Åpent brev til Birthday.no
Monday, 15. November 2010
Jeg har fått nok av tvilsomme firmaer som sprer personopplysninger om meg på nett. Foto: Jessica Diamond/Flickr
I dag har jeg sendt brev til Birthday.no. Nok en gang forsøker et firma å gjøre oss en tjeneste ved å legge ut fødselsdato og år til nærmest samtlige Nordmenn. Jeg lurer på hvor mange ganger dette skal få skje før vi kan få satt en stopper for denne typen unødvendige spredning av personopplysninger. Her er brevet:
Til: Birthday.no v/ Berlock Information AB
Brynsveien 3 0667 Oslo
Den nye opplysningstjenesten “Birthday.no” har publisert fødselsdatoen til nærmest samtlige nordmenn. Jeg registrerer med undring at dette gjøres til tross for at liknende forsøk har blitt stanset flere ganger, etter påtrykk fra publikum og kritikk fra Datatilsynet, som har påpekt at det er uakseptabelt at nummeropplysningstjenester publiserer både fødselsdato og år.
Eniro publiserte fødselsdatoene på telefonkatalogen.no i juni 2009, og fjernet disse etter kun to uker. Iam.no prøvde på det samme like etter, og ble møtt med massiv kritikk av opinionen, og en protestaksjon på Facebook som fikk over 30 000 medlemmer. Man fikk en klar tilbakemelding om at dette var en type tjeneste som ikke er ønsket. I en avstemming på vg.no sa 72 % at de har noe i mot å få fødselsdatoen sin publisert på nett.
I Norge er det personopplysningsloven som regulerer adgangen til å behandle personopplysninger. Loven skal beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Den skal også bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.
Det følger av personopplysningslovens § 8 at personopplysninger bare kan behandles dersom den registrerte samtykker, det er fastsatt i lov eller ett av de øvrige vilkårene i bestemmelsen er oppfylt. Hverken jeg eller noen av de 4,5 millionene (?) nordmenn har samtykket til å få publisert fødselsdatoene våre på nett.
Ifølge personopplysningsloven skal “enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar.” Jeg krever derfor svar på følgende spørsmål:
Hvilket hjemmelsgrunnlag har dere for behandling av personopplysninger på det nevnte nettsted?
Hvilke kilder er benyttet for å innhente opplysningene som er publisert på nettstedet?
Hva gjør dere for å sikre at opplysningene som publiseres er korrekte, og hvilke rutiner har dere for at folk kan endre opplysninger?
Blir personopplysninger om meg utlevert til andre?
Er birthday.no en nummeropplysningsvirksomhet?
For de fleste av oss er det jo egentlig en bagatell at fødselsdatoene legges ut på nett. Det ville neppe hatt den store praktiske betydningen. Og det er kanskje uskyldig, isolert sett. Men når man ser på det store bildet, så er det mer skremmende; stadig mer informasjon oss ligger ute på nett, og vi har liten kontroll over den. Jeg mener at det er det må være opp til hver enkelt hva slags personlig informasjon vi ønsker å dele med andre på nettet. Det er stor forskjell på at man velger å legge ut fødselsdatoen, eller annen personlig informasjon selv, enn at det blir gjort at en tredepart.
Jeg ber derfor om at dere fjerner meg fra opplysningstjenesten “Birthday.no”. Tjenester som “Birthday.no” er overtramp mot personvernet, og det bør være ganske åpenbart at folk har fått nok av firmaer som skal tjene penger på unødvendig spredning av personopplysninger. Dessuten er spredning av fødselsdatoer med på å gjøre id-tyveri enklere. Vet man når noen er født, er det forholdsvis enkelt å finne personnummeret deres.
Jeg sto bak protestgruppene mot Iam.no og Eniro, og jeg er innstilt på å gjøre det samme også mot Birthday.no. Jeg forventer et seriøst svar på denne henvendelsen, og minner om at dere har plikt til å gi meg det (etter personopplysningslovens § 18). Eniros kommunikasjonsdirektør Bård Hammervold sa følgende i fjor etter at Eniro hadde fjernet fødselsdatoene: - Jeg bekrefter at vi lytter til folkets dom, at de selv vil bestemme om fødselsdatoen selv. – Vi er ydmyke i forhold til det brukerne ønsker. Det håper jeg at dere også vil være.
Med vennlig hilsen
Christoffer Biong
Christoffer Biong Says:
Og der fikk jeg “copy-paste”-svar fra Birthday.no:
Hei Christoffer – å slette seg selv fra birthday.no går raskt og er enkelt.
1. Skriv inn ditt navn i den røde søkeruten på startsiden og klikk på “søk”.
2. Klikk på ditt navn
3. Skroll lengst ned på siden, klikk på “ta bort” og følg instruksjonene.
Vennlig hilsen
Johan på Support
Jarl W. Alnæs Says:
Profesjonell bekreftelse på at man er slettet….
“•Nå du er fjernet!”
Christoffer Biong Says:
Ja, ikke sant? Og det hjelper svært lite for min demente farfar, eller andre som f. eks. ikke har tilgang til nett.
Jeg har sendt følgende svar:
Hei Johan på support, og takk for raskt svar!
Men dette holder ikke. Du må svare meg på spørsmålene jeg sendte, ikke bare gi meg et “copy-paste”-svar om hvordan jeg kan reservere meg.
I Norge har man lovfestet rett til innsyn i behandlingen av sine egne personopplysninger ihht. Lov om behandling av personopplysninger (personopplysningsloven). Jeg har rett til å få vite hvor dere har personopplysninger om meg fra, hva dere gjør med personopplysninger om meg, og dere er pliktige til å gi innsyn. Den behandlingsansvarlige skal svare på henvendelser om innsyn eller andre rettigheter etter § 18, § 22, § 25, § 26, § 27 og § 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.
Jeg mener at lovligheten ved denne tjenesten bør vurderes. Jeg mener at den er tvilsom fra et personvernhensyn, og jeg vil ha svar på de mer prinsipielle spørsmålene.
Mvh Christoffer Biong
Arnfinn Storsveen Says:
Bra jobba, Christoffer! Si ifra om du trenger mer støtte i saka, så skal jeg gjøre mitt også!
Even Says:
Det er greit å spørre om innsyn mv, men dette er ikke det essensielle. Poenget er jo at de trenger hjemmelsgrunnlag for å behandle personopplysninger i utgangspunktet. Personopplysningslovene er basert på et såkalt “opt in” prinsipp der forhåndssamtykke som hovedregel kreves for enhver behandling av personopplysninger av denne typen (ingen av unntakene vil etter mitt syn få anvendelse). En “opt out” mulighet, der du selv må slette opplysningene slik birthday.no tilbyr, er ikke lovlig uansett hvor enkelt det er å gjøre dette.
Ellers bra jobbet, stå på.
Christoffer Biong Says:
Takker, Even! Jeg skal gjøre det! Jeg er enig med deg. Spørsmålet i dette tilfellet er hvilke rammer som gjelder for nummeropplysning. Nummeropplysning er en legitim virksomhet, som reguleres av Ekomforskriften. Så spørsmålet i dette tilfellet er hvilke opplysninger det er ok å oppgi i forbindelse med dette, og om det er ok å sammenstille disse opplysningene med andre databaser.
Even Says:
Spørsmålet er nok ikke hvilke rammer som gjelder for nummeropplysning, det blir å sammenligne epler og pærer.
For nummeropplysning (men ikke bursdagsopplysning) gjelder som du sier e-kom forskriften, men av forskriftens § 6-2 fremkommer også “Uten forhåndssamtykke fra den registrerte kan opplysningssystem bare benyttes til søk etter informasjon på grunnlag av brukerens navn, adresse, nummer/adresse for tjeneste.” De kan heller ikke oppgi bursdagsdato ved søk på navn etc og som del av en opplysningtjeneste, fordi de ikke har hjemmel til å behandle slik informasjon i utgangspunktet.
Det birthday.no ser ut til å støtte sitt hjemmelsgrunnlag på er unntaket i personopplysninglovens § 8 f) som gir anledning til å droppe samtykke der “den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, OG hensynet til den registrertes personvern ikke overstiger denne interessen.” Birthday.no har imidlertid ingen “berettiget interesse”, og uansett vil denne “berettigelsen” være så svak at den ikke vil kunne veie opp for hensynet til den registrertes personvern.
Det er selvsagt fritt frem for å lage en tjeneste der folk selv kan velge å legge ut sin fødselsdato, ref. Facebook, men å gjøre dette uten samtykke er det ikke anledning til.
Mange vil sikkert også si at det er mer inngripende tjenester som er lovlige, eksempelvis skattelistene, men disse har (foreløpig) hjemmel i lov og dette er likevel ikke noe argument for et frislipp.
Lykke til videre!
Odd Arne Svendsrud Says:
Jeg trodde at det bare var gamle jomfruer som ikke ville at noen skulle kjenne fødselsdagen deres!