Bruk av informasjon lagret i Norids kundedatabase

Registrering og behandling av data reiser spørsmål om riktig håndtering av opplysningene som er registrert. Dette notatet redegjør for Norids innsamling, lagring, behandling og offentliggjøring av organisasjons- og personopplysninger og annen informasjon i Norids kundedatabase. Det redegjøres også for hvilke regler og begrensninger som gjelder for andres bruk av informasjonen som er lagret i databasen.

1. Hvilken informasjon lagres i kundedatabasen?

Norid har behov for å samle en rekke data om domeneabonnentene i en felles kundedatabase. Databasen bygger på de opplysninger søkere om domenenavn oppgir ved innsending av Norids søknadsskjema, jf regelverket for .no-domenet pkt. 7.2. Databasen bygges kontinuerlig opp, ved at det legges inn opplysninger etter hvert som domenenavn registreres eller registrert informasjon endres.

I kundedatabasen lagres blant annet informasjon om:

• Organisasjoner (organisasjonsnummer, navn, adresse, e-post, faks- og telefonnummer)
• Kontaktpersoner (navn, adresse, e-post, faks- og telefonnummer, pgp-nøkkel)
• Roller (rollenavn, adresse, e-post, faks- og telefonnummer, pgp-nøkkel, kontaktpersoner)

Denne informasjonen knyttes til henholdvis registrarer og domenenavn.

I tillegg lagres informasjon om:

• Registrarer (organisasjon, kontaktpersoner/kontaktroller for registraren, registrarens pgp-nøkkel, registrarens status)
• Domenenavn (abonnentorganisasjon, kontaktpersoner/kontaktroller for domenet, navnetjenere for domenet, registreringstidspunkt, tidspunkt for siste endring av domenet, status for domenet)

2. Hva er kundedatabasen til for og hva er WHOIS-tjenesten?

2.1. For Norid

2.2. For andre - WHOIS-tjenesten

For å imøtekomme andres legitime interesser er deler av opplysningene i kundedatabasen gjort tilgjengelig for andre enn Norid ved hjelp av en protokoll kalt WHOIS. Det som gjøres tilgjengelig gjennom denne protokollen er blant annet opplysninger om registrerte domenenavn, hvilken organisasjon som har registrert navnene og hvilke kontaktpersoner som er knyttet til domenenavnet.

WHOIS-tjenesten er til for:

• alle som vil sjekke om et domenenavn er i bruk av andre eller om det er ledig
• alle som vil vite hvem som er ansvarlige for et eksisterende domenenavn (f.eks forbrukere før en handel, eller nettverksoperatører som vil kontakte innehaver av et domene de har mottatt spam fra.)
• abonnenter som vil kontrollere at registrert informasjon om egne forhold er korrekt
• rettighetshavere som vil kontrollere om det foregår misbruk av deres rettigheter
• politiet som kan hente informasjon i forbindelse med etterforskningsarbeid.

Dette er eksempler på legitim og ønsket bruk.

I tillegg til at andre får tilgang til ønsket informasjon bidrar offentliggjøringen i seg selv til at opplysningene i databasen kontrolleres av flere i tillegg til Norid.

Utfordringen med offentliggjøring av data er at det muliggjør misbruk, jf nedenfor. Dette tilsier at opplysningene i databasen ikke må publiseres i større omfang enn det som kan begrunnes i legitime og saklige behov. Det må derfor til enhver tid være fokus på at offentliggjøringen må balanseres opp mot de private interessene til de som har registrert domenenavnet og nettopp derfor er ikke kundedatabasen tilgjengeliggjort i sin helhet, men i en begrenset versjon gjennom WHOIS. Hvilken informasjon som er offentlig tilgjengelig og søkbar, fremgår av Norids websider.

3. Norids behandling av personopplysninger via WHOIS-tjenesten

Kun organisasjoner som er registrert i Brønnøysundsregistrene kan registrere et domenenavn direkte under .no. Enkeltpersoner som skal stå som kontaktpersoner kan velge å bruke organisasjonens kontaktinformasjon i stedet for sin private kontaktinformasjon.

En del av informasjonen som publiseres gjennom WHOIS er likevel opplysninger som kan knyttes til enkeltpersoner, og vil derfor regnes som personopplysninger ihht personopplysningsloven § 2 nr. 1. Dette gjelder blant annet informasjon om kontaktpersoner, og informasjon om innehavere av enkeltmannsforetak og andre mindre selskaper.

3.1. Juridisk hjemmel for Norids behandling

I følge personopplysningsloven §8 kan personopplysninger bare behandles:

...dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
a) å oppfylle en avtale med den registrerte...
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse...
c) å utføre en oppgave av allmenn interesse...

Abonnenter for .no-domenet har gitt Norid et samtykke til registrering og begrenset publisering av deres personopplysninger. Samtykket i egenerklæringen lyder som følger:

Ved registrering samtykker søker i at domenet, kontaktinformasjon og registreringstidspunkt gjøres offentlig tilgjengelig på internett, blant annet gjennom Norids whois-database. Tilgang vil også kunne bli gitt via andre internett-teknologier.

Samtykket fremgår også av pkt. 15 i regelverket for .no-domenet, og lyder som følger:

"Ved registrering samtykker søker i at domenet, kontaktinformasjon og registreringstidspunkt gjøres offentlig tilgjengelig på internett, blant annet gjennom Norids whois-database. Tilgang vil også kunne bli gitt via andre internett-teknologier.

Norid vil for øvrig ikke selge, overdra eller på annen måte utnytte informasjonen til kommersielle formål, herunder målrettet markedsføring og katalogtjenester.

Norid fraskriver seg ethvert ansvar for misbruk av den informasjon som offentliggjøres etter denne bestemmelse."

Behandling av opplysningene er dessuten nødvendig for å oppfylle Norids avtale med abonnentene, for å ivareta abonnentenes interesser, og for å utøve en oppgave av allmenn interesse. Ihht. lovhjemmelen danner dette derfor det totale grunnlag for Norids rett til behandling av opplysningene.

3.2. Krav til Norids behandling

Det følger av personopplysningsloven § 11 at Norid kun har rett til å benytte innsamlede personopplysninger i samsvar med det samtykket som er innhentet fra dem personopplysningene gjelder, og kun til slike formål som er saklig begrunnet i virksomheten.

I samtykket som avgis ligger at formålet er å gjøre domenet samt tilhørende informasjon offentlig tilgjengelig på Internett. Norid anser samtykket til publisering begrenset til kontaktinformasjon knyttet til domenet.

I tillegg er det presisert at formålet ikke er salg, overdragelse eller andre kommersielle formål, herunder målrettet markedsføring og katalogtjenester.

Ved siden av de begrensningene samtykket setter vil Norids øvrige grunnlag for behandling av personopplysninger avgrenses av hva som er saklig begrunnet ut fra formålet med opplysningene. Personopplysningsloven tillater Norid for eksempel å samle og behandle opplysninger som er nødvendig for å oppfylle avtalene med abonnentene. Sammen angir dette grensene for hva opplysningene og databasen kan benyttes til.

3.3. Norids bruk av databasen i dag

Internt i Norid benyttes kundedatabasen til å holde oversikt over samtlige registrerte domenenavn under .no-domenet samt annen teknisk og praktisk informasjon tilknyttet disse. De registrerte personopplysningene benyttes til å kontakte abonnenter, registrarer og andre når det er behov for det, for eksempel i forbindelse med sletting av domenenavn, tekniske feil og brudd på regelverket. Norid kan bruke opplysningene i databasen til å gjennomføre en spørreundersøkelse for evaluering av Norids virksomhet, men ikke for kommersielle formål.

Norid benytter ikke informasjonen lagret i databasen til kommersielle formål, så som utsending av reklame. Norid overdrar heller ikke informasjon lagret i databasen til utenforstående som vil benytte informasjonen kommersielt, eller til andre formål som ikke dekkes av egenerklæringen og er innenfor formålet med opprettelsen av databasen.

4. Ikke akseptabel bruk av databasen

Både for Norid og andre gjelder begrensninger i hvilken bruk som kan gjøres av opplysningene i databasen.

4.1. Begrensninger av Norids bruk

Kommersielle formål
Verken Norid eller andre kan benytte hele eller deler av databasen til kommersielle formål, for eksempel til utsendelse av reklame.

Norid kan ikke bruke databasen til å informere alle abonnenter om enhver endring, og f.eks. ikke om at de fra en gitt dato kan registrere flere navn enn før. Selv om Norid ikke driver kommersiell virksomhet, vil mottaker av en slik melding oppfatte den som markedsføring og som en oppfordring om å registrere flere navn. Ved endringer som abonnenten trenger informasjon om for å ivareta sine interesser, vil Norid kunne bruke databasen for å få ut informasjon til alle, på samme måte som kundebaser generelt.

Forbudet mot kommersiell utnyttelse rammer ikke salg eller utleie av databasen som sådan, men utnyttelse av innholdet. Norid har imidlertid ansvar for at opplysningene ikke brukes til senere formål som er uforenlig med det opprinnelige formålet. I praksis betyr dette at Norid kun kan overdra eller leie ut databasen til en annen som skal bruke den i samme type virksomhet som Norid.

Publisering
Av samtykket fremgår det at Norid kan gjøre opplysningene offentlig tilgjengelige via Internett. Ordlyden i samtykket må følges, slik at selv om publisering f eks i en trykt katalog vil ha mindre spredning, er det ikke adgang til publisering på annen måte enn via internett. Hovedbegrunnelsen for dette er at det forutsettes at den delen av databasen som gjøres allment tilgjengelig ajourføres aktivt og kontinuerlig, slik at tidligere registrerte opplysninger ikke er offentlig tilgjengelige når de ikke lenger har gyldighet. En trykt utgave vil allerede før den er ferdig trykket inneholde flere feil og opplysninger som ikke lenger finnes i databasen.

Norid gir ikke ut kopier av hele eller deler av basen, og gir ikke innsyn ut over det alle får og som publiseres på Internett. Norid vil eksempelvis ikke utgi en liste over domenenavn. Dette gjelder uavhengig av hvem som anmoder om slik tilgang.

4.2. Begrensninger i allmennhetens bruk av databasen

Informasjonen som gjøres allment tilgjengelig gjennom WHOIS kan benyttes til en rekke legitime og lovlige formål. Det vil imidlertid også alltid være en fare for at den publiserte informasjonen kan misbrukes. Ulike lover og regler medfører begrensninger for hva som er lovlig bruk av informasjon publisert gjennom WHOIS.

Eksempler på misbruk som rammes av lovforbud er masseutsending av e-post (spamming) i strid med markedsføringsloven § 2b, ulovlig spredning og bruk av personopplysninger i strid med personopplysningsloven, og ulovlig kopiering av bruk av en database i strid med åndsverkloven § 43.

Som rettighetshaver og ansvarlig for databasen forbyr Norid dessuten misbruk og kopiering. Det fremgår ved bruk av databasen at den er kopibeskyttet.

Det er brukerens eget ansvar å påse at bruken av WHOIS er lovlig. Basert på en avveining av allmennhetens legitime interesse i å ha tilgang til informasjonen, og hensynet til å avverge misbruk har Norid imidlertid også innført visse tekniske begrensninger for hvordan informasjonen gjøres tilgjengelig for allmennheten.

For å hindre misbruk av WHOIS-tjenesten ligger det tekniske sperringer i bunn for å begrense søkingen. Hvert søk logges med informasjon om hvor søket foretas fra. Dersom en adresse som det søkes fra har en oppslagsaktivitet som overstiger definerte grenser, blokkeres eller begrenses videre søk fra adressen inntil aktiviteten avtar et nivå som kan aksepteres.

Det oppgis hvilke domenenavn som er knyttet til en gitt organisasjon, men ut over dette er det ikke mulig å foreta reversoppslag, dvs. at det ikke går an å hente lister over domenenavn som er knyttet til en gitt navnetjener eller kontaktperson.

5. Hvordan sikres det at informasjonen i kundedatabasen er oppdatert?

I henhold til personopplysningsloven §11 e, jf. §§27 og 28 har Norid plikt til å sørge for at personopplysninger ikke lagres i databasen lenger enn det som er nødvendig ut fra formålet med databasen. Dette følges opp av Norid ved løpende ajourføring og endringer i henhold til endringsmeldinger som sendes inn av abonnentene. I henhold til regelverket for .no-domenet har abonnentene plikt til å holde den registrerte informasjonen oppdatert til enhver tid, og å formidle endringer til Norid via en registrar. Rent praktisk er det ikke mulig for Norid å sørge for løpende ajourføring og oppdatering uten abonnentenes hjelp.

Norid vil sørge for at meldinger som kommer inn behandles raskt. Norid utfører i tillegg generelt vedlikehold og vask av basen.

Norid vil på eget initiativ foreta en løpende vurdering av om oppdateringen av den registrerte informasjonen fungerer etter forutsetningene, og om kundedatabasen kan anses som oppdatert og àjour.

6. Hvor lenge oppbevares informasjonen i kundedatabasen?

Kundedatabasen blir løpende ajourført av innehaverne av de registrerte domenenavn, og opplysninger om registrerte domenenavn med tilhørende informasjon vil kun gjøres tilgjengelig for allmennheten så lenge den aktuelle informasjonen er gyldig.

Internt i Norid oppbevares også historiske data om registrerte domenenavn og tilhørende informasjon. Dette gjøres blant annet av hensyn til å kunne dokumentere et domenenavns historikk dersom det skulle oppstå uenighet om retten til et domenenavn, og for statistiske formål. For Norids interne database opereres det ikke med noen maksimumsgrense for hvor lenge personopplysninger og øvrig informasjon kan lagres, ettersom permanent lagring anses å være i samsvar med formålet med databasen.

Historisk informasjon gjøres imidlertid ikke tilgjengelig for andre enn den som var abonnent da opplysningene var aktuelle, i tillegg til at Norid selvsagt gir informasjon som kreves i henhold til rettslige kjennelser.