1. Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak av 31.03.03. Saken gjelder pålegg om opphør av bruk av fødselsnummer.
2. Saksgang
Datatilsynet mottok flere enkelthenvendelser angående Norsk Rikstotos krav om fødselsnummer for å benytte spilletjenestene på nettstedet rikstoto.no. Datatilsynet henvendte seg til Norske Rikstoto i brev av 02.07.02 hvor selskapet ble bedt om å redegjøre for bruken av fødselsnummer. Norsk Rikstoto svarer i brev av 9.07.02. I brev av 16.09.02 meddeler Datatilsynet at den videre behandling i saken utsettes til vedtak i Personvernnemnda foreligger i tilsvarende sak. Datatilsynet sender varsel om vedtak i brev av 31.10.02. Norsk Rikstoto svarer i brev av 14.12.02 hvor det bes om en bredere redegjørelse.
Datatilsynets fatter vedtak i brev av 31.03.03. I brev av 10.04.03 gis Norsk Rikstoto forlenget klagefrist. Norsk Rikstoto påklager vedtaket i brev av 18.06.03. Personvernnemnda mottok klagesaken 19.08.03. Det er ikke innkommet ytterligere dokumenter i saken.
3. Faktum
Norsk Rikstoto avkrever kundene fødselsnummer for å benytte seg av spilletjenestene på nettstedet www.rikstoto.no, totalisatorspill på nett. I prøveperioden er det kun gitt tillatelse til maksimalt 30.000 spillere. Norsk Rikstoto opplyser at de på klagetidspunktet har over 120.000 registrerte kunder i sitt kunderegister, og at 12.000 av disse har registrert seg for spill via Internett, og som dermed deltar i “Prøveprosjektet for spill via Internett”. Tillatelse til prøveprosjektet ble gitt av Landbruksdepartementet, og var først avgrenset til 01.07.01. Landbruksdepartementet forlenget prøveperioden til 31.12.01, og ga siden i brev av 01.02.02 forlengelse inntil videre. Bakgrunnen for prøveprosjektet var Norsk Rikstotos ønske om å kunne tilby spill via Internett, og Landbruksdepartementets ønske om å sanke erfaringer vedrørende spill på hest via Internett og andre elektroniske medier, for senere å kunne utarbeide et permanent regelverk. I påvente av utarbeidelse av et slikt regelverk og koordinasjon med tilsvarende regelverk for andre spill, forlenget Landbruksdepartementet prøveperioden inntil videre. Datatilsynet ble ikke gjort kjent med at prøveperioden ble forlenget. Datatilsynet utvidet gjeldende konsesjon til også å omfatte registrering av fødselsnummer for kunder i prøveprosjektet i brev av 05.12.00, hvor det også gis uttalelser på en del forhold i forbindelse med prøveprosjektet. Norsk Rikstoto opplyser å ha brukt 20 millioner kroner på utviklingen av Internettjenesten.
Den som ønsker å spille på nettstedet www.rikstoto.no må oppgi navn, adresse, e-post adresse, telefon, bankkontonummer og fødselsnummer. Av registreringsskjemaet under kolonnen fødselsnummer angis det: “Det er kun av sikkerhetsmessige grunner til at vi ber deg om å oppgi fødselsnummer”. Spillerne som deltar må være over 18 år, norsk statsborger bosatt i Norge og ha konto i norsk bank. Norsk Rikstoto kontrollerer at fødselsnummeret som oppgis er gyldig, og at spilleren er over 18 år. Det er ikke opplyst om Norsk Rikstoto foretar kontroll av identitet opp mot oppgitte opplysninger som for eksempel bankkontonummer. Spillerne må ved registrering legge inn et spørsmål med svar som skal brukes til autentisering ved eventuelle senere endringer. Når spilleren er registrert blir det opprettet en NR-konto for den enkelte spiller.
4. Anførslene
Norsk Rikstoto anfører at vilkårene for å benytte fødselsnummer som identifikator er oppfylt, fordi bruk av fødselsnummer er en viktig nøkkel for å kunne identifisere kunder, samt å vedlikeholde kunderegisteret, og at fødselsnummer er den eneste sikre identifikator av kunder. Ved å registrere fødselsnummer vil spilleren kun får ett registrert kundeforhold hos Norsk Rikstoto. Videre begrunnes behovet for bruk av fødselsnummer med at tvil om eierskap til pengepremier elimineres, og at samarbeidet med Økokrim i “hvitvaskingssamarbeidet” kan gjennomføres. På generelt grunnlag anføres det at bruk av fødselsnummer medfører en sikkerhet for kunden.
Norsk Rikstoto anfører videre at Datatilsynet i brev av 05.12.00 allerede har godkjent ordningen, også sett i lys av den nye personopplysingsloven.
5. Datatilsynets vurdering
Datatilsynet mener at vilkårene i personopplysningsloven § 12 ikke er oppfylt.
Datatilsynet bestrider ikke at det foreligger et saklig behov for sikker identifisering. Datatilsynet er imidlertid av den oppfatning at identifiseringen kan oppnås tilfredsstillende ved bruk av navn, fødselsdato, et konstruert konto- eller kundenummer (eller en kombinasjon av overnevnte), og at bruken derfor ikke er nødvendig.
Datatilsynet mener at Norsk Rikstotos bruk av fødselsnummer er begrunnet i behovet for legitimasjon, og bemerker at fødselsnummer alene ikke er å anse som gyldig legitimasjon, og at legitimeringen derfor uansett må skje på andre måter enn ved at spilleren oppgir fødselsnummer. Det foreligger derfor ingen grunn til at selskapet ikke skal kunne benytte annen identifikasjon enn fødselsnummer.
Datatilsynet viser til Personvernnemndas avgjørelse av 17.10.02, sak 07/2002, hvor bruken av fødselsnummer var nær identisk som Norsk Rikstotos bruk. Nemnda konkluderte med at bruken ikke var hjemlet i personopplysningslovens § 12.
Det avvises at Datatilsynet i brev av 05.12.00 har godkjent Norsk Rikstotos bruk av fødselsnummer. Dette begrunnes i at personopplysningsloven ikke var trådt i kraft, og at Datatilsynet ikke kan forventes å ha oversikt over hvordan de enkelte bestemmelsene ville slå ut i praksis og hvordan rettstilstanden ville endre seg over tid. Videre at uttalelsene var gitt under forutsetning av at det var et prøveprosjekt av meget kort varighet, og at tillatelsen var vurdert og gitt med grunnlag i personregisterloven. Dessuten at det i brevet ikke var foretatt en vurdering av lovligheten av bruk av fødselsnummer, men at Datatilsynet ønsket å gi generell veiledning i hvordan forholdene ville komme til å bli vurdert i forhold til personopplysingsloven.
6. Personvernnemndas vurderinger
Bruk av fødselsnummer må enten hjemles i konsesjon, personopplysningsloven § 12 eller annen lov. Norsk Rikstoto har ikke konsesjon for bruk av fødselsnummer, det finnes ikke hjemmel for bruken av fødselsnummer i annen lov, personopplysningsloven § 12 kommer derfor til anvendelse.
Etter personopplysningsloven § 12 første ledd kan fødselsnummer nyttes når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.
Personvernnemnda slutter seg til Datatilsynets vurdering om at det foreligger et saklig behov for sikker identifisering, og drøfter derfor ikke dette vilkåret nærmere.
Nødvendighetskravet anses bare oppfylt dersom andre mindre sikre identifikasjonsmidler som for eksempel navn, adresse, og kundenummer ikke er tilstrekkelig, jf forarbeidene Ot prp nr 92, (1998-99) side 114. For klager vil navn, fødselsdato, adresse og kundenummer etter Personvernnemndas oppfatning gi en like god identifikasjon som bruk av fødselsnummer slik dette brukes i dag. Klager sjekker at det oppgitte fødselsnummer er et gyldig fødselsnummer og at spilleren er over 18 år. Denne metoden innebærer at det er fullt mulig for en person å opprette flere spillekonti hvis det oppgis gyldige fødselsnummer. Selv om fødselsnummeret blir kontrollert mot oppgitt navn og adresse eller eier av bankkontonummer, vil det ikke verifisere at vedkommende faktisk er den han eller hun utgir seg for å være. Dette fordi metoden ikke innehar noe element av legitimasjon.
Når det gjelder klagers anførsel om at Datatilsynet har godkjent bruken av fødselsnummer i brev av 05.12.00, viser Nemnda til Datatilsynets argumentasjon og slutter seg til denne. Personvernnemnda viser for øvrig til Personvernnemndas vedtak i klagesak 07/2002.
Personvernnemnda har etter dette kommet til at klager ikke oppfyller vilkårene for bruk av fødselsnummer i personopplysningsloven § 12.
7. Vedtak
Personvernnemnda har etter dette fattet slikt vedtak:
“Klagen tas ikke til følge”
For Personvernnemnda
Jon Bing
Leder