9 Person- og kommunikasjonsvern
9.1 Gjeldende rett
9.1.1 Personvernet
Personopplysningsloven gjennomfører personvernforordningen (forordning (EU) 2016/679) i norsk rett. Loven og forordningen stiller krav til hvordan behandling av personopplysninger skal foregå. Behandling kan blant annet være innsamling, registrering, organisering, lagring, bruk eller sammenstilling av personopplysninger, jf. definisjonen i personvernforordningen artikkel 4 første ledd nr. 2.
Personvernforordningen artikkel 5 nr. 1 oppstiller enkelte grunnleggende prinsipper som gjelder ved behandling av personopplysninger. Prinsippet om lovlighet, rettferdighet og åpenhet i bokstav a innebærer blant annet at behandlingen av personopplysninger alltid må ha et rettslig grunnlag, jf. artikkel 6. Av prinsippet om formålsbegrensing i bokstav b følger det at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene. Videre følger det av prinsippet om dataminimering i bokstav c at personopplysninger skal være adekvate, relevante og begrenses til det som er nødvendig for formålet med behandlingen. Etter prinsippet om riktighet av personopplysninger i bokstav d skal personopplysninger være korrekte og om nødvendig oppdaterte. Videre følger det av prinsippet om lagringsbegrensning i bokstav e at opplysninger ikke skal lagres lenger enn nødvendig. Endelig følger det av prinsippet om integritet og konfidensialitet i bokstav f at opplysningene skal behandles på en måte som sikrer tilstrekkelig sikkerhet. Av artikkel 5 nr. 2 om «ansvar» følger det at det er den behandlingsansvarlige som er den ansvarlige for, og skal kunne påvise, at prinsippene i nr. 1 overholdes.
Personvernforordningen artikkel 6 slår fast at behandling av personopplysninger bare er lovlig dersom det foreligger et rettslig grunnlag for behandling av opplysningene (behandlingsgrunnlag). Et behandlingsgrunnlag etter artikkel 6 kan blant annet være at den som gir opplysninger har samtykket til behandling av opplysningene (nr. 1 bokstav a), at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige (nr. 1 bokstav c) eller at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (nr. 1 bokstav e). Behandling etter bokstav e krever et rettsgrunnlag i lov eller forskrift. Etter artikkel 6 nr. 3 skal «grunnlaget for behandlingen» fastsettes i unionsretten eller nasjonal rett.
Personvernforordningen artikkel 9 oppstiller en hovedregel om at behandling av enkelte særlige kategorier av personopplysninger, herunder helseopplysninger, i utgangspunktet er forbudt. For at behandlingen av helseopplysninger skal være lovlig, må det foreligge et særskilt grunnlag for behandlingen, i tillegg til kravet om behandlingsgrunnlag etter artikkel 6. Artikkel 9 nr. 2 bokstav g åpner på nærmere vilkår for behandling av personopplysninger som er nødvendig av hensyn til «viktige allmenne interesser».
9.1.2 Kommunikasjonsvernet
EUs bestemmelser om kommunikasjonsvern er i hovedsak fastsatt i kommunikasjonsverndirektivet (2002/58/EF) med senere endringer. Kommunikasjonsverndirektivet er innlemmet i EØS-avtalen. Kommunikasjonsverndirektivet med senere endringer er i all hovedsak gjennomført i norsk rett gjennom ekomloven.
Tilbyders plikt til å bevare taushet om innholdet av elektronisk kommunikasjon er en grunnleggende forutsetning for kommunikasjonsvernet. Bestemmelser om taushetsplikt finnes i kommunikasjonsverndirektivet artikkel 5. Tilbyders plikt til å slette eller anonymisere data er også en sentral kommunikasjonsvernbestemmelse. Bestemmelser om dette er fastsatt i kommunikasjonsverndirektivet artikkel 6 og 9. Utgangspunktet er at trafikkdata vedrørende abonnenter og brukere, som behandles og lagres av tilbyderen av et offentlig kommunikasjonsnett eller en offentlig tilgjengelig elektronisk kommunikasjonstjeneste, skal slettes eller anonymiseres når de ikke lenger er nødvendige for overføringen av en kommunikasjon.
Kommunikasjonsvernet skal sikre konfidensialitet, autentisitet og integritet i innholdet av elektronisk kommunikasjon. Brukerne må ha tillit til at de trygt kan kommunisere gjennom elektroniske kommunikasjonsnett uten at de må avgi mer informasjon enn det som er nødvendig, og uten at uvedkommende kan få tilgang til kommunikasjonen.
Internettilbydere er underlagt ekomloven og ekomforskriftens regler om kommunikasjonsvern og internettilbyders taushetsplikt. Etter ekomloven § 2-9 første ledd har internettilbydere taushetsplikt om «innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon». De plikter å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder får anledning til selv å skaffe seg kjennskap til slike opplysninger. Opplysningene kan heller ikke utover lovlige behandlingsformål nyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger om nettrafikk som er anonymisert og ikke gir informasjon om innretninger eller tekniske løsninger
9.2 Høringen
I høringsnotatet av 21. september 2021 ble det foreslått at internettilbyderne som del av DNS-blokkeringen, skulle sende brukerne som forsøker å besøke et nettsted som tilbyr pengespill uten tillatelse, videre til en landingsside. Det ble foreslått at landingssiden, med informasjon om at nettstedet som brukeren har forsøkt å kontakte er ulovlig og dermed blokkert, skulle tilhøre Lotteritilsynet.
Høringsinnspillene viste imidlertid at den foreslåtte løsningen kunne være problematisk fordi Lotteritilsynet, til forskjell fra internettilbyderne, ikke er underlagt ekomlovens regler om taushetsplikt. Forslaget om å legge landingssiden til Lotteritilsynets server kunne derfor få som konsekvens at det åpnes for unødvendig registrering av elektroniske spor som den individuelle bruker legger igjen, noe som ble påpekt av Advokatforeningen, Datatilsynet, Telenor og Altibox. Dette var det ikke tatt høyde for i forslaget som ble sendt på høring i september 2021. Departementet så derfor behov for å sende ut en tilleggshøring, som tok for seg de rent person- og kommunikasjonsvernrettslige sidene ved forslaget om DNS-blokkering. Et slik tillegg til det opprinnelige høringsnotatet ble derfor sendt på høring 13. april 2023.
I tilleggshøringsnotatet viste departementet til at forslaget om å innføre DNS-blokkering aldri hadde hatt til hensikt å samle inn og registrere opplysninger om enkeltpersoner som forsøker å besøke et nettsted som tilbyr pengespill uten norsk tillatelse. Det ble derfor foreslått at landingssiden i stedet skulle eies og driftes av internettilbyderne, og ikke av Lotteritilsynet, som det opprinnelig ble foreslått i høringsnotatet av september 2021. Det ble vist til at dersom landingssiden legges til internettilbyderens server, vil personopplysninger om brukerne som forsøker å kontakte nettstedet som DNS-blokkeres, samt andre opplysninger om kommunikasjon og nettrafikk, være beskyttet av ekomregelverket som internettleverandørene er underlagt. Internettilbyderne er for eksempel underlagt taushetsplikt om andres bruk av elektronisk kommunikasjon, jf. ekomloven § 2-9.
Selv om landingssiden skulle driftes og eies av internettleverandørene, ble det foreslått at Lotteritilsynet fortsatt skulle kunne fastsette innholdet i og formen på siden, samt beslutte at denne skal oppdateres ved behov. Det ble i den sammenheng vist til at et selvstendig formål med å innføre DNS-blokkering på pengespillområdet, er at selve landingssiden skal fungere som et informasjonstiltak overfor forbrukere som ikke er klar over at det aktuelle pengespillnettstedet ikke har norsk tillatelse, og dermed ikke er underlagt norske ansvarlighets- og sikkerhetskrav. Det ble også trukket frem at internettilbyderen ikke bør pålegges å bruke mer ressurser enn hva som er nødvendig for å gjennomføre DNS-blokkeringen og videresende brukeren til landingssiden.
Videre ble det vist til at landingssiden burde inneholde informasjon om at det er myndighetene, og ikke internettilbyderen, som står bak beslutningen om blokkering. Landingssiden burde i tillegg inneholde informasjon om hensikten med blokkeringen og kontaktinformasjon til Lotteritilsynet, slik at forespørsler om ytterligere informasjon rundt blokkeringen rettes til myndighetene, og ikke til internettilbyderen. Endelig ble det vist til at det bør fremkomme av landingssiden at det ikke blir lagret personopplysninger om brukeren, utover det som er strengt nødvendig for driften av nettstedet.
9.3 Høringsinstansenes syn
Altibox mener det bør sikres at informasjonen som fremkommer på blokkeringssiden, gir utdypende begrunnelse for blokkeringen. Det må fremkomme tydelig at det er myndighetene og ikke internettilbyderen som står for beslutning om blokkering. Slik informasjon må være lettfattelig og tilgjengelig på relevante språk.
Telia støtter departementets forslag om at informasjon om forsøk på å kontakte nettsteder som etter forslaget skal blokkeres, skal lagres av tilbyderne selv og ikke deles med en landingsside driftet av Lotteritilsynet. All den tid Lotteritilsynet ikke er underlagt samme taushetsplikt ville en slik utlevering kunne ha svekket kommunikasjonsvernet. Telia deler videre departementets oppfatning om at behandlingen av personopplysninger vil kreve hjemmel i lov, jf. personvernforordningens artikkel 6 nr. 1 c, rettslig forpliktelse som påhviler den behandlingsansvarlige. Etter Telias vurdering tilsier hensynet til klarhet og forutberegnelighet at den foreslåtte § 32 a, som pålegger internettilbydere DNS-blokkering, suppleres med eksplisitt hjemmel for den nødvendige behandling av personopplysninger.
Lotteritilsynet støtter de vurderinger som departementet har gjort av de person- og kommunikasjonsvernrettslige sidene av lovforslaget.
Frivillighet Norge støtter forslaget om at Lotteritilsynet skal ha ansvar for budskapet på landingssiden, siden denne kan regnes som et informasjonstiltak i seg selv og at dette opplysningsarbeidet er en viktig del av forebyggingsarbeidet på pengespillfeltet.
Spelfriheten ser flere negative personvernskonsekvenser ved forslaget, og ser ikke at det i høringsnotatet er gjort en vurdering om hva som kan gå galt ved bruk av DNS-blokkering som verktøy. Spillere som oppsøker utenlandske spillselskapers nettsider, vil – uten å være klar over det på forhånd – legge igjen en mengde informasjon som de fra før ikke har sagt seg enig i å legge igjen. Høringsinstansen kan ikke se at dette oppfyller kravene i GDPR.
Norsk pokerforbund mener det ikke har vært gjort en tilstrekkelig utredning av forslagets konsekvenser i forhold til GDPR, herunder en tilstrekkelig vurdering av hva som kan sette personvern og norske borgeres grunnleggende rettigheter i fare, og hva som eventuelt kan gjøres for å forhindre disse konsekvensene.
Norsk Bransjeforening for Onlinespill (NBO) mener departementet heller ikke i tilleggshøringen har foretatt en tilstrekkelig vurdering av de personvernmessige konsekvensene av forslaget. Departementet bør identifisere de konkrete personvernrisikoene ved tiltaket. Departementet drøfter heller ikke hvorfor fordelene ved DNS-blokkering anses så tungtveiende at de veier tyngre enn personvernrisikoen som DNS-blokkering medfører. Videre vil Lotteritilsynets adgang til å bestemme innholdet og formen på landingssiden innebære at Lotteritilsynet i prinsippet kan pålegge et innhold som innebærer at flere personopplysninger genereres og innsamles. For eksempel vil Lotteritilsynets adgang til å fastsette at landingssiden skal inneholde klikkbare lenker eller lignende med opplysninger rettet mot personer som lider av spilleavhengighet, medføre at helseopplysninger behandles.
Datatilsynet oppfatter det slik at de innvendinger tilsynet hadde når det gjaldt tilfredsstillende vern av personopplysninger i forbindelse med bruk av landingsside, nå er hensyntatt i tilleggshøringen. Dersom landingssiden legges til internettilbyderens server, vil personopplysninger om brukerne som forsøker å kontakte nettstedet som blokkeres, samt andre opplysninger om kommunikasjon og nettrafikk, være begrenset til det som er strengt nødvendig for å vise landingssiden og være beskyttet av reglene om kommunikasjonsvern og taushetsplikt i ekomregelverket som internettleverandørene er underlagt.
9.4 Departementets vurderinger
9.4.1 Landingssiden bør legges til internettilbyderens server
Departementet foreslår at landingssiden skal eies og driftes av internettilbyderne, og ikke av Lotteritilsynet, som det opprinnelig ble foreslått i høringsnotatet av september 2021. Dersom landingssiden legges til internettilbyderens server, vil personopplysninger om brukerne som forsøker å kontakte nettstedet som DNS-blokkeres, samt andre opplysninger om kommunikasjon og nettrafikk, være beskyttet av ekomregelverket som internettleverandørene er underlagt. Internettilbyderne er for eksempel underlagt taushetsplikt om andres bruk av elektronisk kommunikasjon, jf. ekomloven § 2-9.
Som vist til i Telenors høringsinnspill til det opprinnelige forslaget, er det grunn til å tro at sluttbrukere har legitime forventninger om at forsøk om å nå en pengespilltjeneste gjennom internettilknytningen, ikke skal legge igjen spor hos noen andre enn internettilbyderen. Departementet er enig i denne betraktningen, og viser til at hensikten med forslaget om å innføre DNS-blokkering av pengespillnettsteder utelukkende har vært å hindre utenlandske pengespillselskaper fra å rette sine tilbud mot det norske markedet i strid med norsk lov, i tillegg til å opplyse forbrukere om hvilke pengespilltilbud som har norsk tillatelse. Forslaget har imidlertid ikke hatt til hensikt å samle inn og registrere opplysninger om enkeltpersoner som forsøker å besøke et nettsted som tilbyr pengespill uten norsk tillatelse. Departementet ser derfor heller ikke at det vil være behov for at Lotteritilsynet skal kunne samle inn og registrere slike opplysninger. Departementet fastholder på denne bakgrunn forslaget om at landingssiden legges til internettilbyderens server.
Enkelte høringsinstanser har etterlyst en eksplisitt hjemmel om behandling av personopplysninger i forbindelse med pålegg om DNS-blokkering. Så lenge landingssiden eies og driftes av internettilbyderne, som er underlagt ekomregelverkets bestemmelser om bl.a. taushetsplikt, anonymisering og sletting, ser ikke departementet behov for å innta i forslag til § 32 a en eksplisitt hjemmel om internettilbydernes behandling av personopplysninger ved gjennomføring av DNS-blokkering. Departementet vurderer dessuten at hensynet til å unngå dobbeltregulering og uklarhet rundt samordning av ulike regelverk, taler for at det ikke bør inntas en slik bestemmelse. Det vises til at uavhengig av hva som reguleres i pengespillovens bestemmelse om DNS-blokkering, vil internettilbyderne uansett være underlagt ekomlovens regler om behandling av person- og trafikkopplysninger og de generelle bestemmelsene i personopplysningsloven og -forordningen, noe som innebærer at både personopplysninger og andre opplysninger om kommunikasjon og nettrafikk vil være begrenset til det som er strengt nødvendig for å vise landingssiden.
Norsk bransjeforening for onlinespill (NBO) har i sitt høringsinnspill etterlyst en identifisering av de konkrete personvernrisikoene ved tiltaket. Ekomloven § 2-7 femte ledd pålegger internettilbyderen en plikt til å slette eller anonymisere trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren så snart det ikke lenger er nødvendig for å oppfylle nærmere bestemte formål. Dette innebærer at personopplysninger om brukerne som forsøker å kontakte det blokkerte nettstedet, begrenses til det som av rent tekniske årsaker er strengt nødvendig for å kunne drifte landingssiden. Personopplysningene vil dessuten være beskyttet av reglene om kommunikasjonsvern og taushetsplikt i ekomregelverket som internettleverandørene er underlagt, og vil bare kunne lagres i en avgrenset periode. Departementet vurderer derfor at de eventuelle personvernrisikoene ved tiltaket er svært små. Potensielle risikoer består først og fremst i muligheten for at internettilbyderne handler i strid med ekomlovgivningen ved å samle inn flere personopplysninger enn det som er strengt nødvendig for å drifte landingssiden og/eller lagrer disse lenger enn nødvendig. Departementet anser dette som usannsynlig, all den tid internettilbyderne har lang erfaring med å etterleve ekomregelverket, noe som bl.a. innebærer at de har innarbeidet rutiner for sletting og anonymisering. En annen potensiell personvernrisiko er at de begrensede personopplysningene som innsamles midlertidig for å drifte landingssiden, havner på avveie, enten som følge av brudd på taushetsplikten, eller som følge av datalekkasjer. Også dette finner departementet usannsynlig, all den tid internettilbyderne er profesjonelle aktører som må kunne forutsettes å besitte høy kompetanse hva gjelder sikring mot lekkasje.
Skulle de registrerte personopplysningene likevel komme på avveie, vurderer departementet at graden av potensiell skade også vil være svært begrenset. Årsaken til dette er at det kun dreier seg om opplysninger om hvilke IP-adresser som har forsøkt å kontakte et bestemt nettsted som tilbyr pengespill, uten at det ut ifra dette kan utledes noe om f.eks. spilleadferden eller helsesituasjonen til innehaveren av IP-adressen. Departementet anerkjenner at det kan oppleves ubehagelig for enkelte dersom andre får tilgang til opplysninger om at vedkommende har forsøkt å kontakte et nettsted som tilbyr pengespill som ikke har norsk tillatelse. Samtidig innebærer ikke forbudet mot å tilby pengespill rettet mot Norge at det også er forbudt for nordmenn å benytte seg av disse spillene. Det er derfor ikke snakk om opplysninger som kan knytte brukeren til noe lovbrudd. Likevel vil brukeren ha en legitim forventning om at forsøk om å nå det aktuelle nettstedet, ikke skal innebære at det legges igjen spor hos noen andre enn internettilbyderen, og at de begrensede sporene som legges igjen, slettes så snart de ikke lenger er nødvendige for driften av landingssiden.
På bakgrunn av det ovennevnte, vil det ikke være mulig å eliminere enhver risiko for at tiltaket kan påvirke personvernet, og tiltaket medfører derfor en viss personvernrisiko. Departementet finner imidlertid at hensynene som taler for DNS-blokkering må anses å veie tyngre enn de begrensede personvernrisikoene ved tiltaket. Tiltaket er blant annet begrunnet i hensynet til å forebygge spilleproblemer ved å kanalisere spillelysten inn i ansvarlige former. Det store volumet av nettspill som mange oppfatter som norske, fører til at mange nordmenn er usikre på, eller ikke vet, at disse aktørene tilbyr sine tjenester i strid med norsk lov. Dette til tross for at Lotteritilsynet allerede benytter mindre inngripende tiltak som informasjons- og holdningskampanjer. I tillegg medfører de spilltypene det er snakk om å blokkere en høy risiko for spilleavhengighet, da disse spillene ikke er underlagt de samme ansvarlighetstiltakene som de tilsvarende lovlige spillene, som f.eks. obligatoriske tapsgrenser. Dette kan føre til alvorlige spille- og gjeldsproblemer, som kan få uopprettelige konsekvenser for både spilleren og dennes pårørende. Uregulerte pengespill som tilbys ulovlig på det norske markedet via internett, utfordrer dessuten enerettsmodellens gjennomslagskraft som et sosialpolitisk og kriminalpolitisk virkemiddel, og utgjør i dag derfor en av de største utfordringene for norsk pengespillregulering. Departementet mener disse hensynene må veie tyngre enn de begrensede personvernrisikoene ved tiltaket.
Enkelte høringsinstanser har pekt på at det i den personvernmessige vurderingen også må vurderes hvorvidt formålet med tiltaket kan oppnås med andre, mindre inngripende virkemidler som for eksempel informasjonskampanjer. Til dette viser departementet at det på pengespillfeltet allerede er tatt i bruk et sett av ulike virkemidler for å forebygge og redusere spilleproblemer gjennom å hindre tilgangen til ulovlige pengespill. Blant disse tiltakene er stans av betalingstransaksjoner, håndheving av markedsføringsforbudet, pålegg om retting og stans, mulighet for ileggelse av tvangsmulkt eller overtredelsesgebyr, samt bruken av informasjons- og holdningskampanjer. Til tross for at gjennomføringen av disse ulike tiltakene har ført til en økende kanaliseringsgrad de senere årene, er det fremdeles en stor andel spillere som ikke vet eller er usikker på hvem som har tillatelse til å tilby pengespill i Norge, og det var om lag 110 000 nordmenn som spilte hos utenlandske pengespillselskaper i 2022. Dette viser at det fremdeles er behov for nye tiltak for å bedre måloppnåelsen om å forebygge spilleproblemer ved å kanalisere spillelysten inn i ansvarlige former. Det er i denne sammenheng derfor ikke snakk om å skulle velge DNS-blokkering fremfor et mindre inngripende tiltak som for eksempel informasjonskampanjer, men å identifisere ulike tilgjengelige tiltak som kan benyttes i kombinasjon for å oppnå en best mulig samlet effekt. DNS-blokkering er dermed et nytt tiltak som har som formål å virke sammen med de allerede gjennomførte tiltakene på pengespillfeltet.
9.4.2 Behandlingsgrunnlag
All behandling av personopplysninger krever at det foreligger et rettslig grunnlag for behandling av opplysningene (behandlingsgrunnlag). Siden ekomloven § 2-7 femte ledd allerede pålegger internettilbyderen en plikt til å slette eller anonymisere trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren så snart det ikke lenger er nødvendig for å oppfylle nærmere bestemte formål, vil det være snakk om en svært begrenset behandling av personopplysninger i vårt tilfelle. Likevel kan det av rent tekniske årsaker være nødvendig for internettilbyderne å lagre enkelte personopplysninger i en avgrenset periode for å kunne drifte landingssiden. Slike personopplysninger vil kunne behandles på grunnlag av at det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, jf. personvernforordningen artikkel 6 nr. 1 bokstav c. Et slikt behandlingsgrunnlag krever et supplerende rettsgrunnlag fastsatt i nasjonal rett, jf. personvernforordningen artikkel 6 nr. 3. Etter departementets vurdering vil forslaget til ny § 32 a i pengespilloven utgjøre dette supplerende rettsgrunnlaget.
9.4.3 Utformingen av landingssiden
Selv om landingssiden driftes og eies av internettleverandørene, foreslås det at Lotteritilsynet fortsatt skal kunne fastsette innholdet i og formen på siden, samt beslutte at denne skal oppdateres ved behov. Det vises til at et selvstendig formål med å innføre DNS-blokkering på pengespillområdet, er at selve landingssiden skal fungere som et informasjonstiltak overfor forbrukere som ikke er klar over at det aktuelle pengespillnettstedet ikke har norsk tillatelse, og dermed ikke er underlagt norske ansvarlighets- og sikkerhetskrav. Lotteritilsynets undersøkelser viser at fem av ti nordmenn ikke vet eller er usikre på hvem som har lov til å tilby pengespill i Norge, og denne typen opplysningsarbeid er derfor en viktig del av forebyggingsarbeidet på pengespillfeltet. Videre viser forskning at selve utformingen av et budskap om ansvarlig spill, har stor betydning for hvorvidt og hvor sterkt dette budskapet oppfattes av brukeren. For eksempel er det en positiv korrelasjon mellom det å presentere et budskap om ansvarlig spill mot en høykontrast- eller sort bakgrunn, og antall personer som fokuserer på dette budskapet, jf. Lole et al.: «Are sports bettors looking at responsible gambling messages? An eye-tracking study on wagering advertisements» (2019). Departementet vurderer derfor at ansvaret for å utforme innholdet i og formen på landingssiden bør ligge hos Lotteritilsynet, som har som ansvars- og kompetanseområde å forebygge og redusere spilleproblemer. Lotteritilsynet har derfor en selvstendig interesse i at landingssiden utformes på en måte som gir høyest mulig effekt som informasjonstiltak, til forskjell fra internettilbyderen, som er en nøytral tredjepart i denne sammenheng. Departementet vurderer dessuten at internettilbyderen ikke bør pålegges å bruke mer ressurser enn hva som er nødvendig for å gjennomføre DNS-blokkeringen og videresende brukeren til landingssiden. Av samme grunn bør det, som uttrykt i høringssvaret fra Altibox, også framgå av landingssiden at det er myndighetene, og ikke internettilbyderen, som står bak beslutningen om blokkering.
Norsk Bransjeforening for Onlinespill har i sitt høringsinnspill vist til at Lotteritilsynets adgang til å bestemme innholdet i og formen på landingssiden vil innebære at Lotteritilsynet i prinsippet kan pålegge et innhold som innebærer at flere personopplysninger genereres og innsamles. For eksempel vil Lotteritilsynets adgang til å fastsette at landingssiden skal inneholde klikkbare lenker eller lignende med opplysninger rettet mot personer som lider av spilleavhengighet, medføre at helseopplysninger behandles.
Departementet kan ikke se at dette er riktig. For det første vil ikke opplysninger om hvem som har forsøkt å kontakte et bestemt nettsted utgjøre helseopplysninger. For det andre stemmer det ikke at forslaget om at Lotteritilsynet kan bestemme form og innhold på landingssiden, åpner for at Lotteritilsynet samtidig kan samle inn og behandle personopplysninger om hvem som har forsøkt å kontakte nettstedet, og som deretter klikker seg inn på for eksempel Lotteritilsynets eller Hjelpelinjens nettsider. Selv om dette i prinsippet kan være teknisk mulig, vil en slik behandling av personopplysninger uansett kreve egen hjemmel, noe forslaget ikke inneholder. Av mangel på et slikt rettsgrunnlag vil Lotteritilsynet, som alle andre, måtte sikre at de ikke behandler personopplysninger i strid med personvernreglene. Noe annet ville dessuten vært i strid med forslaget for øvrig, da hele hensikten med å legge landingssiden til internettilbydernes server er nettopp å forhindre behandling av unødvendige personopplysninger.
Landingssiden bør i tillegg inneholde informasjon om hensikten med blokkeringen og kontaktinformasjon til Lotteritilsynet, slik at forespørsler om ytterligere informasjon rundt blokkeringen rettes til myndighetene, og ikke til internettilbyderen. Samtidig bør det fremkomme at det ikke blir lagret personopplysninger om brukeren, utover det som er strengt nødvendig for driften av nettstedet. Dette vil bl.a. være i tråd med informasjon på landingssiden for det norske CSAADF-filteret (Child Sexual Abuse Anti Distribution Filter), hvor det bl.a. fremgår at det ikke logges noen informasjon som kan identifisere brukeren når hen får opp landingssiden.
Det foreslås på denne bakgrunn å videreføre forslagets opprinnelige formulering om at Lotteritilsynet i pålegget kan fastsette innholdet i og formen på landingssiden. For å klargjøre at det er internettilbyderne, og ikke Lotteritilsynet, som skal eie og drifte landingssiden, foreslår departementet imidlertid å tilføye at Lotteritilsynet kan fastsette innholdet i og formen på landingssiden «som driftes av internettilbyderen», se forslag til § 32 a.
Når det gjelder spørsmålet om hvordan Lotteritilsynet skal gå fram i praksis for å fastsette innholdet i og formen på landingssiden, kan Lotteritilsynet i pålegget legge ved den konkret utformede landingssiden eller lenke til denne, som internettilbyderen kan kopiere inn på sitt domene. Dersom Lotteritilsynet ser behov for å gjøre endringer på landingssiden, kan internettilbyderne bli bedt om å oppdatere denne. Der det kun er snakk om å oppdatere landingssiden, anser departementet det som mest hensiktsmessig at dette foregår gjennom dialog mellom Lotteritilsynet og internettilbyderne. Lotteritilsynet vil imidlertid ved behov kunne benytte et nytt formelt pålegg med hjemmel i den foreslåtte bestemmelsen til å pålegge internettilbyderen å foreta endringer på landingssiden.