-IPer er nødvendig for å kunne levere klare ansvars- og myndighetsforhold ovenfor partnere og leverandører som de er forpliktet til etter personopplysningsforskriften § 2-15.
Datatilsynet er enig i at denne bestemmelsen krever klare ansvars- og myndighetsforhold, men vi kan ikke se at lagring av destinasjons-IPer er nødvendig for å gjennomføre dette. Telenor har heller ikke beskrevet dette behovet nærmere.
Personopplysningsloven § 8 bokstav b, c og f
Telenor peker i sitt brev på at behandlingen av personopplysninger som skjer ved lagring av destinasjons-IPer er hjemlet i personopplysningsloven § 8, bokstav b, c og f.
Paragraf 8, bokstav b innebærer at den behandlingsansvarlige kan behandle personopplysninger uten samtykke dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse. Datatilsynet antar at Telenor mener at Telenors avtaler med sine kunder er en slik rettslig forpliktelse.
Telenors abonnementsvilkår avsnitt 3. (Internettjenester) avsnitt 3 (registrering av aktivitet og utlevering) kan være en slik rettslig forpliktelse. Her fremgår det at Telenor registrerer kundens aktivitet på nettet i tråd med personopplysningsforskriften § 7-11 om logging. Det fremgår derimot ikke av abonnementsavtalen at lagring av inngående henvendelser fra Internett mot kunden skal registreres. Datatilsynet kan ikke se at en slik lagring er nødvendig for å oppfylle en rettslig forpliktelse og at bokstav b gir derfor ikke et rettslig grunnlag for dette.
Paragraf 8 bokstav c innebærer et rettslig grunnlag for behandling av personopplysninger når behandlingen er nødvendig for å ivareta den registrertes vitale interesser. Etter Datatilsynets vurdering er vitale interesser i denne sammenhengen interesser som den registrertes liv og helse. Sikkerhet i mobilt bredbånd faller utenfor denne bestemmelsen.
Paragraf 8 bokstav f er en bestemmelse som er ment å fange opp situasjoner som ikke er omfattet av noen av de andre rettslige grunnlagene i § 8, men der interessene i å behandle personopplysningene er berettiget og ikke overstiger den registrertes personvern. Denne bestemmelsen krever en klar interesseovervekt for den behandlingsansvarliges behov for behandling av personopplysninger satt opp mot den registrertes personvern.
Datatilsynet vil si at Telenor har alle muligheter for å basere lagring av destinasjons-IPer på samtykke fra sine kunder. Et slikt samtykke kan lett gis ved inngåelse av avtale. Den registrertes interesser for å velge om lagring av personopplysninger skal skje er tydelig til stede, mens belastningen for den behandlingsansvarlige ved å basere registreringen på samtykke ikke er å anse som stor. Etter Datatilsynets syn er vilkårene for å basere behandlingen på § 8 bokstav ikke tilstede.
Personopplysningsloven § 11
Telenor viser også til personopplysningsloven § 11 som et mulig rettslig grunnlag for behandlingen. Paragraf 11 lister opp grunnkrav til behandling, f.eks. at den behandlingsansvarlige har et rettslig grunnlag. Bestemmelsen er likevel ikke i seg selv et rettslig grunnlag.
6.3 Telenors anførsel 3 – nødvendig for identifisering og informasjon
Datatilsynet ønsker å knytte noen kommentarer til de bestemmelsene Telenor viser til som rettslig grunnlag for behandling for identifiserings- og varslingsformål.
Ekomloven § 2-7, l. ledd, 2. punktum
Ekomloven § 2-7 første ledd, annet punktum krever at abonnenter og brukere skal varsles ved særlig risiko for sikkerhetsbrudd. Telenor hevder at kontinuerlig lagring av alle aksepterte destinasjons-IPer er nødvendig for å oppfylle dette kravet.
Datatilsynet er enig i at denne bestemmelsen kan danne grunnlag for lagring av destinasjons-IPer, men da kun når det foreligger hendelser som innebærer særskilt risiko og i en kort tidsperiode. Datatilsynet har ikke tatt stilling til hva som kreves av en risiko for å kunne kalles særskilt, men det er etter vår oppfatning åpenbart at løpende logging av alle aksepterte destinasjons-IP til all tid er mer omfattende enn denne bestemmelsen åpner for. Dette er å anse som lagring av innholdsdata og krever egen hjemmel. Datatilsynet vil derfor hevde at denne bestemmelsen heller ikke hjemler den omfattende loggingen Telenor gjennomfører i dag.
6.4 Avsluttende merknader
Datatilsynet har vurdert klagers anførsler, men finner ikke grunnlag for å oppheve eller endre vedtaket. Datatilsynet fastholder at Telenor ikke kan lagre IP-adressen til egne kunder koblet til destinasjons-IP ved aksept av eksterne forbindelser. Dette med mindre det innhentes samtykke til slik lagring, lagringen skjer innenfor et svært kort tidsrom, eller at lagringen skjer ved spesielle hendelser med høy risiko. Lagring utover dette er å anse som lagring av innholdsdata, og krever egen hjemmel.
7 Personvernnemndas syn
7.1 Opplysninger som lagres
Personvernnemnda har forstått saken slik at Telenor lagrer destinasjons-IP for mobile internett-oppkoblinger når initiativet til oppkoblingen kommer fra en tredjepart (altså ikke fra abonnentens egen mobiltelefon) og oppkoblingen/forsøk på oppkobling ikke nødvendigvis er kontrollerbart for abonnenten. Typisk kan dette være robotprogramvare som urettmessig forsøker å få tilgang til abonnentens mobiltelefon på eget initiativ. Et annet eksempel kan være «push-meldinger» som rettes mot en installert applikasjon («app») på en mobiltelefon. De fleste app’er er i dag basert på «pull-meldinger» (det vil si at app’en spør serveren om det finnes noe ny informasjon til den). Men det finnes også protokoller for «push», der eieren av smarttelefonen vil abonnere på oppdateringer eller oppkall (f.eks. telefonoppkall over IP – VoIP) som sendes umiddelbart av serveren, uten en forutgående henvendelse fra app’en.
De opplysninger som saken gjelder, er altså det IP-nummeret som et oppkoblingsforsøk stammer fra. Personvernnemnda har ikke detaljerte opplysninger om eksakt hva som lagres, men gitt at det er tale om en logg av IP-anrop der man etter alt å dømme benytter standardverktøy, vil nemnda anta at følgende logges:
- Tidspunkt (dato og klokkeslett)
- Den meldingen som ble sendt fra tredjepart som forespørsel om oppkobling.
- IP-adresse
- Portnummer (ulike IP-tjenester er knyttet til ulike porter)
- Om oppkoblingen ble godtatt eller avvist
- Dersom den ble avvist, årsak (feilkode)
I og med at Telenor kun lagrer opplysningene når initiativet til oppkoblingen kommer fra tredjepart så er disse opplysningene lite sensitive for abonnenten.
Ved å knytte disse opplysningene til abonnenten kan Telenor varsle vedkommende om at han/hun sannsynligvis er mål for et cyberangrep. Når teleoperatøren har kunnskap om et slikt angrep foreligger en varslingsplikt etter ekomloven § 2-7 første ledd andre setning.
7.2 Behandlingsgrunnlag
Telenor må ha behandlingsgrunnlag for å lagre slike opplysninger om abonnentene, jf personopplysningsloven § 8.
Telenor har anført personopplysningsloven § 8 a), b) og f), jf ekomloven §§ 2-7 og 2-10, samt og personopplysningsforskriften §§ 2-14 og 2-15 som rettslig grunnlag for lagringen. Ekomloven § 2-7 første ledd lyder:
Tilbyder skal gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester. Ved særlig risiko for brudd på sikkerheten og dersom sikkerhetsbrudd vil kunne skade eller ødelegge lagrede data eller krenke personvernet til abonnent eller bruker, skal tilbyder straks varsle abonnent eller bruker om dette.
Datatilsynet har konkludert med at Telenors praksis mangler behandlingsgrunnlag og har fattet følgende vedtak:
Virksomhetens praksis med å lagre IP-adressen til egne kunder ved aksept av eksterne forbindelser opphører med mindre samtykke til slik lagring innhentes fra kundene. Eventuell lagring kan ikke overstige et svært begrenset tidsrom nødvendig for drift og sikring av systemet. Det vises til kontrollrapportens avsnitt 3.4 og personopplysningsloven§ 11, jf. § 8.
Spørsmålet Personvernnemnda må ta stilling til er således om det påberopte lovgrunnlag for behandlingen er holdbart.
Etter § 8 første ledd vil det foreligge behandlingsgrunnlag der det er lovhjemlet registreringsplikt. Telenor har anført ekomloven § 2-7 første ledd som hjemmel for slik behandlingsplikt. Det følger av ekomloven § 2-7 fjerde ledd at slike sikkerhetstiltak som nevnt i første ledd kan behandles uten samtykke fra bruker. En slik behandling av personopplysninger har således hjemmel i lov, jf personopplysningsloven § 8 første ledd annet alternativ. Kjernen i dette spørsmålet er dermed om den aktuelle registrering er «nødvendig», jf § 2-7 første ledd.
Hva som er «nødvendig» er vanskelig å si generelt og presist. Forarbeidene til ekomloven (Ot.prp. nr. 58 (2002-2003) Om lov om elektronisk kommunikasjon) sier følgende om § 2-7:
I første ledd pålegges tilbyder å iverksette nødvendige sikkerhetstiltak for å sikre kommunikasjon som overføres via sine elektroniske kommunikasjonsnett eller -tjenester. Ved vurderingen av hva som er nødvendig sikkerhetstiltak skal det ses hen til hva som er den beste løsning på markedet til enhver tid ("state of the art") og kostnadene ved iverksettelse av denne løsningen. I vurderingen av hvilken sikkerhet som skal tilbys gjelder med andre ord prinsippet om forholdsmessighet mellom kostnadene og sikkerheten som oppnås. På bakgrunn av dette skal tilbyder yte en sikkerhet som er tilpasset risikoen. Om nødvendig må tilbyder av nett og tilbyder av tjeneste samarbeide om sikkerheten.
Det fremgår av dette at det påhviler den enkelte tilbyder å utøve et slikt skjønn. Det vil likevel være rammer for forsvarlig skjønnsutøvelse.
Telenor har anført at det har behov for og plikt til å forsøke å identifisere og håndtere angrep mot Telenors nett og systemer. Det anføres at dette ikke er mulig uten å analysere historiske trafikk-metadata. Historiske trafikk-metadata er informasjon om originerende og terminerende IP-adresse for trafikksesjoner. Uten lagring av slik informasjon vil Telenor være forhindret fra å ivareta varslingsplikten overfor kunder som er eller har vært under angrep, fra å identifisere allerede kompromitterte kunder for håndtering av disse, og fra å sikre Telenors nettverk og systemer effektivt for samfunnet, kunder og egen virksomhet.Personvernnemnda legger ved vurderingen av Telenors argumenter, særlig vekt på at denne typen angrep fra tredjeparter er noe den enkelte Telenor-kunde i liten grad kan beskytte seg mot selv. Telenors infrastruktur er en viktig komponent i samfunnet. Dersom denne kompromitteres kan det få store konsekvenser. Videre har kundene en legitim forventning om å bli varslet om angrep. På samme måte har Telenor en legitim interesse i å kunne varsle sine kunder om denne type trussel og i å sikre infrastrukturen. Etter Personvernnemndas oppfatning ligger Telenors skjønn innenfor rammen av forsvarlig skjønnsutøvelse.
Vurderingen av hva som er «nødvendig» etter ekomloven § 2-7 anviser ikke at man skal trekke inn personvernhensyn. Nemnda ser det likevel slik at det må foretas en avveining av denne registreringsplikten mot de personvernmessige omkostninger den vil medføre i det enkelte tilfelle. Dette anses å følge av grunnleggende ulovfestede personvernprinsipper som utfyller den positive regulering. Slike betraktninger synes også gjenspeilet i bakgrunnen for Grunnlovens § 102.
Spørsmålet er da om de nødvendige sikkerhetstiltakene representerer et uforholdsmessig personverninngrep overfor brukerne. Dette er tale om trafikk som ikke initieres av abonnenten, men vil i de fleste tilfeller dreie seg om et ondsinnet initiativ fra en tredjepart. Beskyttelsesbehovet er lavt for denne typen informasjon da det ikke er sensitive opplysninger som krever spesiell beskyttelse. Etter nemndas syn vil da det sikkerhetsnivået som Telenor ønsker å legge seg på, ikke representere et uforholdsmessig personverninngrep overfor brukerne.
Nemnda ser det som et formålsmessig tiltak for å forvalte mobilnettet på det sikkerhetsnivå som Telenor ønsker å tilby, jf ekomloven og personopplysningsloven § 11 bokstav b).
Personvernnemnda er etter dette kommet til at det foreligger behandlingsgrunnlag for opplysningene.
7.3 Lagringstid
Det neste spørsmål nemnda må stilling til er hvor lenge Telenor kan lagre slike data.
Det fremgår av personopplysningsloven at opplysninger skal slettes når lagring ikke lenger er nødvendig for formålet, jf § 28. Nemnda viser videre til at lagringstid for loggopplysninger er spesialregulert i personopplysningsforskriften § 2-16 tredje ledd:
Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten.
Personvernnemnda forstår Datatilsynet til å være av den oppfatning at personopplysningsforskriftens § 2-16 bare får anvendelse på «avgrensede informasjonssystemer», med andre ord at den ikke får anvendelse på infrastruktursystemer. Nemnda ser ikke at det foreligger rettskildemessig grunnlag for en så snever tolkning. Følgelig mener nemnda at § 2-16 etter sin ordlyd ganske klart får anvendelse på den aktuelle lagring. Nemnda bemerker samtidig at det kan foreligge grunnlag for at lovgiver gjennomgår regelverket om lagringstid for loggdata.
Den etablerte lagringstiden i bransjen har frem til nå vært 21 dager, og det er denne lagringstiden Telenor har argumentert for overfor Datatilsynet. Telenor har senere overfor Personvernnemnda argumentert for flere års lagringstid. Nemnda ser ikke at dette er relevant i forhold til prøvning av det vedtak som er påklaget.
8 Vedtak
Klagen tas til følge.
Oslo, 8. juni 2015
Eva I E Jarbekk
Leder