PVN ref. klagesak 2004/06 DT-ref. 2004/565 CWI/-

KLAGESAK 2004/07:
Klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysninger om tidligere kunder.

Personvernnemndas avgjørelse av 08.03.05 (Jon Bing, Gro Hillestad Thune, Per Anders Stalheim, Hanne Bjurstrøm, Dag Elgesem, Siv Bergit Pedersen, Sidsel Rogde).

1. Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak av 07.09.04. Saken gjelder klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysninger om tidligere kunder.


2. Saksgang

Datatilsynet varslet i brev til Telenor av 29.03.04 at det ville bli foretatt tilsyn med hvordan Telenor Mobil AS behandler personopplysninger om eksisterende og tidligere kunder. Tilsynet ble gjennomført den 13.05.04. Kontrollrapport og varsel om pålegg ble oversendt til Telenor i brev av 09.08.04. Datatilsynet varslet om at det ville bli fattet vedtak om at Telenor må slette personopplysninger om tidligere kunder. Telenor oversendte i brev av 23.08.04 kommentarer til kontrollrapporten og det varslede pålegg. Vedtak om at Telenor må slette personopplysinger om tidligere kunder ble deretter fattet den 07.09.04. Telenor påklaget vedtaket i brev av 24.09.04. Vedtaket ble i brev fra Datatilsynet av 29.09.04 gitt utsatt iverksetting i påvente av endelig klagesaksavgjørelse, jf forvaltningsloven § 42.

Datatilsynet oversendte saken til Personvernnemnda den 18.10.04. Personvernnemnda mottok i brev av 26.10.04 klagers kommentarer til Datatilsynets oversendelsesbrev.


3. Faktum

Telenor Mobil AS lagrer personopplysninger om kunder som har avsluttet sitt kundeforhold ved oppsigelse. Personopplysningene omfatter kundens navn, adresse, fødselsdato, tidligere telefonnummer og benyttede tjenester. Telenor erfarer at mange kunder gjenopptar sitt kundeforhold en tid etter oppsigelse. Formålet med lagringen er at opplysningene skal ligge klare til bruk i tilfelle kundeforholdet blir gjenopprettet. Opplysningene brukes ikke til direkte markedsføring, "win-back" eller lignende.

Bransjen opererer ofte med en bindingstid fra 1-2 år, og det vil følgelig ta noen måneder før kunden eventuelt vender tilbake til Telenor. Lagringsperioden hvor den enkelte ikke er kunde vil derfor være 1 til 2 år, og noen ganger lengre. Dette er normal prosedyre hos Telenor Mobil.


4. Anførslene

Telenor anfører at lagring av personopplysninger om tidligere kunder ikke strider mot bestemmelsene om behandling av personopplysninger. Ifølge Telenor er det lite praktisk å innhente samtykke fra denne kundekategorien. Telenor mener imidlertid at virksomheten har en berettiget interesse i å beholde personopplysnigene uten samtykke fra kunden, og at vilkåret i personopplysningsloven § 8 litra f dermed er oppfylt.

Telenor anfører at omtrent 60 prosent av mer enn 300 000 nye kundeforhold Telenor Mobil etablerer hvert år, har hatt et tidligere kundeforhold til Telenor Mobil. Telenor anfører at kunder som vender tilbake, forventer at Telenor innehar sentrale opplysninger, slik at avtaleforholdet raskt og effektivt kan reetableres.

Ifølge Telenor vil den tilbakevendende kunde spare tid dersom sentrale nøkkeldata allerede er lagret og klar til bruk. Telenor anfører at ved slik lagring får virksomheten møtt kunden på en imøtekommende, effektiv og profesjonell måte. Mange kunder har tidligere hatt et langt kundeforhold til Telenor. Det å vise kunden at han eller hun ikke er helt ukjent for Telenor-systemet, er ifølge Telenor god kundeservice.

Det er en stor grad av leverandørskifte i telemarkedet, konkurransen er meget skarp og Telenor mener at flere aktører gjennomfører et til dels agressivt salg overfor potensielle nye kunder. Ifølge Telenor er det dermed vanlig at mange kunder ofte skifter teleoperatør. Telenor anfører at formålet med virksomhetens registrering av tidligere kunder, er at kunden skal kunne inngå avtale med andre leverandører uten å risikere å nullstille sitt forhold til Telenor.

Telenor anfører at i henhold til bestemmelsen i personopplysningsloven § 8 litra f, skal det foretas en interesseavveining mellom Telenors berettigende interesse i å oppbevare opplysningene, og hensynet til kundenes personvern. For å etablere et lovlig behandlingsgrunnlag, er det ifølge Telenor tilstrekkelig at personverninteressen ikke overstiger Telenors interesse. Loven krever altså ikke noen interesseovervekt for Telenors interesse. Det er følgelig tilstrekkelig med 50/50.

Det fremgår av Datatilsynets vurdering at tilsynet mener at hensynet til personvernet må tillegges betydelig vekt i avveiningen mot kommersielle interesser. Telenor anfører at denne interesseavveiningen tvert imot faller ut i Telenors favør, jf anførslene over. I tillegg vektlegger Telenor en interesseavveining mellom virksomhetens berettigende interesse i å beholde opplysningene, og eventuelle motforestillinger hos kunden.

Telenor anfører at det ikke foreligger saklig grunnlag for at de kunder som ikke vender tilbake, skulle motsette seg slik lagring. Formålet er kun effektiv administrasjon og god kundeservice ved en eventuell tilbakevendelse. Telenor mener at de fleste er vant til, og komfortable med at slike opplysinger er lagret, i både offentlige organers, foreningers og i kommersielle virksomheters registre. Telenor mener altså at Telenors interesse i å beholde personopplysningene veier tyngre enn eventuelle motforestillinger hos tidligere kunder.

Telenor anfører videre at virksomheten har en solid tradisjon for å være underlagt og å respektere lovbestemt taushetsplikt. Kundens reservasjonsrett mot slik lagring vil også inngå i kundens abonnementsvilkår og annen relevant markedsmateriell.

Det fremgår av Datatilsynets anførsler at konsesjonsbetingelser om sletting av personopplysninger etter endt avtaleforhold, er i tråd med langvarig praksis i forhold til næringslivet for øvrig. Telenor er ikke kjent med denne praksis, og anfører at det tvert imot er meget vanlig at bedrifter i sine kundelister også inkluderer tidligere kunder.

Telenor anfører at EU har foreslått et rammedirektiv som pålegger lagring av trafikkdata i inntil 3 år, og at dette forslaget taler for at Datatilsynets vedtak om sletting av de aktuelle personopplysningene er uhensiktsmessig. Dette blir imidlertid avvist av Datatilsynet, blant annet fordi direktivet ennå ikke vedtatt og implementert. Datatilsynet viser i denne sammenheng også til personopplysningsloven § 11 litra c.

Telenor mener forøvrig at varselet om pålegg ikke tilfredsstilte forvaltningslovens krav til forhåndsvarsling, jf § 16, og at dette har hatt innvirkning på det senere vedtakets innhold, jf forvaltningslovens § 41. Datatilsynet avviser dette med henvisning til kontrollrapportens punkt 4.2, og Telenors kommentarer til rapporten. Datatilsynet anfører at det i kommentarene fra Telenor tydelig fremgår at Telenor forstod hvilke personopplysninger saken dreide seg om.

I tillegg er Telenor i tvil om personopplysningsloven § 33, 2.ledd hjemler konsesjonsplikt for behandling av de aktuelle kundeopplysninger. Datatilsynet tolker bestemmelsen dit hen at denne bestemmelsen gir Datatilsynet kompetanse til i enkelttilfeller å pålegge konsesjonsplikt, og at bestemmelsen følgelig ikke er relevant i denne sammenheng. Datatilsynet anfører at konsesjonsplikten for telesektoren er hjemlet i personopplysningsforskriften § 7-1 som er gitt med hjemmel i personopplysningsloven § 31, 4.ledd.

Telenor anfører subsidiært at konsesjonen gitt av Datatilsynet vedrørende Telenors behandling av personopplysninger ikke regulerer behandlingen av de aktuelle personopplysingene. Det fremgår av Datatilsynets anførsler at konsesjonen i punkt 2, 4 og 8 gir klare regler om hvordan Telenor skal behandle personopplysninger.


5. Datatilsynets vurdering

Datatilsynet mener at lagring av personopplysninger om tidligere kunder innebærer en krenking av personvernet. Tilsynet anfører at personopplysningsloven § 8 litra f, ikke gir hjemmel for slik lagring. Datatilsynet mener at det må innhentes samtykke for at kundeinformasjon fortsatt skal kunne lagres. Uten slikt samtykke skal informasjon slettes i henhold til denne bestemmelsen. Tilsynet er av den oppfatning at det ikke kan anses uforholdsmessig tyngende å innhente samtykke til den aktuelle lagringen.

Tilsynet anfører at personverninteressen til de kunder som sier opp avtaleforholdet veier tyngre enn virksomhetens interesse i fortsatt lagring. Datatilsynet finner støtte for dette i Ot. prp. nr. 92 (1998-99) side 109, der det fremgår at hensynet til personvernet må tillegges betydelig vekt i avveiningen mot kommersielle interesser. Datatilsynet mener også at sletting av personopplysninger er i tråd med tilsynets langvarig praksis i forhold til næringslivet for øvrig.

Datatilsynet anfører at det ikke kan anses uforholdsmessig tyngende at Telenor må registrere personopplysnigene på nytt i de tilfellene der kunden gjenopptar avtaleforholdet. I mobiltelefonimarkedet opereres det med bindingstid på 1-2 år. Datatilsynet mener at 1-2 år er relativt lenge å oppbevare personopplysninger som ikke relevante for formålet til behandlingen (her: gjennomføring og fakturering av tjenesten). Tilsynet anfører at kunden bør kunne forvente at opplysningene slettes når kundeforholdet opphører.

I henhold til Telenors subsidiære anførsler om at konsesjonen ikke regulerer behandling av personopplysningene, viser Datatilsynet til punkt 2, der det fremgår at Telenor bare kan behandle opplysninger som er nødvendige for gjennomføring og fakturering av tjenesten. Datatilsynet refererer også til punkt 4, der formålet med behandlingen avgrenses ytteligere til å bare gjelde i "... forbindelse med abonnentens bruk av teletjenester i telenett", og videre til punkt 8, om at opplysningene skal slettes eller anonymiseres når de ikke lenger har betydning for formålet (her: gjennomføring og fakturering av tjenesten). Datatilsynet har altså slått fast at hovedregelen er at personopplysninger skal slettes så snart det ikke lenger er aktivt behov for informasjonen.


6. Personvernnemndas vurderinger

Grunnvilkårene for behandling av personopplysninger følger av personopplysningsloven § 11. Et av vilkårene er at behandlingen er tillatt etter personopplysningsloven §§ 8 og 9, jf § 11, 1.ledd litra a. Hvis det ikke er sensitive personopplysninger som behandles, er det personopplysningsloven § 8 som gjelder. Etter personopplysningsloven § 8 litra f kan personopplysninger behandles når det er nødvendig for at den behandlingsansvarlige kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

Telenor Mobil trekker i sine anførsler frem arbeidet med et rammedirektiv om lagring av trafikkdata innen EU, og forslag i NOU 2004:6 Mellom effektivitet og personvern. Imidlertid er "trafikkdata" i utredningen gitt en definisjon som ikke svarer til de kundedata som her ønskes lagret, og Personvernnemnda har vanskelig for å se at de anførte kilder inneholder argumenter av betydning for vurderingen i denne saken.

Personvernnemnda anser at Telenor Mobil har en berettiget interesse i å behandle personopplysningene ved at Telenor Mobil da vil være rede til å yte gamle kunder en noe bedre service i forbindelse med sin virksomhet. Etter nemndas oppfatning er Telenor Mobils interesse ikke nødvendigvis i strid med den enkeltes interesse qua forbruker. Det kan være praktisk og være forventet av en tidligere kunde at Telenor Mobil for eksempel vet hvilken type abonnement man hadde tidligere.

Det er blitt opplyst at mange bytter teleoperatør flere ganger. Nemnda ser at det da kan være en fordel for den enkelte kunde at leverandøren kan opplyse om tidligere benyttede tjenester, og slik gjøre det noe enklere for den enkelte å bytte tilbake til Telenor Mobil. Opplysningene som blir lagret er ikke av sensitiv karakter. Personvernnemnda legger til grunn anførslene fra Telenor Mobil om at opplysningene bare brukes til slike formål som er nevnt ovenfor, og ikke f eks for å rette markedsføringstiltak til disse personene.

Personvernnemnda kan på dette grunnlag ikke se at lagringen av personopplysningene utgjør noen vesentlig svekkelse av de registrertes personvern. Personvernnemnda slutter seg til Datatilsynets syn, under henvisning til personopplysningslovens forarbeider, om at personvernet skal veie tungt i forhold til kommersielle interesser. Personvernnemnda finner likevel i dette tilfelle ikke tilstrekkelig sterke personvernhensyn for å nekte den behandling Telenor Mobil ønsker. Den behandlingsansvarliges interesse er ikke utpreget kommersiell, men mer knyttet til å gjøre det lettere for tidligere kunder å gjenopprette et avtaleforhold med selskapet.

Etter denne interesseavveining er Personvernnemnda kommet til at Telenor Mobil kan lagre personopplysningene med hjemmel i personopplysningslovens § 8 litra f. Nemnda henviser for øvrig til bestemmelsen i personopplysningsloven § 28 om at personopplysninger ikke skal lagres lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen.


7. Vedtak

Personvernnemnda har etter dette fattet slikt vedtak:
Klagen tas til følge.

For Personvernnemnda

Jon Bing
Leder