Krever sletting av datalogger
Datatilsynet nekter NTNU å oppbevare og bruke personopplysninger fra studenters IT-logger. NTNUs hensikt har vært å føre kontroll med at studentene ikke misbruker systemet ved å drive ulovlig fildeling. Nå forlanger tilsynet at NTNU umiddelbart sletter dataloggene.
Bakgrunnen er at NTNU har fått flere henvendelser fra rettighetshavere som mener å ha avdekket ulovlig fildeling blant brukere av NTNUs datasystemer. Problemstillingen er todelt: For det første om NTNU har rett til å loggføre studenters datatrafikk for å avdekke ulovlig fildeling, samt annen ulovlig dataaktivitet, og for det andre om NTNU skal ha adgang til å benytte seg av personalopplysninger i den hensikt å videresende slike rettighetshaveres skriftlige advarsler til angjeldende studenter.
Datatilsynet svarer nei i begge tilfeller.
"I eget hjem"
Når det gjelder spørsmålet om loggføring av datatrafikk, skriver tilsynet i et brev til NTNU at “opplysningene gjelder brukernes private Internettbruk i deres eget hjem. Man er i kjerneområdet for prinsippet om privatlivets fred, og personvernhensynet må derfor tillegges svært stor vekt.”
Tilsynet betoner det faktum at nettilgang er å anse som en nødvendighet i dagens samfunn, og at studentene i praksis ikke har noe alternativ til NTNUs tilbud når det gjelder internett. Dermed kan det “stilles spørsmål ved om den enkelte student opplever at avtaleinngåelsen er frivillig” skriver Datatilsynet.
Man mener at NTNU i stedet bør vurdere alternative inngrep, som for eksempel å sperre for tilgangen til uønskede nettsteder.
Ikke almenne interesser
Også når det gjelder videresending av advarsler fra rettighetshavere til studenter, setter tilsynet foten ned. Man viser til at NTNU ikke har noen rettslig forpliktelse til å videresende slike henvendelser. Hensynet til almennhetens interesser kan heller ikke tillegges vekt her, fastslår Datatilsynet, og viser til at Kunnskapsdepartementet ikke går inn for å foreslå atg det lovfestes noen ordning hvor teletilbydere, som NTNU i dette tilfellet er, får plikt til å videresende slike varselbrev.
“Departementet la vekt på at en slik ordning medfører en uforholdsmessig personvernulempe, i det den vil medføre utstrakt behandling av personvernopplysninger. Datatilsynet slutter seg til departementets uforholdsmessihetsvurdering.”
- Slett!
På denne bakgrunn krever Datatilsynet at NTNU innen tre uker fra brevet ble mottatt, innfører rutiner for å slette personidentifiserende kjennetegn fra sine logger. Dette omfatter IP-adresser. Lagring inntil tre uker er godtatt, så lenge formålet er å utføre drift og vedlikehold av IT-systemet.
Tilsynet krever også at behandling av personopplysninger fra loggen, utover hva som er nødvendig i forhold til NTNUs eget drifts- og vedlikeholdsformål, skal opphøre innen utgangen av disse tre ukene.
Forberedelser gjort
Treukersfristen går ut i morgen fredag 2. september. IT-direktør Tor Holmen opplyser at man arbeider med et svar på Datatilsynets henvendelse. Holmen vil enda ikke gå inn på det konkrete innholdet i svarbrevet: Men man vil forsikre seg om at alle sider ved gjeldende praksis er fullt ut forstått.
Om tilsynet opprettholder kravet om sletting av logger, har imidlertid IT-avdelingen gjort de nødvendige forberedelser for å gjennomføre pålegget, sier Tor Holmen.
