REU, Alm.del - 2009-10 - Endeligt svar på spørgsmål 1379: Spm. om ministeren vil redegøre for, hvorvidt ministeren vil kræve, at Apple oplyser, hvad de oplysninger, der indsamles via iPhone, anvendes til, til justitsministeren

Spørgsmål nr. 1379 fra Folketingets Retsudvalg (Alm. del):”Ministeren bedes redegøre for, hvorvidt ministeren vil kræ-ve, at Apple oplyser, hvad de oplysninger, der indsamles viaiPhone, anvendes til?”Svar:Justitsministeriet har til brug for besvarelsen indhentet en udtalelse fraDatatilsynet, som efter persondataloven er den myndighed, der fører til-syn med elektronisk behandling af personoplysninger. I udtalelsen, dervedlægges, anfører Datatilsynet bl.a. følgende:”[…]2.I den anledning kan Datatilsynet oplyse følgende:2.1.Datatilsynet har ikke behandlet spørgsmål vedrørende funktionalite-ten i Apples iPhone og har derfor ikke nærmere kendskab hertil.2.2.Ved opslag på de dansksprogede dele af Apples hjemmeside har Da-tatilsynet fundet Apples ”Politik for Behandling af Personlige Oplysnin-ger”. Heri er bl.a. anført:”Bemærk, at personlige oplysninger om enkeltpersoner med bopæl i et land in-den for det europæiske økonomiske samarbejdsområde (EØS) administreres ifællesskab af Apple Sales International i Cork, Irland, og Apple Limited i Ux-brigde, Storbritannien. Personlige oplysninger indsamlet inden for EØS underbrug af iTunes administreres af iTunes SARL i Luxembourg.”

Tilsvarende oplysninger om dataansvaret gives på telefonsvareren på detdanske telefonnummer, der er anført på Apples side med ”Betingelser forApple Store”, som tillige henviser til, at kontakt kan ske til en postadres-se i Irland.Umiddelbart ser det således ud til, at dataansvaret for behandlingen afpersonoplysninger om de danske brugere ligger hos Apple i Irland ogStorbritannien.Når den dataansvarlige findes i et andet EU-land og ikke i Danmark, in-debærer persondatalovens regler om geografisk anvendelsesområde, atdet er dette lands persondatalovgivning og ikke den danske persondata-lov, der finder anvendelse.3.1.Hvis en virksomhederomfattet af den danske persondatalov, skalvirksomhedens behandlinger ske under iagttagelse af bl.a. behandlingsbe-tingelserne i persondataloven. Disse betingelser svarer i vidt omfang tilreglerne i EU's databeskyttelsesdirektiv.3.2.Kravene til databehandlingen består bl.a. af grundbetingelser, somaltid skal være opfyldt. De grundlæggende krav går ud på følgende:2

Når man behandler personoplysninger, skal det ske i overens-stemmelse med god databehandlingsskik. Dette indebærer, at dendataansvarlige nøje skal overholde reglerne i loven, såvel i åndsom bogstav, og ikke må forsøge at omgå reglerne.Når en dataansvarlig samler personoplysninger ind, skal det ståklart, hvilket formål oplysningerne skal bruges til, og formåletskal være sagligt. Det er ikke tilladt at indsamle oplysninger, hvisman ikke aktuelt har noget at bruge dem til, men blot forventer,at der senere viser sig et formål. Om et bestemt formål med enindsamling af personoplysninger er sagligt, afhænger først ogfremmest af, om der er tale om løsning af en opgave, som det ernaturligt for den pågældende myndighed, virksomhed m.v. at lø-se. Hvad der er sagligt for den ene myndighed eller virksomhed,vil altså ikke nødvendigvis være sagligt for den anden.En senere behandling må ikke være uforenelig med det formål,som oplysningerne oprindeligt blev indsamlet til. Indsamlede op-lysninger kan efterfølgende principielt godt anvendes til et andetend det oprindelige formål, blot den senere anvendelse ikke eruforenelig med det formål, som oplysningerne oprindeligt blevindsamlet til. Hvis den senere behandling direkte modarbejder el-ler skader det oprindelige formål, er det klart, at behandlingen ik-ke kan finde sted. Herudover må det vurderes konkret, om en se-nere behandling må anses for så uvedkommende i forhold til detoprindelige formål, at den ikke kan accepteres.Indsamlede oplysninger må ikke omfatte mere end nødvendigt,formålet taget i betragtning. Denne regel skal bidrage til at sikremod en unødvendig ophobning af personoplysninger. Lovenbygger altså på det princip, at offentlige myndigheder og privatevirksomheder m.v. ikke må indsamle og registrere flere oplys-ninger om den enkelte borger, end hvad der er nødvendigt.Den dataansvarlige skal sikre sig, at der ikke behandles urigtigeeller vildledende oplysninger. Viser det sig alligevel, at der be-handles oplysninger, som er urigtige eller vildledende, skal dissesnarest muligt slettes eller rettes. Disse krav skal bidrage til atsikre den bedst mulige datakvalitet.Indsamlede oplysninger skal slettes eller anonymiseres, når detikke længere er nødvendigt for den dataansvarlige at være i be-siddelse af oplysningerne i en form, der gør det muligt at identifi-cere den enkelte person. Også denne regel skal sikre mod data-ophobning.

ge sociale problemer og lignende følsomme privatlivsoplysninger, f.eks.om interne familieforhold.De oplysningstyper, der ikke vedrører rent private forhold, kan kaldesalmindelige personoplysninger. Almindelige personoplysninger kanf.eks. være identifikationsoplysninger, oplysninger om økonomiske for-hold, kundeforhold eller andre lignende ikke følsomme oplysninger.3.4.Datatilsynet er bekendt med, at Apple den 12. juli 2010 har svaret påen henvendelse fra to medlemmer af Repræsentanternes Hus i USA. Sva-ret er tilgængeligt på internettet på denne adresse:http://markey.house.gov/docs/applemarkeybarton7-12-10.pdfUd fra dette må det umiddelbart lægges til grund, at de oplysninger, somApple behandler, falder i kategorien almindelige personoplysninger.Behandling af almindelige personoplysninger må efter persondatalovenske, når en af følgende betingelser er opfyldt:1) Hvis den registrerede har givet sit udtrykkelige samtykke. Kravet omudtrykkelighed betyder, at et stiltiende eller indirekte samtykke ikke ertilstrækkeligt.2) Hvis behandlingen er nødvendig for at kunne opfylde en aftale, somden registrerede er part i. F.eks. kan det være nødvendigt at registrere ogbehandle oplysninger, der fremgår af ordrer, fakturaer og lignende i til-knytning til aftaler, hvor den registrerede er aftalepart.3) Hvis behandlingen er nødvendig for at overholde en retlig forpligtelse,som påhviler den dataansvarlige. En retlig forpligtelse kan eksempelvisvære en forpligtelse, der er fastsat i en lov eller en bekendtgørelse.4) Hvis behandlingen er nødvendig for at beskytte den registreredes vita-le interesser. F.eks. kan behandling af oplysninger ske, hvis den registre-rede som følge af bortrejse eller sygdom ikke er i stand til at give sam-tykke til behandlingen. Det er en betingelse, at behandlingen vedrører in-teresser, der er af fundamental betydning for den registrerede.5) Hvis behandlingen er nødvendig for at kunne udføre en opgave i sam-fundets interesse. Dermed vil behandling af oplysninger til gavn for enbredere kreds af personer, eksempelvis i statistisk, historisk, informativteller videnskabeligt øjemed kunne ske.6) Hvis behandlingen sker som led i myndighedsudøvelse. Det er først ogfremmest tilfældet, når offentlige myndigheder træffer afgørelser i for-valtningssager, f.eks. afgørelser om sociale ydelser eller afgørelser omskatteansættelser.7) Hvis behandlingen er nødvendig for at varetage en berettiget interesse,og denne interesse overstiger hensynet til den registreredes interesser.Den dataansvarlige skal, før vedkommende behandler data, vurdere,hvorvidt hensynet til de interesser, der ønskes forfulgt med behandlingen,overstiger den registreredes interesser. Denne vurdering afhænger afmange forskellige forhold, bl.a. formålet med behandlingen. F.eks. er dettilladt at føre sædvanlige personaleregistre og registre over en virksom-heds kunder og leverandører.4

4.Datatilsynet fører tilsyn med enhver behandling, der omfattes af per-sondataloven, bortset fra behandlinger, der foretages for domstolene.I forbindelse hermed påser Datatilsynet af egen drift eller efter klage fraen registreret, at en behandling finder sted i overensstemmelse med lov-givningen og de bestemmelser, der er udstedt i medfør af loven.Som led i denne tilsynsvirksomhed kan Datatilsynet tage sager op af egendrift, hvis tilsynet finder grundlag herfor.Ud fra de oplysninger, som Apple har givet i det omtalte svar af 12. juli2010 til medlemmer af Repræsentanternes Hus, finder Datatilsynet ikkeumiddelbart grundlag for at indlede en nærmere undersøgelse i sagen.Datatilsynet lægger i denne forbindelse særligt vægt på følgende:Der er ifølge det oplyste mulighed for at slå alle lokationsbasere-de tjenester fra med en enkelt indtastning.Apple anmoder ifølge det oplyste om udtrykkeligt samtykke frabrugeren, når en applikation eller webside anmoder om loka-tionsbaseret information første gang. Når en applikation ellerwebside anmoder om informationer, viser der sig en dialogboksmed indholdet: ”[Application/Website] would like to use yourcurrent location.” Brugeren spørges: ”Don’t Allow” eller ”OK”.Hvis brugeren klikker på ”Don’t allow” vil ingen lokationsbase-ret information ifølge det oplyste blive indsamlet eller transmitte-ret.Apples persondatapolitik, som er opdateret 21. juni 2010, beskri-ver behandling af personoplysninger i forbindelse med lokations-baserede tjenester. Politikken er tilgængelig på dansk, og der erlink til dokumentet på Apples dansksprogede sider.