Denne veilederen er laget for offentlige myndigheter og andre som ønsker tilgang til flere opplysninger enn de som finnes i oppslagstjenesten.
I veilederen finner du informasjon om rammene som vi i Norid må forholde oss til når vi vurderer om vi kan utlevere opplysninger om kundene våre.
Om oppslagstjenesten vår
Norid fører et register over hvem som har bruksrett til norske domenenavn, det vil si domenenavn som slutter på «.no». Både organisasjoner og privatpersoner får bruksrett til et domenenavn ved at vi tildeler dem et abonnement på domenenavnet.
Vi utleverer en rekke opplysninger om abonnenter på norske domenenavn gjennom oppslagstjenesten vår. Tjenesten har egne vilkår, og du kan lese om hvilke opplysninger som vises i tjenesten i artikkelen "Oppslagstjeneste for norske domenenavn". Norids grunnlag for behandling av kundeopplysninger kan du lese om i artikkelen "Norids behandling av kundedata".
Hva må til for at du skal kunne få mer enn oppslagstjenesten gir?
Det skal mye til for å få flere opplysninger enn de vi gir ut gjennom oppslagstjenesten vår. Det norske toppdomenet skal være et naturlig førstevalg i Norge. Da er det et viktig prinsipp at vi behandler opplysningene som abonnentene oppgir til oss på en måte som er innenfor det de rimelig kan forvente.
Hvis vi deler kundeopplysninger med andre, kan det skade abonnentenes, domeneforhandlernes eller Norids konkurranseposisjon. For eksempel kan opplysningene
- eksponere abonnentenes forretningsstrategier
- gjøre det mulig å kartlegge kundeporteføljene til domeneforhandlerne
- misbrukes til spam, phishing og andre typer ulovlige eller uønskede handlinger
Samtidig har allmennheten et behov for å kunne finne ut hvem som er ansvarlig for et domenenavn, og kontakte vedkommende. Oppslagstjenesten vår er laget for å dekke dette behovet, etter en avveining mot abonnentenes interesser. Tjenesten er laget i tråd med veiledning vi har fått fra Datatilsynet1.
For at vi skal kunne levere ut kundeopplysninger utover det oppslagstjenesten gir, eller på andre vilkår, må du både oppfylle kravene i norsk personvernlovgivning, herunder GDPR, og utleveringen må ikke være i strid med avtalen Norid har med abonnentene. Dette gjelder også hvis det du ønsker, er en sammenstilling av opplysninger som er tilgjengelig som enkeltoppslag i oppslagstjenesten.
1. Du må oppfylle kravene i personvernregelverket, herunder GDPR
Informasjonen Norid har om abonnenter og domenenavnene deres, er personopplysninger for oss. Det betyr at vi må ha et lovlig behandlingsgrunnlag etter GDPR for å kunne utlevere opplysningene. Det gjelder uavhengig av om opplysningene er personopplysninger for deg, om du selv er underlagt personvernregelverket, eller om du har et lovlig behandlingsgrunnlag for din viderebehandling av opplysningene.
Det er i utgangspunktet seks ulike grunnlag vi kan bruke for å få lov til å utlevere personopplysninger2. Du må vise til minst én av disse når du ber om kundeopplysninger fra oss. De mest aktuelle grunnlagene er disse tre:
- en hjemmel eller annet lovgrunnlag som utløser en rettslig forpliktelse for oss
- en berettiget interesse av opplysningene
- samtykke fra den personen opplysningene gjelder
Mer om hvorfor domenenavn og andre kundedata er personopplysninger for Norid
En personopplysning er «enhver opplysning om en identifisert eller identifiserbar fysisk person»3. Det er ikke nødvendig at opplysningene i seg selv identifiserer en person, så lenge de kan kobles til annen informasjon som identifiserer personen.
Gjeldende rettspraksis i EU4 tilsier at alle som behandler opplysninger må vurdere om opplysningene er personopplysningerfor dem, det vil si om de selv har muligheten til å koble opplysningene til en identifiserbar fysisk person. I Breyer-avgjørelsen tolker domstolen personvernregelverket dithen at dynamiske IP-adresser er personopplysninger for en tilbyder dersom de lovlig kan koble adressene til andre data om personen bak IP-adressen.
49. Having regard to all the foregoing considerations, the answer to the first question is that Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.
EU-domstolens Breyer-avgjørelse (C-582/14)
(Vår understreking)
For Norid gjelder dette alle domenenavn og mye av våre øvrige kundedata. Domeneabonnentene er enten privatpersoner, identifisert for oss gjennom navn og fødselsnummer, eller organisasjoner (virksomheter, offentlige organ og andre organisasjoner) der vi har krevd å få navnet på en kontaktperson i tillegg til organisasjonens navn og organisasjonsnummer.
Selv om en opplysning er en personopplysning for Norid, fordi vi kan koble den til en identifiserbar fysisk person, er den ikke automatisk en personopplysning for den som mottar den. For eksempel vil opplysningen om at domenenavnet altinn.no er registrert av Digitaliseringsdirektoratet ikke være en personopplysning for de aller fleste. For Norid, som vet hvilken kontaktperson som direktoratet har oppgitt for abonnementet på dette domenenavnet, gjør imidlertid denne koblingen altinn.no til en personopplysning for oss.
Har du et rettslig grunnlag som gir oss plikt til å utlevere?
Norid kan utlevere opplysninger dersom det er nødvendig for å oppfylle en rettslig forpliktelse som vi er underlagt. Det er viktig å merke seg at det ikke er tilstrekkelig at du har rett til å samle inn opplysninger. For at vi skal kunne utlevere, må det rettslige grunnlaget du viser til, medføre at vi har en rettslig plikt til å utlevere opplysningene til deg.
Hvis du er en offentlig myndighet, vil det som regel kreves at du kan vise til en hjemmel som både
- gir myndigheten rett til å samle inn opplysningene, og
- gir Norid en plikt til å utlevere opplysningene til den aktuelle myndigheten
Noen eksempler på hjemler som kan være aktuelle for ulike myndigheter
- Politi og påtalemyndighet: En formell beslutning om beslag eller utleveringspålegg etter straffeprosessloven kan utformes slik at det gir politi eller påtalemyndighet rett til å samle inn opplysninger, og pålegger en tredjepart en plikt til å bistå ved utlevering av slike opplysninger dersom det er behov for det. De aktuelle bestemmelsene i straffeprosessloven er kapittel 16, særlig § 203, § 210 og § 215 a.
- Skattemyndigheten: Skatteforvaltningsloven § 10-2 (1) slår fast at enhver tredjepart etter krav fra skattemyndighetene plikter å gi opplysninger som kan ha betydning for noens skatteplikt. Skattemyndighetene kan kreve at tredjeparter dokumenterer opplysningene ved for eksempel å gi innsyn i, legge fram, sammenstille, utlevere eller sende inn regnskapsmateriale med bilag, kontrakter, korrespondanse, styreprotokoller, elektroniske programmer og programsystemer. Se § 10-2 (5).
- Forbrukertilsynet: Markedsføringsloven § 34 slår fast at enhver plikter å gi Forbrukertilsynet de opplysningene tilsynet krever for å kunne utføre sine gjøremål etter loven.
- Lotteritilsynet: Lotteriloven § 16 a første ledd slår fast at enhver plikter å gi Lotteritilsynet de opplysningene som er nødvendige for at tilsynet skal kunne vurdere om en virksomhet er en ulovlig pyramideordning etter § 16 i loven.
- Datatilsynet: Datatilsynet er gjennom artikkel 58 nr. 1 bokstav a) i GDPR gitt undersøkelsesmyndighet til å pålegge en behandlingsansvarlig, databehandleren og, dersom det er relevant, disses representant å framlegge all informasjon tilsynet trenger for å kunne utføre sine oppgaver. Videre er Datatilsynet gjennom artikkel 58 nr. 1 bokstav e) gitt myndighet til å få tilgang fra den behandlingsansvarlige og databehandleren til alle personopplysninger og all informasjon som er nødvendig for å kunne utføre oppgavene Datatilsynet er gitt.
Alternativt kan det rettslige grunnlaget være en rettslig kjennelse eller pålegg. For eksempel kan politiet og påtalemyndigheten fatte beslutninger om beslag og utleveringspålegg etter straffeprosessloven, som gir dem rett til å samle inn konkrete opplysninger, og som pålegger Norid en plikt til å bistå ved utlevering av slike opplysninger. I privatrettslige konflikter som behandles etter tvisteloven, kan bevisplikten etter tvisteloven § 21-5 gi grunnlag for rettslige pålegg om utlevering av opplysninger fra Norid til partene i konflikten.
Har du en berettiget interesse som veier tyngre enn hensynet til abonnentens personvern?
Hvis du ikke har en hjemmel eller annet rettslig grunnlag som utløser en utleveringsplikt for oss, kan en interesseavveining være et alternativt behandlingsgrunnlag. Du må kunne vise at du trenger tilgang til de aktuelle opplysningene for å kunne ivareta en berettiget interesse. I tillegg må du forklare hvorfor du mener at denne interessen veier tyngre enn personvernet til personene du ber om opplysningene til.
Merk at offentlige myndigheter ikke kan bruke dette grunnlaget for å behandle personopplysninger som et ledd i utførelsen av sine oppgaver som myndighet5. Det er lovgivers ansvar å sørge for at myndigheter har tilstrekkelig rettsgrunnlag for denne typen behandlinger, gjennom å gi myndigheten nødvendige hjemler.
Har du samtykke fra personen det gjelder?
Hvis du trenger opplysninger om et enkelt domenenavn eller en enkelt abonnent, så kan personen som opplysningene gjelder, samtykke til at Norid utleverer opplysningene til deg.
Samtykke er imidlertid et krevende grunnlag å bruke. Det er strenge krav til at det skal være frivillig, spesifikt, informert og dokumenterbart, og at det skal kunne trekkes tilbake når som helst. I enkelte tilfeller kan samtykke likevel være et aktuelt grunnlag, og vi vil måtte vurdere dette konkret i hver enkelt sak.
2. Du må også oppfylle kravene i abonnementsavtalen vår
Alle som har et norsk domenenavn, har inngått en abonnementsavtale med Norid som beskriver rettsforholdet mellom oss og dem. Avtalen er en del av regelverket for norske domenenavn, og vi kan ikke utlevere opplysninger i strid med den. Dette gjelder selv om utleveringen er i tråd med personvernregelverket slik vi beskriver over.
Abonnementsavtalen gir Norid rett til å behandle opplysninger om abonnentene og domenenavnene deres, slik at vi kan oppfylle avtalen og ivareta vårt samfunnsoppdrag6. Oppslagstjenesten vi tilbyr, er begrunnet i oppdraget vi har om å forvalte det norske toppdomenet på en måte som bidrar til robust drift av internett som infrastruktur. Tjenesten er eksplisitt forankret i abonnementsavtalen7. Ut over opplysningene vi tilbyr gjennom oppslagstjenesten, gir avtalen oss begrenset rett til å utlevere opplysninger om abonnentene.
For at en utlevering ikke skal være i strid med abonnementsavtalen må du enten
- ha et rettslig grunnlag som pålegger oss en plikt til å utlevere opplysningene, eller
- ha samtykke fra den abonnenten det gjelder, eller
- skulle bruke opplysningene på en måte som vi anser som innenfor de formålene vi har for vår behandling av opplysningene, eller på annen måte er klart innenfor kravene i avtalen
Abonnementsavtalen setter regler for Norids bruk av registrert informasjon
16.1 Norid samler inn og behandler opplysninger om domeneabonnementene, for å kunne
- sørge for at privatpersoner og organisasjoner kan abonnere på norske domenenavn, og vedlikeholde og overføre abonnementet innenfor rammene av gjeldende regelverk
- forvalte det norske toppdomenet på en måte som bidrar til robust drift av internett som infrastruktur
16.2 Norid driver en oppslagstjeneste der publikum kan slå opp et domene og få informasjon om abonnementet, abonnenten, teknisk kontakt og teknisk oppsett, samt hvem som er domeneforhandler. Tjenesten gir ut ulik mengde informasjon om abonnenten avhengig av om dette er en organisasjon, et enkeltpersonforetak eller en privatperson.
Formålet med tjenesten er å
- bidra til at tekniske problemer, der enkeltdomener skader funksjonalitet, sikkerhet eller stabilitet til andre domener eller internett som infrastruktur, kan løses
- gi publikum mulighet til å kontakte den som abonnerer på domenenavnet
16.3 Historisk informasjon om abonnementene lagres for forskning og statistisk analyse. Slik informasjon gjøres ikke tilgjengelig for andre enn den som var abonnent da opplysningene var aktuelle, eller ved samtykke fra denne abonnenten, med mindre annet følger av lov eller rettslig beslutning.
16.4 Deler av informasjonen Norid behandler, er opplysninger som kan knyttes til enkeltpersoner, og som regnes som personopplysninger. Dette er nærmere beskrevet i Norids dokumenter om personvern.
Regelverk for norske domenenavn, punkt 16
3. Du må forklare hvem du er, og hvilket formål du vil bruke opplysningene til
Når du henvender deg til oss for å be om å få utlevert opplysninger om våre kunder, må du opplyse om
- hvem du er, og hvilket land du holder til i
- hvilke opplysninger du har behov for
- hva du ønsker å bruke opplysningene til
- hvilket grunnlag i personvernregelverket du mener vi har for utlevering av personopplysninger
- hvordan du mener at utleveringen du ber om, er i samsvar med vår avtale med abonnentene
Hvis du mener at det du ønsker å gjøre med opplysningene (formålet ditt), er dekket av eller følger naturlig av det formålet Norid har oppgitt til abonnentene i avtalen vår med dem, er det viktig at du begrunner dette.
Formålet med Norids behandling av kundedata
Norid samler inn og behandler opplysninger om domeneabonnementer for å kunne:
- sørge for at privatpersoner og organisasjoner kan abonnere på norske domenenavn, vedlikeholde abonnementet, og overføre domenenavnet innenfor rammene av gjeldende regelverk for .no
- forvalte det norske toppdomenet på en måte som bidrar til robust drift av internett som infrastruktur
Henvendelsen sendes på e-post til info@norid.no.
Videre prosess: Norid vurderer den konkrete saken
Når vi har fått henvendelsen din, må vi vurdere grunnlaget og avgjøre om vi kan utlevere opplysningene du ber om.
Hvis det du har bedt om, er personopplysninger for oss, må vi vurdere om du har et lovlig grunnlag for å samle inn opplysningene, om vi har et lovlig grunnlag for utleveringen, og om formålet med utleveringen er forenlig med det formålet opplysningene ble hentet inn for. Hvis utleveringen er uforenlig med de opprinnelige formålene vi oppga til abonnentene når vi samlet inn opplysningene, kreves det i tillegg et viderebehandlingsgrunnlag for at utleveringen skal være lovlig8.
I tillegg må vi vurdere om utleveringen er i samsvar eller strid med abonnementsavtalen. Som følge av avtalen og det øvrige regelverket for norske domenenavn er Norids praksis at vi i alminnelighet ikke utleverer mer kundeopplysninger enn det oppslagstjenesten gir, med mindre vi er rettslig forpliktet til å utlevere opplysningene eller utleveringen fremmer formålene vi har med behandling av opplysningene.
Kilder
- 1. Norid diskuterte utformingen av tjenesten med Datatilsynet i 2018, jf. Datatilsynets ref Case no. 2017/2060.
- 2. jf. GDPR artikkel 6 nr. 1
- 3. jf. GDPR artikkel 4 nr. 1
- 4. Breyer-avgjørelsen C-582/14
-
5.
jf. GDPR artikkel 6 nr. 1 annet punktum og fortalepunkt 47.
Se også Datatilsynets veiledning om utlevering av personopplysninger til myndigheter: https://www.datatilsynet.no/regelverk-og-verktoy/sporsmal-svar/Utlevering-av-personopplysninger/ - 6. Se punkt 16 i abonnementsavtalen: https://www.norid.no/no/om-domenenavn/regelverk-for-no/#16.-Norids-bruk-av-registrert-informasjon og egenerklæringen som alle abonnenter må avgi, jf. domeneforskriftens § 4
- 7. Punkt 16.2 i abonnementsavtalen, samt det overordnede formålet for Norids behandling av opplysninger i 16.1
- 8. jf. GDPR artikkel 6 nr. 4.