Opplysninger samlet inn av mobil-app ved navn Fantorangen

Innsynshenvendelsen var delvis vellykket.

Kjære NRK - Norsk rikskringkasting AS,

NRK har laget en smarttelefon-app ved navn Fantorangen[1] tilgjengelig fra Apples App store[2] og Google Play[3]. I følge Google Play krever versjon 17 av app-en tilgang til "Enhets-ID og samtaleinformasjon" som lar den lese ut "telefonstatus og -identitet" samt "full nettverksadgang". Så vidt jeg har klart å finne ut, krever også andre versjoner av app-en det samme. Google Play forteller at tilgang til "Enhets-ID og samtaleinformasjon" betyr følgende[4]:

"Apper kan få tilgang til enhetens ID(-er), telefonnummer, om du snakker i telefonen eller ikke samt nummeret til den du snakker med. Enhets-ID og anropsinformasjon kan inkludere muligheten til å lese statusen og identiteten til telefonen."

Dette kan brukes til å unikt identifisere en enkelt enhet og hvilke telefonnummer denne enheten kontaktes, og slike Android-enheter er i dag i stor grad personlige, hvilket betyr at en kan knytte enheten til en enkeltperson eller en liten gruppe personer.

Det er litt vanskelig fra overnevnte informasjon på Google Play å se hva full nettverkstilgang betyr, men det ser ut til å bety at app-en kan se hvilke trådløsnett som er i nærheten, hvilken basestasjon mobilen er tilkoblet og kunne koble seg til Internett-tjenester. Informasjon om wifi- og mobil-basestasjoner i nærheten kan ved kobling til offentlig tilgjengelige databaser over hvor ulike wifi- og mobil-basestasjoner er plassert brukes til å utlede posisjon.

En kan dermed identifisere hvor enkeltpersoner eller medlemmer av en liten gruppe personer befinner seg ved å bruke informasjonen tilgjengelig for app-en. Det virker ut fra dette at app-en behandler personopplysninger. Jeg ber på den bakgrunn om innsyn i

1) navn og adresse på den virksomheten som er ansvarlig for
behandlingen (behandlingsansvarlig)
2) hvem som eventuelt har det daglige ansvaret
3) formålet med behandlingen - hvorfor samles opplysningene inn?
4) beskrivelse av hvilke typer personopplysninger som blir samlet inn
og brukt
5) hvor opplysningene er hentet fra
6) eventuelt hvem opplysningene vil bli utlevert til

I følge personopplysningsloven og tilhørende forskrift skal virksomheter som behandler personopplysninger gjøre en risikovurdering og dokumentere sikkerhetstiltak som er gjort for å redusere risiko ved behandling av personopplysninger. Hva er saksnummer i NRKs offentlige postjournal for risikovurdering og de dokumenterte sikkerhetstiltakene rundt behandlingen av opplysningene tilgjengelig for Fantorang-appen?

[1] <URL: http://nrksuper.no/super/blog/kom-og-lek... >
[2] <URL: https://itunes.apple.com/us/app/fantoran... >
[3] <URL: https://play.google.com/store/apps/detai... >
[4] <URL: https://support.google.com/googleplay/an... >

Med vennlig hilsen,

P. Reinholdtsen

NRK - Norsk rikskringkasting AS

Takk for din henvendelse!

Du vil få svar hvis du har sendt oss en forespørsel som ikke dekkes av informasjonen du finner her under, og vi gjør oppmerksom på at vi periodevis har lang svartid.
Kommentarer, forslag, ris og ros blir registrert og videreformidlet til de aktuelle redaksjoner/avdelinger, samt NRK-ledelsen.
--
Nyhetstips ber vi om at du sender direkte til [epostadresse] eller via skjemaet her: http://www.nrk.no/03030/
--
Hvis din henvendelse gjelder avspillingsproblemer i nett-tv/nettradio finner du løsningsforslag her: http://tv.nrk.no/hjelp
Teknisk informasjon om nett-tv, nettradio, mobil, podkast og andre tjenester: www.nrk.no/hjelp/
Feilmeldinger vedrørende nett-tv, nettradio og andre tjenester blir raskt meldt videre for oppfølging/retting.
--
Feil på tv-signaler: Hvis du har kabel, parabol eller ip-tv, kontakt din leverandør/distributør.
Hvis du har digitalt bakkenett, kontakt Riks-TV på tlf 09595.
Feil på radiosignaler (FM og DAB), kontakt Norkring på tlf 124.
--

Info om NRK lydtekst: http://www.nrk.no/tilgjengelighet/lydtek...

Teksting av tv-programmer: http://www.nrk.no/tilgjengelighet/teksti...

TV-guide/programoversikt tv: http://tv.nrk.no/guide

Radioguide/programoversikt radio: http://radio.nrk.no/guide

Spillelister for radio finnes under hvert program i nettradio-arkivet: http://radio.nrk.no/programmer

Bursdagsbarn registreres her: http://nrksuper.no/super/bursdagsbarn

Lisensinformasjon: www.nrk.no/lisens

Kopi av radio- eller tv-program: www.nrk.no/informasjon/hjelp/1.7900941

Oversikt over arkivmateriale (fra 1960-1997) som er publisert i nett-tv: http://arkivpublisering.nrk.no/1

Informasjon om klær, rekvisitter eller annet utstyr brukt i studio eller på location kan vi dessverre ikke være behjelpelig med.

Følg oss gjerne på Facebook: facebook.com/NRK

Med vennlig hilsen
NRK www.nrk.no
Kommunikasjonsavdelingen
Publikumsservice
Man-fre: 08.00-22.00
Lør: 13:00 - 20:00
Søn-/høytidsdager: Stengt

innsyn, NRK - Norsk rikskringkasting AS

Hei,

Din henvendelse er videresendt til intern behandling.

 

 

Mvh

Dokumentarkivet

ved May Irene Solum
 

NRK 

Strategi og kommunikasjon

Direkte: + 47 2304 2929

Post: NRK, RBM3, Pb. 8500 Majorstuen, 0340 Oslo

[1]nrk.no

 

 

 

Fra: [Innsyns-e-postadresse #64]
[mailto:[Innsyns-e-postadresse #64]]
Sendt: 1. desember 2015 09:32
Til: innsyn
Emne: Innsynshenvendelse etter Offentlighetslova - Opplysninger samlet
innav mobil-app ved navn Fantorangen

 

****************************************************************************************************
P. Reinholdtsen : 2015-12-01 09:28:27

Kjære NRK - Norsk rikskringkasting AS,

NRK har laget en smarttelefon-app ved navn Fantorangen[1] tilgjengelig fra
Apples App store[2] og Google Play[3]. I følge Google Play krever versjon
17 av app-en tilgang til "Enhets-ID og samtaleinformasjon" som lar den
lese ut "telefonstatus og -identitet" samt "full nettverksadgang". Så vidt
jeg har klart å finne ut, krever også andre versjoner av app-en det samme.
Google Play forteller at tilgang til "Enhets-ID og samtaleinformasjon"
betyr følgende[4]:

"Apper kan få tilgang til enhetens ID(-er), telefonnummer, om du snakker i
telefonen eller ikke samt nummeret til den du snakker med. Enhets-ID og
anropsinformasjon kan inkludere muligheten til å lese statusen og
identiteten til telefonen."

Dette kan brukes til å unikt identifisere en enkelt enhet og hvilke
telefonnummer denne enheten kontaktes, og slike Android-enheter er i dag i
stor grad personlige, hvilket betyr at en kan knytte enheten til en
enkeltperson eller en liten gruppe personer.

Det er litt vanskelig fra overnevnte informasjon på Google Play å se hva
full nettverkstilgang betyr, men det ser ut til å bety at app-en kan se
hvilke trådløsnett som er i nærheten, hvilken basestasjon mobilen er
tilkoblet og kunne koble seg til Internett-tjenester. Informasjon om wifi-
og mobil-basestasjoner i nærheten kan ved kobling til offentlig
tilgjengelige databaser over hvor ulike wifi- og mobil-basestasjoner er
plassert brukes til å utlede posisjon.

En kan dermed identifisere hvor enkeltpersoner eller medlemmer av en liten
gruppe personer befinner seg ved å bruke informasjonen tilgjengelig for
app-en. Det virker ut fra dette at app-en behandler personopplysninger.
Jeg ber på den bakgrunn om innsyn i

1) navn og adresse på den virksomheten som er ansvarlig for
behandlingen (behandlingsansvarlig)
2) hvem som eventuelt har det daglige ansvaret
3) formålet med behandlingen - hvorfor samles opplysningene inn?
4) beskrivelse av hvilke typer personopplysninger som blir samlet inn
og brukt
5) hvor opplysningene er hentet fra
6) eventuelt hvem opplysningene vil bli utlevert til

I følge personopplysningsloven og tilhørende forskrift skal virksomheter
som behandler personopplysninger gjøre en risikovurdering og dokumentere
sikkerhetstiltak som er gjort for å redusere risiko ved behandling av
personopplysninger. Hva er saksnummer i NRKs offentlige postjournal for
risikovurdering og de dokumenterte sikkerhetstiltakene rundt behandlingen
av opplysningene tilgjengelig for Fantorang-appen?

[1] <URL: [2]http://nrksuper.no/super/blog/kom-og-lek... >
[2] <URL: [3]https://itunes.apple.com/us/app/fantoran... >
[3] <URL:
[4]https://play.google.com/store/apps/detai...
>
[4] <URL:
[5]https://support.google.com/googleplay/an...
>

Med vennlig hilsen,

P. Reinholdtsen

-------------------------------------------------------------------

Dette er en innsynsforespørsel sendt inn ved hjelp av nett-tjenesten Mimes
brønn.

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli
offentliggjort på Internett. Du finner våre regler for personvern og
åndsverk her:
[6]https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne
nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

References

Visible links
1. http://www.nrk.no/
2. http://nrksuper.no/super/blog/kom-og-lek...
3. https://itunes.apple.com/us/app/fantoran...
4. https://play.google.com/store/apps/detai...
5. https://support.google.com/googleplay/an...
6. https://www.mimesbronn.no/help/officers

innsyn, NRK - Norsk rikskringkasting AS

Hei,

Her er svar på din henvendelse av 1.12.2015.

 

Vi bruker «enhets-ID og anropsinformasjon» kun for å kunne logge antall
unike installasjoner av denne appen.  Dette løses ved å sende en kryptert
versjon av enhets-Iden til vår statistikk leverandør TNS Gallup. TNS
Gallup holder så rede på antall unike enhets-IDer , og leverer tilbake
aggregert statistikk til NRK.

 

NRK benytter ikke anropsinformasjon data.

 

Selv om enhetene ofte er personlige så har NRK ikke noe informasjon om
eieren av telefonen. Det vil si vi behandler ikke persondata i dette
tilfelle.

 

I tillegg har vi inkludert Google Analytic script i appen for å få
informasjon om hvordan appen benyttes. Dette er fortsatt anonym
informasjon. NRK benytter disse dataene for å videreutvikle tjenesten og
tilbudet, basert på hvordan appen benyttes. 

 

For at Appen skal kunne sende ut dissa dataene - både kryptert enhets–ID
og Google Analytics script - kreves ”full nettverkstilgang”.

 

1.     Norsk rikskringkasting AS, Bjørnstjerne Bjørnsonsplass 1, 0340 Oslo

2.     Thor Gjermund Eriksen

3.     Anonymiserte data samles inn om bruk, i formål med å rapportere til
bransje-statistikk og til forbedringer i selve tjenesten

4.     Ingen personopplysninger, men data knyttet til hva som sees, hvor
lenge, hva slags type enhet og hvilke navigasjonsvalg som gjøres

5.     Opplysningene hentes fra enhets-ID, samt hva brukere gjør inne i
appen.

6.     TNS Gallup setter sammen de offisielle måler i bransjen som blir
offentlig gjort – på aggregert nivå. Google Analytics data blir ikke
utlevert.

 

Det er ingen post-gang relatert til disse aktivitetene rundt Fantorangen
appen.

 

NRK etterstreber å være transperente på bruk av data knyttet til
publikumsbruk. Mer om dette finnes
her [1]http://www.nrk.no/retningslinjer/personv...

 

De rettigheter vi ber om tilgang til fra hver app varierer fra operativ
system til operativsystem, men vi ønsker å holde brukeren klar over hvilke
tilganger vi ber om før appen lastes ned, dette gjør vi ved å beskrive
dette i tekstfeltet knyttet til appene. I tilfelle til Fantorangen, ser vi
at dette mangler og det skal vi rette opp.

 

 

Mvh

Dokumentarkivet

ved May Irene Solum
 

NRK 

Strategi og kommunikasjon

Direkte: + 47 2304 2929

Post: NRK, RBM3, Pb. 8500 Majorstuen, 0340 Oslo

[2]nrk.no

 

 

 

Fra: [Innsyns-e-postadresse #64]
[mailto:[Innsyns-e-postadresse #64]]
Sendt: 1. desember 2015 09:32
Til: innsyn
Emne: Innsynshenvendelse etter Offentlighetslova - Opplysninger samlet
innav mobil-app ved navn Fantorangen

 

P. Reinholdtsen : 2015-12-01 09:28:27

Kjære NRK - Norsk rikskringkasting AS,

NRK har laget en smarttelefon-app ved navn Fantorangen[1] tilgjengelig fra
Apples App store[2] og Google Play[3]. I følge Google Play krever versjon
17 av app-en tilgang til "Enhets-ID og samtaleinformasjon" som lar den
lese ut "telefonstatus og -identitet" samt "full nettverksadgang". Så vidt
jeg har klart å finne ut, krever også andre versjoner av app-en det samme.
Google Play forteller at tilgang til "Enhets-ID og samtaleinformasjon"
betyr følgende[4]:

"Apper kan få tilgang til enhetens ID(-er), telefonnummer, om du snakker i
telefonen eller ikke samt nummeret til den du snakker med. Enhets-ID og
anropsinformasjon kan inkludere muligheten til å lese statusen og
identiteten til telefonen."

Dette kan brukes til å unikt identifisere en enkelt enhet og hvilke
telefonnummer denne enheten kontaktes, og slike Android-enheter er i dag i
stor grad personlige, hvilket betyr at en kan knytte enheten til en
enkeltperson eller en liten gruppe personer.

Det er litt vanskelig fra overnevnte informasjon på Google Play å se hva
full nettverkstilgang betyr, men det ser ut til å bety at app-en kan se
hvilke trådløsnett som er i nærheten, hvilken basestasjon mobilen er
tilkoblet og kunne koble seg til Internett-tjenester. Informasjon om wifi-
og mobil-basestasjoner i nærheten kan ved kobling til offentlig
tilgjengelige databaser over hvor ulike wifi- og mobil-basestasjoner er
plassert brukes til å utlede posisjon.

En kan dermed identifisere hvor enkeltpersoner eller medlemmer av en liten
gruppe personer befinner seg ved å bruke informasjonen tilgjengelig for
app-en. Det virker ut fra dette at app-en behandler personopplysninger.
Jeg ber på den bakgrunn om innsyn i

1) navn og adresse på den virksomheten som er ansvarlig for
behandlingen (behandlingsansvarlig)
2) hvem som eventuelt har det daglige ansvaret
3) formålet med behandlingen - hvorfor samles opplysningene inn?
4) beskrivelse av hvilke typer personopplysninger som blir samlet inn
og brukt
5) hvor opplysningene er hentet fra
6) eventuelt hvem opplysningene vil bli utlevert til

I følge personopplysningsloven og tilhørende forskrift skal virksomheter
som behandler personopplysninger gjøre en risikovurdering og dokumentere
sikkerhetstiltak som er gjort for å redusere risiko ved behandling av
personopplysninger. Hva er saksnummer i NRKs offentlige postjournal for
risikovurdering og de dokumenterte sikkerhetstiltakene rundt behandlingen
av opplysningene tilgjengelig for Fantorang-appen?

[1] <URL: [3]http://nrksuper.no/super/blog/kom-og-lek... >
[2] <URL: [4]https://itunes.apple.com/us/app/fantoran... >
[3] <URL:
[5]https://play.google.com/store/apps/detai...
>
[4] <URL:
[6]https://support.google.com/googleplay/an...
>

Med vennlig hilsen,

P. Reinholdtsen

-------------------------------------------------------------------

Dette er en innsynsforespørsel sendt inn ved hjelp av nett-tjenesten Mimes
brønn.

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli
offentliggjort på Internett. Du finner våre regler for personvern og
åndsverk her:
[7]https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne
nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

References

Visible links
1. http://www.nrk.no/retningslinjer/personv...
2. http://www.nrk.no/
3. http://nrksuper.no/super/blog/kom-og-lek...
4. https://itunes.apple.com/us/app/fantoran...
5. https://play.google.com/store/apps/detai...
6. https://support.google.com/googleplay/an...
7. https://www.mimesbronn.no/help/officers

P. Reinholdtsen la igjen en merknad ()

I følge Datatilsynet er en IP-adresse en personopplysning, se f.eks. <URL: https://www.datatilsynet.no/Teknologi/In... >.

P. Reinholdtsen la igjen en merknad ()

Jeg har i dag spurt Datatilsynet om de deler NRKs forståelse av hva som er personopplysninger, se
https://www.mimesbronn.no/request/behand... .