Afgørelse vedrørende Rigspolitiets behandling af teledataoplysninger

Journalnummer: 2019-819-0003

Resume

Datatilsynet har undersøgt behandlingen af personoplysninger hos Rigspolitiet på baggrund af, at tilsynet via presseomtale fik kendskab til, at et it-system til brug for behandling af oplysninger om fysiske personers geografiske placering på baggrund af masteoplysninger mv., ikke til enhver tid har leveret retvisende resultater.

Nu har Datatilsynet afsluttet behandlingen af sagen og udtaler alvorlig kritik af, at behandlingen af personoplysninger ikke er sket i overensstemmelse med en række bestemmelser i retshåndhævelsesloven, som er det relevante regelsæt, når det vedrører politiets behandling af personoplysninger. Samtidig meddeler Datatilsynet Rigspolitiet påbud om at foretage sletning af de personoplysninger, der opfylder kravene til sletning efter telecentrets egne retningslinjer, i det omfang det ikke allerede er sket.

Afgørelsen er baseret på de faktuelle omstændigheder, der allerede er kendt gennem de redegørelser, som Rigspolitiet og Rigsadvokaten givet til Justitsministeriet, og som Rigspolitiet også har sendt til Datatilsynet som svar på tilsynets forespørgsler.

Datatilsynets undersøgelse har baggrund i, at tilsynet via presseomtale fik kendskab til, at et it-system hos Rigspolitiet til brug for behandling af oplysninger om fysiske personers geografiske placering på baggrund af masteoplysninger mv., ikke til enhver tid, har leveret retvisende resultater.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens[1] § 27, § 4, stk. 4-6 og § 4, stk. 8, jf. stk. 7.

Datatilsynet finder endvidere grundlag for at meddele Rigspolitiet påbud om at foretage sletning af de personoplysninger, der opfylder kravene til sletning efter telecentrets egne retningslinjer, i det omfang der ikke allerede er sket sletning heraf.

Påbuddet meddeles i medfør af retshåndhævelseslovens § 42, stk. 1.

Fristen for efterlevelse af påbuddet er 6 uger fra dags dato. Datatilsynet skal anmode om at modtage en bekræftelse af, at Rigspolitiet i tilstrækkeligt omfang har slettet de pågældende personoplysninger.

Datatilsynet gør opmærksom på, at det efter retshåndhævelseslovens § 50, stk. 2 straffes med bøde at undlade at efterkomme et påbud, der er meddelt i henhold til § 42.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet anmodede ved e-mail af 18. juni 2019 Rigspolitiet om en redegørelse for de pågældende behandlinger af personoplysninger, herunder en gennemgang af alle forhold omkring inddragelsen af kriterier for den bearbejdning og præsentation af data, resultatet af behandlingen er udtryk for. Datatilsynet anmodede om at modtage redegørelsen senest den 2. juli 2019.

Ved e-mail af 24. juni 2019 anmodede Rigspolitiet om, at fristen for fremsendelse af redegørelsen blev udskudt til den 15. august 2019, idet sagen beroede på en nærmere udredning i koordination med bl.a. de enkelte politikredse og Rigsadvokaten. Datatilsynet imødekom anmodningen om fristudsættelse ved e-mail af 25. juni 2019.

Justitsministeriet anmodede efterfølgende ved brev af 2. juli 2019 Rigspolitiet og Rigsadvokaten om senest den 6. september 2019 at sende en samlet redegørelse omfattende alle relevante forhold i teledata-sagen, herunder:

• En redegørelse for det faktiske forløb i sagen, herunder orienteringen af forsvarerne og domstolene, og for tidsforløbet i forhold til afholdelsen af folketingsvalget den 5. juni 2019.
• En redegørelse for, hvordan verserende straffesager er blevet håndteret.
• En redegørelse for fremgangsmåden i forbindelse med indhentning af teleoplysninger i straffesager.
• En redegørelse for kontrollen med og kvalitetssikringen af indhentede teleoplysninger.
• En redegørelse for, hvordan teleoplysninger anvendes af politiet og anklagemyndigheden under efterforskningen og straffesagsbehandlingen, herunder hvordan anklagemyndigheden løbende sikrer overholdelse af objektivitetsprincippet.

Det fremgik endvidere af brevet fra Justitsministeriet, at redegørelsen fra Rigspolitiet og Rigsadvokaten efterfølgende ville indgå i ministeriets egen redegørelse til Folketinget.

Idet Rigspolitiets og Rigsadvokatens samlede redegørelse til Justitsministeriet omfattede alle relevante forhold i teledata-sagen, herunder de forhold, der var genstand for Datatilsynets anmodning, fandt Rigspolitiet det mest hensigtsmæssigt, at den redegørelse, som Datatilsynet havde anmodet om, blev afgivet samtidig med redegørelsen til Justitsministeriet. Rigspolitiet anmodede derfor om udsættelse af fristen for afgivelse af redegørelsen til Datatilsynet til det tidspunkt, hvor Rigspolitiets redegørelse skulle afgives til Justitsministeriet. Dette tiltrådte Datatilsynet ved e-mail af 20. august 2019.

Fristen for Rigspolitiets og Rigsadvokatens samlede redegørelse til Justitsministeriet blev efterfølgende – grundet en ny udvikling i sagen – forlænget til at skulle være ministeriet i hænde senest inden udgangen af september 2019. Datatilsynet indvilligede telefonisk den 27. september 2019 i, at afgivelsen af redegørelsen til tilsynet kunne udskydes til det tidspunkt, hvor Justitsministeriet afgav den samlede redegørelse til Folketinget.

Ved brev af 4. oktober 2019 modtog Datatilsynet en kopi af Rigspolitiets og Rigsadvokatens samlede redegørelse til Justitsministeriet. Brevet fra Rigspolitiet var endvidere vedlagt et notat om Rigspolitiets og Rigsadvokatens overvejelser og nye tiltag på baggrund af teledatasagen og en uvildig undersøgelse af Rigspolitiets håndtering af historiske teledata foretaget af konsulent- og revisionshuset Deloitte.

Datatilsynets afgørelse vedrører alene Rigspolitiets egen redegørelse af sagen. Der vil således kun blive henvist til Deloittes undersøgelse i det omfang bemærkningerne i redegørelsen giver anledning hertil, og der er i denne afgørelse ikke – yderligere – taget stilling til indholdet og resultaterne af den uvildige undersøgelse. 

Sagen ses ifølge Datatilsynet at vedrøre en række fejl, fejlkilder og usikkerheder mv. i teledata, særligt konverteringsfejl i rådata (afsnit 2.1), mangelfuld rådata om kommunikation ved brug af nyere tjenester (afsnit 2.2) og fejlagtig konvertering af mastekoordinater (afsnit 2.3).

Herudover følger det af Rigspolitiets redegørelse, at der foreligger en række øvrige fejl, fejlkilder og usikkerheder, som kan have betydning for efterforskningen. Der henvises i den forbindelse særligt til afsnit 6.2.4 og 6.3 i Rigspolitiets redegørelse. Idet der er tale om mindre fejl og usikkerheder, som ikke er i samme størrelsesorden som de ovenfor nævnte, vurderes disse fejl og usikkerheder af Datatilsynet ikke at have haft betydning for de registreredes rettigheder og frihedsrettigheder, ligesom tilsynet har noteret sig, at de omtalte fejlkilder mv. har været drøftet med Rigsadvokaturen og oplyst til politikredsene på teknikerniveau. Datatilsynet har derfor ikke fundet grundlag for at gennemgå og foretage sig yderligere i forhold til disse øvrige fejl, fejlkilder og usikkerheder.

2.1. Konverteringsfejl i rådata

Det fremgår af Rigspolitiets redegørelse, at Rigspolitiets Telecenter

”har siden den 1. november 2010 konverteret de rådata, der er modtaget fra teleudbyderne. Rådata modtages i forskellige formater fra teleudbyderne, og telecentrets systemer konverterer disse oplysninger, således at de for rekvirenterne fremstår i ensartede formater og med ensartede betegnelser, uanset hvilke teleudbydere der har leveret data (…). Konverteringen gør det muligt for sagsbehandleren at sammenstille og analysere data på tværs af indhentede oplysninger og sidenhen for anklageren at fremstille oplysningerne på en ensartet måde under en eventuel straffesag.”[2]

Endvidere følger det af redegørelsen, at navnlig tre forhold har bevirket, at ikke alle rådata er blevet konverteret. Det omhandler en it-systemfejl (afsnit 2.1.1), fejl i håndteringen af oplysninger om såkaldte særlige tjenester (afsnit 2.1.2) og en fejl i levering af teledata via et analyseværktøj (afsnit 2.1.3.). Det følger endvidere, at andre forhold kan have medført forskelle mellem rådata og konverterede data som f.eks. ændring af de formater, som rådata leveres i, eller beskadiget eller fejlbehæftet rådata i form af ulæsbare karakterer, utilsigtede linjeskift mv.

2.1.1. IT-systemfejl

Det fremgår af Rigspolitiets redegørelse, at

”der var en systematisk fejl i et it-system, der gjorde, at der i flere tilfælde var konstateret forskelle mellem rådata og konverterede data. En hovedårsag til disse forskelle var en fejl i det it-system, som telecentret anvender til at konvertere teledata. Telecentret vurderer, at fejlen bestod af to elementer; dels aktivering af en timer i it-systemet, dels en opdatering af it-systemet.”[3]

Det fremgår endvidere, at fejlen er konstateret i sager fra 2012 og frem til marts 2019. De konstaterede fejl i 2012 relaterer sig alene til timeren.

Endvidere fremgår det af redegørelsen, at

”I it-systemet, som telecentret bruger til at konvertere teledata, har der været indbygget en egenudviklet timer. Timerens funktion har været at sikre, at data blev sendt til rekvirenten hurtigst muligt, efter at data fra teleudbyderen var modtaget i telecentrets systemer. Timer-funktionen har gjort, at data i nogle tilfælde blev afsendt, selvom den samlede konvertering endnu ikke var færdiggjort, således at der blev leveret ukomplette konverterede datasæt til rekvirenten. Det var hensigten, at et komplet datasæt i sådanne tilfælde skulle sendes efterfølgende, hvilket dog ikke i alle tilfælde skete, jf. nedenfor.”[4]

Rigspolitiet har endvidere redegjort for, at

”En opdatering af it-systemet, der ændrede den måde konverterede teledata blev indlæst i systemet, har medført, dels at indlæsningen blev langsommere, dels at it-systemet sprang sektioner af filer over. Denne opdatering vurderes af telecentret at være sket i maj 2013. Den langsommere dataindlæsning – i kombination med timeren – vurderes at have medført, at it-systemet i øget grad har leveret filer med konverterede data til rekvirenterne, inden al data er kommet med i filerne.

I de tilfælde, hvor der er blevet leveret et ufuldstændigt konverteret datasæt, burde systemet – efter første ufærdige leverance – have færdiggjort konverteringen og fremsendt et fuldt konverteret datasæt til rekvirenten. En sådan automatisk genfremsendelse af teledata ses dog ikke at være sket i alle tilfælde, og politikredsene har derfor i disse sager ikke automatisk modtaget komplette konverterede datasæt.

Telecentret har konstateret, at manglende konverterede teledata som følge af opdateringen af it-systemet og timeren optræder i forskellige sagstyper. Det drejer sig bl.a. om sager, hvor den bestilte datamængde har været så omfangsrig, at den konverterede data ikke i sin helhed har kunnet indlæses med henblik på levering til rekvirenten inden for den tid, som timeren har været indstillet til. Fejlen er også set i sager med datamængder, der hver for sig ville kunne håndteres inden for den tidsbestemte kapacitet, som systemet har været underlagt, men hvor der i tilfælde, når systemet har modtaget mange mindre filer på samme tid, er opstået ”kø” i systemet, hvorved al konverteret data ikke er blevet indlæst inden for den fastsatte tidsramme, som timeren har været indstillet til.”[5]

Det følger endvidere af redegørelsen, at opdateringen af systemet også har haft betydning for håndteringen af sektioner af filer i forbindelse med indlæsning af teledata. Det fremgår således, at

”I visse situationer er det konstateret, at indlæsningen af en filsektion er standset, før hele filsektionen var indlæst. Telecentrets undersøgelser viser, at systemet ikke har overvåget sådanne hændelser, og derfor er indlæsningen af data fra den pågældende filsektion ikke blevet genoptaget, og indlæsningen af filsektionen er dermed ikke blevet færdiggjort. I stedet påbegyndte it-systemet behandling af den næste filsektion af teledata. Der kan således være tilfælde, hvor rekvirenten ikke har modtaget alle de konverterede data.”[6]

Det er Rigspolitiets vurdering, at fejlen blev løst den 8. marts 2019. Herudover har telecenteret ændret metoden for, hvordan systemet indlæser konverterede data og foretaget tilpasninger i systemet for at sikre, at systemet kan håndtere filsektioner.[7]

2.1.2. Fejl i håndteringen af oplysninger om såkaldte særlige tjenester

Foruden ovennævnte fejl, har Rigspolitiet afdækket, at visse datatyper – kaldet særlige tjenester – i en periode ikke er blevet konverteret.

Det fremgår af Rigspolitiets redegørelse, at telecentret – ved konvertering af teledata – anvender datatypen ”anden aktivitet” som en betegnelse i de konverterede teleoplysninger, der dækker over forskellige særlige tjenester såsom viderestilling, ”banke-på” og blokering af nummer. Oplysninger om aktivering og deaktivering af sådanne særlige tjenester har siden 2010 været leveret af én teleudbyder som en del af teledata.[8]

I maj 2018 blev Rigspolitiet imidlertid opmærksom på, at oplysninger om særlige tjenester indgik i rådata, men ikke i konverterede teledata. Rigspolitiet vurderede, at den manglende konvertering af særlige tjenester skyldtes en ændring i telecentrets it-system, som betød, at datatypen blev sorteret fra i forbindelse med konverteringen, således at oplysninger alene fremgik af de rådata, som rekvirenten modtog.[9]

Rigspolitiet vurderer, at fejlen kunne være opstået i november 2016, hvor systemændringen blev foretaget. Fejlen blev rettet i juni 2018. Det konkluderes således, at oplysninger om særlige tjenester fra én teleudbyder indgår ikke i konverterede datasæt, der er rekvireret i perioden fra november 2016 til juni 2018.[10]

2.1.3. Fejl i leveringen af teledata via analyseværktøj

Rigspolitiet har oplyst, at

”Rekvirenter med særlige brugerrettigheder har siden januar 2017 kunnet tilgå konverterede teledata via et separat analyseværktøj i telecentrets it-system, hvori de konverterede oplysninger indlæses, og som kan anvendes til behandling af historiske teledata.”[11]

I august 2018 konstaterede Rigspolitiet imidlertid, at

”oplysninger i konverterede teledata om datatyperne ”anden aktivitet” og ”tjenesteydelser” (hovedsageligt SMS-tjenester i form af f.eks. SMS-billetter, SMS-donationer mv.), der leveres til politiet af en teleudbyder, ikke var blevet indlæst i analyseværktøjet. Herudover konstaterede telecentret, at konverterede maste-oplysninger ikke blev indlæst i analyseværktøjet, når der var tale om datasæt, som kun omhandlede oplysninger om bestemte telefonnumres masteplaceringer. Telecentrets undersøgelser har vist, at det er hele datasæt med konverterede masteoplysninger fra alle fire teleudbydere, der ikke er blevet gjort tilgængelige i analyseværktøjet.”[12] 

På baggrund af telecentrets egen undersøgelse har Rigspolitiet identificeret knap 40 rekvisitioner, hvor det ikke kan udelukkes, at rekvirenten alene har arbejdet med konverterede teledata via analyseværktøjet.[13]

2.2. Mangelfuld rådata om kommunikation ved brug af nyere tjenester

Opkald og SMS kan ske gennem anvendelse af nyere samtaletjenester (VoLTE og VoWiFi). På baggrund af en konkret efterforskning, hvor der manglede oplysninger i rådata, blev det i juni 2019 konstateret, at ikke alle teleudbydere har leveret alle oplysninger om disse nye datatyper.

Det fremgår af Rigspolitiets redegørelse, at

”Den teleudbyder, der leverede oplysninger i den pågældende sag, har efter det oplyste siden den 1. august 2018 tilbudt VoLTE og VoWiFi til egne kunder, men havde først fra den 10. januar 2019 leveret oplysninger om disse aktiviteter til politiet. På den baggrund identificerede telecentret i juni 2019 de sager, hvor der kunne mangle oplysninger fra den pågældende teleudbyder. Der blev herefter fremsendt nye rådata til politikredsene mv. i de sager, hvor der manglede oplysninger om disse aktiviteter, og hvor politikredsene mv. ikke selv tidligere havde rekvireret nye datasæt. Det har efterfølgende vist sig, at en del af de pågældende aktiviteter var med i de oprindelige datasæt, der var blevet sendt til politikredsene mv., men at aktiviteterne ikke var benævnt korrekt.”[14]

Den pågældende teleudbyder har sammen med Rigspolitiet gennemgået rådatasæt og har identificeret yderligere ca. 60 sager, hvor der har manglet oplysninger om de pågældende aktiviteter.

Det fremgår endvidere af redegørelsen, at

”en anden teleudbyder omkring månedsskiftet juni/juli 2019 [har] oplyst telecentret om, at udbyderen fra omkring april/maj 2017 begyndte udrulning af VoLTE- og Vo-WiFi-aktiviteter til sine abonnenter. Udbyderen har imidlertid ikke logget oplysninger om disse aktiviteter, når der var tale om indgående opkald til kunder med et særligt erhvervs-abonnement. Disse oplysninger har således ikke indgået i rådata fra april/maj 2017 og frem til midten af august 2019, hvor teleudbyderen har oplyst at have korrigeret sine registrerin-ger med henblik på at sikre, at oplysninger om VoLTE- og VoWiFi-aktiviteter leveres til politiet uanset abonnementstype.”[15]

2.3. Fejl i konvertering af mastekoordinater

På baggrund af en henvendelse fra Nordsjællands Politi den 25. juli 2019 konstaterede Rigspolitiets Telecenter, at konverterede geografiske koordinater for mastepositioner i en sag fra 2016 var blevet ændret, så masternes placering i de konverterede oplysninger ikke stemte overens med masternes placering i rådata.[16]

Det fremgår af redegørelsen, at

”Fejlen bestod i, at mastekoordinaterne var forskudt ca. 222 meter i syd-sydvestlig retning, når koordinaterne blev sammenlignet med rådata. Det fremgik bl.a. af orienteringen, at der her ikke var tale om en sletning af rådata i konverteringen, men at konverteringen havde bevirket en ’forvrængning’ af data. Telecentret vurderede på daværende tidspunkt, at fejlen ikke var sagskritisk, da det alene omhandlede mastens placering, forskydningen var begrænset, og at data alene viste, hvilken mast telefonen var på – og det dermed ikke var et forsøg på præcis angivelse af, hvor telefonen var. Telecentret vurderede også, at fejlen ikke desto mindre af mere principielle grunde kunne være kritisk.”[17]

I Rigspolitiets redegørelse vurderer Telecentret, at

”de konstaterede fejl i de konverterede geografiske koordinater for mastepositioner skyldes fejl i de it-systemer i telecentret, der har oversat koordinaterne fra teleudbyderens format til det format, som politiet anvender. Derudover kan konverteringsfejlen skyldes mangelfuld kommunikation med teleudbydere, der kan have medført, at der ikke har været klarhed over det format, der skulle konverteres.”[18]

Telecentret vurderer endvidere, at

”fejlen kunne være forekommet i perioden fra september 2014, hvor der blev foretaget en ændring af det anvendte system, og frem til november 2016, hvor telecentret var blevet opmærksom på fejlen og foretog systemmæssige tilpasninger, der skulle sikre en korrekt oversættelse. Telecentret ses ikke på daværende tidspunkt at have orienteret politikredsene mv. om problemet.”[19]

Med henblik på at fremfinde de sager, hvor der er fejl i de konverterede mastekoordinater, har telecentret i august 2019 foretaget en gennemgang af mastepositionerne i samtlige datasæt, som telecentret på dette tidspunkt havde fremfundet. På baggrund heraf har telecentret identificeret knap 350 dataleverancer, hvor fejlen optræder.

Det følger af Rigspolitiets redegørelse, at

”Det drejer sig dels om knap 130 tilfælde, hvor oplysningerne er leveret af en teleudbyder i perioden fra slutningen af august 2016 til slutningen af oktober 2016, dels om ca. 220 tilfælde, hvor oplysningerne er leveret af en anden teleudbyder i perioden fra omkring midten af marts 2015 til midten af juni 2016. I de konverterede datasæt, som telecentret har undersøgt, er alle mastepositionerne ændret med en længde af ca. 100 meter og op til ca. 220 meter i forhold til oplysningerne i rådata. Fejlen er ikke konstateret i datasæt, der er leveret i andre perioder end de ovennævnte, herunder perioden fra september 2014 og frem til juni 2015. Der er dog fundet enkeltstående eksempler på, at en rekvirent i henholdsvis 2012 og 2014 har konstateret en konverteringsfejl. Det er endnu ikke afklaret, om det skyldes fejl i it-systemet eller mangelfuld kommunikation om format med udbyder.”[20]

Endvidere fremgår det af Deloittes uvildige undersøgelse af Rigspolitiets håndtering af historiske teledata, at

”Analysen viser (…), at der i perioden 2011-2019 er sket forskydninger af mastekoordinater i forbindelse med i Rigspolitiets Telecenters konvertering af mastepositioner. Konkret er der identificeret 461 rekvisitioner med fejlkonvertering af koordinater på startmast og 385 rekvisitioner med fejlkonvertering af slutmast. Den langt overvejende del af disse forskydninger udgøres af en konverteringsfejl, hvor mastekoordinater er forskudt med ca. 222 meter. Hertil er der identificeret et mindre antal rekvisitioner med forskydninger af mastekoordinater på ca. 100 meter.

Afvigelser i denne størrelsesorden vil i de fleste tilfælde ikke have betydning i lyset af de generelle usikkerheder, der er forbundet med geografisk lokalisering ved brug af teledata. Navnlig i tættere bymæssig bebyggelse, hvor celler generelt dækker et mindre område, kan selv mindre forskydninger dog i specifikke situationer potentielt have betydning.

Hertil er der identificeret et begrænset antal rekvisitioner med meget store afvigelser. Disse afvigelser vurderes at have et omfang, hvor det vil være helt åbenlyst for brugerne af historiske teledata i politikredse mv., at der er tale om en fejl.”[21]

Derudover følger det af Deloittes undersøgelse, at

”I forhold til mastepositioner kan fremhæves, at de fundne konverteringsfejl i de fleste tilfælde ikke vil have betydning i lyset af de generelle usikkerheder, der er forbundet med geografisk lokalisering ved brug af teledata. Navnlig i tættere bymæssig bebyggelse, hvor celler generelt dækker et mindre område, kan selv mindre forskydninger dog i specifikke situationer potentielt have betydning.”[22]

2.4. Sletning af teledata i telecentret

Det fremgår af Rigspolitiets redegørelse, at

”Der er i retsplejelovens § 791 fastsat regler om sletning af materiale, som er tilvejebragt ved indgreb i meddelelseshemmeligheden. Teledata indhentet efter retsplejelovens § 780, stk. 1, nr. 3 og 4, er omfattet af disse regler. Efter retsplejelovens § 791, stk. 1, skal materialet tilintetgøres, hvis der ikke rejses sigtelse mod nogen, eller hvis påtale senere opgives. Retten kan dog efter § 791, stk. 2, bestemme, at tilintetgørelse kan undlades eller udsættes. Efter § 791, stk. 4, skal politiet i øvrigt tilintetgøre materiale, som tilvejebringes ved indgreb i meddelelseshemmeligheden, og som viser sig ikke at have efterforskningsmæssig betydning.”[23]

Det fremgår endvidere, at Rigsadvokaturen har præciseret, at det er den enkelte politikreds, der skal sørge for, at materialet slettes i overensstemmelse med gældende ret. Sletning skal ske ved, at politikredsen indsender en sletterekvisition til Rigspolitiet, samtidig med at politikredsen sørger for, at eventuelle kopier af materialet, der opbevares lokalt i kredsen, også slettes.

Herudover følger det af redegørelsen, at

”Særligt for telecentret bemærkes det, at teledata lagres i telecentret efter afslutning af databehandlingen. De rådata, der opbevares, skal slettes, hvis rekvirenten anmoder herom. For så vidt angår konverterede teledata er telecentret – når en databehandling er afsluttet – i besiddelse af to eksemplarer af de konverterede teledata. Af kapacitetsmæssige årsager har telecentret fastsat en forretningsproces, hvorefter disse teledata burde slettes automatisk, medmindre rekvirenten, der har anmodet om oplysninger, før udløbet af denne frist har meddelt telecentret, at sletningen skal udsættes. Sletningen af det ene eksemplar af de konverterede datasæt skal ske efter et år, og det andet eksemplar skal slettes efter yderligere et år. Telecentret har imidlertid i midten af september 2019 i forbindelse med teledatasagen konstateret, at sletningen af konverterede teledata efter to år ikke er sket i fuldt omfang, og at der tilsyneladende fortsat opbevares ca. 75 pct. af disse datasæt i telecentret. Den automatiske sletning af eksemplarer af konverterede teledata efter et år ses at være sket.”[24]

Det anføres endvidere i Deloittes undersøgelse af Rigspolitiets håndtering af historiske teledata, at

”der ikke har været en konsistent praksis i forhold til Rigspolitiets Telecenters sletning af databaseversionen, hvorfor kopier heraf fortsat forefindes i en række sager, hvor rekvireringen skete for mere end 24 måneder siden.”[25]

2.5. Rigspolitiets tekniske og organisatoriske foranstaltninger

Det fremgår af Rigspolitiets redegørelse, at

”Rigspolitiets Enhed for Tilsyn og Controlling (herefter ToC) har i perioden ultimo juni til 25. september 2019 undersøgt telecentrets håndtering og behandling af teledata med særligt fokus på proces- og arbejdsgange, kvalitetssikringsaktiviteter og kontroller, opsamling på identificerede fejl samt ledelsesmæssig orientering og håndtering af identificerede fejl.”[26]

ToC er politiets interne kontrol og tilsynsenhed, der på anmodning eller af egen drift kan iværksætte undersøgelser af alle aspekter af politiets virksomhed. For at sikre enhedens uafhængighed refererer enheden direkte til Rigspolitiets direktion. Den konkrete undersøgelse af telecentret blev indledt i dagene efter et møde hos Rigspolitichefen den 19. juni 2019.[27]

2.5.1. Kvalitetskontrol

ToC har konstateret, at de eksisterende kontroller i telecentret i mindre grad har haft fokus på at validere kvaliteten af data, hvilket bl.a. understøttes af, at der er etableret kontroller, som foretager teknisk validering af filen inden den efterfølgende konverteres, og som sikrer, at data reelt afsendes til rekvirenten. [28]

Endvidere har ToC konstateret, at der forekommer at være forskelle på politikredsenes kontrol af kvalitetssikring af teledata fra telecentret. Ved undersøgelse foretaget af Rigspolitiets Politiområde har enkelte kredse således angivet, at de ved modtagelse af teledata har særskilte arbejdsgange for at sikre kontrol med og kvalitetssikring af indhentede teledata. Én politikreds har angivet, at årsagen til, at kredsen ikke har haft særskilte kontroller med indhentede teleoplysninger er, at de ikke har haft anledning til at sætte spørgsmålstegn ved validiteten af modtagne teleoplysninger fra telecentret før orienteringen om de nu identificerede fejl i teledata.

Af Deloittes undersøgelse af Rigspolitiets håndtering af historiske teledata fremgår endvidere, at

”Generelt har der ikke været foretaget kvalitetssikring af historiske teledata i politikredsene mv., herunder har der før årsskiftet 2018/2019 ikke været udført fuldstændighedskontrol af modtagne historiske teledata.”[29]

2.5.2. Uddannelse og kompetencer

Det fremgår af Rigspolitiets redegørelse, at politikredsenes efterforskere erhverver kompetencer i forhold til teledata til brug for efterforskning ved enten sidemandsoplæring eller på kurser om teledata. Disse kurser er som udgangspunkt ikke henvendt til efterforskere, og er først blevet udbudt i starten af 2018, hvorfor en stor del af efterforskernes kompetenceopbygning er baseret på baggrund af sidemandsoplæring, hvilket kan betyde, at politikredsenes efterforskere ikke nødvendigvis har kompetencerne til at kunne kontrollere kvaliteten af de modtagne datasæt. Det bemærkes i den sammenhæng, at Rigsadvokaturen årligt udbyder et kursus målrettet anklagere omhandlende brug af teledata i retten.[30]

I Deloittes undersøgelse af Rigspolitiets håndtering af teledata anføres det, at efterforskernes kompetencer er varierende i politikredsene:

”Generelt oplæres efterforskere i anvendelse af historiske teledata ved sidemandsoplæring af mere erfarne efterforskere, men der ses ikke en egentlig uddannelsesplan eller -forløb til nye efterforskere. Der er i nogle politikredse tidligere blevet udbudt kurser i anvendelse af historiske teledata, men kurserne afholdes ikke konsistent og har varierende indhold. Der udbydes ikke kurser og kun i begrænset omfang vejledning fra Rigspolitiets Telecenter. Det betyder, at der er risiko for at efterforskere ikke er bekendt med de usikkerheder, der er ved anvendelse af historiske teledata og dermed fejltolker data.”[31]

2.5.3. Opsamling på fejl

Det følger af ToC’s undersøgelse, at der i undersøgelsesperioden ikke har foreligget en fast praksis eller procedure i telecentret for at notere eller dokumentere indmeldte fejl og tilhørende beskrivelse af eventuel fejlløsning i et centralt system eller dokument.

Rigspolitiets Telecenter har i den forbindelse oplyst, at det er muligt at indrapportere fejl i modtagne data på mindst fem forskellige måder.

Det er på bl.a. den baggrund ToC’s konstatering, at

”Telecentret har i størstedelen af undersøgelsesperioden ikke haft en fast praksis eller procedure for at notere og dokumentere indmeldte fejl i et centralt system eller dokument, hvor man ligeledes kunne beskrive en eventuel fejlløsning.”[32]

Endvidere fremgår det af Deloittes undersøgelse af Rigspolitiets håndtering af historiske teledata, at

”Politikredsene mv. har ikke etableret entydige kommunikationsveje, såfremt der opstår behov for support eller til indberetning af identificerede fejl vedrørende anvendelse af historiske teledata. Bortset fra et årligt ERFA-gruppemøde, med deltagelse af teledataanalytikere og andre udpegede videnspersoner, er der ikke er etableret fora for løbende vidensdeling. Der er i 2018 oprettet et fora for teledataanalytikere til vidensdeling, men der er begrænset kendskab til dette fora i kredsene.”[33]

Telecentret har hertil oplyst, at de i en 2-årig periode i årene mellem 2011-2014 har anvendt HP-servicemanager til fejl-håndteringsprocesser.

Det fremgår endvidere af Rigspolitiets redegørelse og ToC’s undersøgelse, at i tilfælde, hvor der er blevet indmeldt et problem med et datasæt fra en rekvirent, er dette ofte blevet løst ved, at den pågældende fil er blevet gennemgået, og telecentret herefter har foretaget en genkørsel af anmodningen. Rekvirenten har herefter modtaget datasættet på ny. Som eksempel er fejlmeldinger vedrørende konverteringsfejl som udgangspunkt blevet løst ved, at telecentret har fejlsøgt problemet, om muligt rettet den konkrete fejl, genkonverteret data og genfremsendt data til rekvirenten.[34]

Det er på den baggrund ToC’s konstatering, at

”Medarbejderne i telecentret har således i hele undersøgelsesperioden løbende løst rekvirenternes problemer med data. Disse er samtidig søgt løst hurtigst muligt, således at den igangværende efterforskning ikke forsinkes unødigt.

Metoden til løsning af problemet har været individuel og er ikke dokumenteret.

Telecentret har samtidig oplyst, at hvis et problem har optrådt flere gange, har medarbejderne forsøgt at finde en løsning, der kunne forhindre problemet i at optræde fremadrettet. Der har dog i mindre grad været en fælles refleksion over de konstaterede fejl, og det har medvirket til, at fejl blev løst, uden at det blev undersøgt, hvorfor fejl forekom igen og igen.”[35]

Vedrørende eventuel ledelsesmæssig orientering og håndtering af potentielle og identificerede fejl mv. anfører ToC, i Rigspolitiets redegørelse, at

”der ved søgninger i referater fra direktionsmøder, koncernledelsesmøder, møder i øverste ledelse og udvidede møder i øverste ledelse i Politiområdet samt referater fra forum for chefpolitiinspektører i politiet ikke er fundet oplysninger, der viser, at potentielle og identificerede fejl i teledata har været forelagt og drøftet på de nævnte møder i undersøgelsesperioden.”[36]

Det har alene været muligt at fremfinde enkelte eksempler fra 2012 og 2015.

Det fremgår af redegørelsen, at ToC ikke har

”fundet dokumentation for, at fejlen i relation til uoverensstemmelse i antallet af aktiviteter mellem rådata og konverterede data har været ledelsesmæssigt behandlet på et niveau over telecentrets ledelse før november 2018. Undersøgelsen viser samtidig, at viden om, at der var tale om en systematisk fejl i forbindelse med konverteringen, først bliver kendt i den øverste ledelse i Politiområdet primo 2019.”

Dog identificerede telecentret allerede i september 2018 på baggrund af en kredshenvendelse fejl og problemstillinger vedrørende uoverensstemmelse mellem modtaget rådata og konverteret data. Den daværende chef for telecentret var orienteret herom.”[37]

2.6. Rigspolitiets ansvarlighed og dokumentation af kvalitetskontrol

ToC har konstateret, at der i undersøgelsesperioden ikke har foreligget skriftlige retningslinjer, vejledninger eller procedurer til internt brug i telecentret i relation til håndtering af teledata.

Det følger af redegørelsen, at

”Der er ikke i undersøgelsesperioden udarbejdet nationale retningslinjer for, hvordan politikredsene skal håndtere og kvalitetssikre data, der modtages fra telecentret. Telecentret sender en teknisk vejledning til rekvirenten sammen med fremsendelse af data. Vejledningen indeholder bl.a. oplysninger om, hvilke data de modtagne filer indeholder, og hvordan filerne åbnes og efterfølgende indlæses. Den tekniske vejledning er ikke dateret, og det er dermed ikke klart, hvornår vejledningen har været gældende fra.

Den senest opdaterede tekniske vejledning er taget i brug i december 2018. I den opdaterede vejledning fremgår det som noget nyt, at rekvirenten altid skal kontrollere, om antallet af aktiviteter i rådata er overensstemmende med de konverterede data.

Enkelte politikredse har udarbejdet lokale vejledninger for deres behandling af teleoplysninger. De lokale vejledninger har primært fokus på at fastsætte og præcisere fremgangsmåden ved indgreb i meddelelseshemmeligheden og destruktion af materiale fra indgreb i meddelelseshemmeligheden.

Det er oplyst, at der i NC3 siden 2017 har været et generelt fokus på at øge graden af skriftlighed og dokumentation. Telecentret har dog oplyst, at de ikke har oplevet, at dette fokus har været rettet mod telecentrets arbejde.”

ToC har videre konstateret, at der i perioden ikke har været systembeskrivelser af de it-systemer og databaser, der bruges i telecentret i forbindelse med håndteringen af teledata.[38]

Af Deloittes uvildige undersøgelse af Rigspolitiets håndtering af historiske teledata fremgår, at

”særligt processer for kvalitetskontrol i meget begrænset omfang har været dokumenteret”[39]

Og endvidere, at

”Den efterbehandling, analyse, tilpasning og berigelse af andre datalister, som teledataanalytikere og efterforskere foretager, bliver generelt ikke logget eller nedskrevet, hvorfor det er vanskeligt at følge transaktionssporet.”[40]

Det følger herudover af Rigspolitiets redegørelse, at

”Telecentret har i 2011 udarbejdet en flowbeskrivelse for telecentrets egenudviklede it-løsning, der indhenter data fra leverandøren og afsender det bestilte data til rekvirenten. Den egenudviklede løsning er siden 2011 blevet videreudviklet, men uden en tilhørende opdatering af flowbeskrivelsen.

Der blev ikke udarbejdet en kravsspecifikation for løsningen, da telecentret i januar 2015 påbegyndte udviklingen af en ny egenudviklet platform til konverteringen af teledata, der blev afsluttet i november 2016. Det er derfor af den tilgængelige information uklart, hvad behovet var, og om den udviklede løsning mødte behovet.

Rigspolitiet har igangsat et arbejde med at udvikle et nyt og mere tidssvarende system til konvertering og lagring af teledata. Der er ikke udarbejdet projektinitieringsdokument, business case, kravsspecifikation eller lignende, hvilket ellers er udgangspunktet i Rigspolitiet ved udvikling eller tilpasning af allerede eksisterende it-systemer.”[41]

2.7. Sammenfatning af ToC’s undersøgelse

Sammenfattende konkluderer ToC, at:

• telecentret har søgt at løse problemstillingerne vedrørende modtagne teledata i relation til den enkelte sag hurtigst muligt. Problemstillingerne er ofte løst som et enkeltstående teknisk og driftsmæssigt anliggende.
• der har ikke foreligget skriftlige interne procedurer, vejledninger eller retningslinjer til internt brug i telecentret i relation til håndtering af teledata. Ligeledes er der ikke udarbejdet nationale retningslinjer for kredsenes håndtering og kvalitetssikring af teledata.
• telecentrets kontroller af teledata har primært sigtet mod at levere data til brugerne i politikredsene hurtigst muligt snarere end at være ind- og uddatakontroller for at kvalitetssikre indholdet af modtaget og behandlet teledata.
• der i store dele af undersøgelsesperioden ikke har været en struktureret opsamling, dokumentation og opfølgning på indmeldte fejl. Manglende systematik og dokumentation i den generelle fejlløsning har gjort det vanskeligt for telecentret at kategorisere de enkelte fejl og prioritere den efterfølgende fejlløsning samt at tilrettelægge informationen om fejl.
• tiltag for at informere brugere af teledata i kredsene om bl.a. konstaterede fejl og uhensigtsmæssigheder har fundet sted, men har ikke været tilstrækkeligt fyldestgørende og stringente. Politikredsene er ikke systematisk og fuldstændigt blevet orienteret om de mulige fejl og mangler i data, som de bør være opmærksomme på ved brug af teledata.
• de nu identificerede fejl viser, at de procedurer, metoder og systemer, der er anvendt i NC3 og politikredsene, samlet set ikke har været egnet til at sikre kvaliteten af teledata.
• der tilsyneladende ikke ses at have været det nødvendige ledelsesmæssige fokus på at sikre medarbejderne tilstrækkelige rammer og muligheder for at løse deres opgaver med den nødvendige kvalitet.
• telecentret i september 2018 – i samarbejde med NEC identificerede fejl og problemstillinger – vedrørende uoverensstemmelser mellem modtaget rådata og konverterede data, der indikerede systematiske fejl i forbindelse med afsendelse af data til politikredsene.
• det ikke tyder på, at fejlen vedrørende uoverensstemmelser i antallet af aktiviteter mellem rådata og konverterede data har været ledelsesmæssigt behandlet uden for telecentret før november 2018. Undersøgelsen viser samtidig, at viden om, at der var tale om en systematisk fejl i forbindelse med konverteringen, først bliver kendt i øverste ledelse i Politiområdet primo 2019.
• der løbende har været henvendelser om fejl og mangler ved data, herunder henvendelser i både 2012 og 2015. Der har således været et behov for og konkrete anledninger til ledelsesmæssigt også udenfor telecentret at sætte fokus på området. [42]

Afslutningsvis konkluderer ToC, at

”Teledata er karakteriseret ved at være data, der er indsamlet til brug for teleudbydernes virksomhed, men som med fordel kan anvendes i politiets og anklagemyndighedens arbejde. Sammenfattende er det ToC’s vurdering, at der i undersøgelsesperioden ikke er taget tilstrækkeligt højde for dette ved behandlingen af teledata. Der har således været utilstrækkelige processer, arbejdsgange og kvalitetssikringsaktiviteter i telecentret til at sikre kvaliteten i de leverede teledata, ligesom der har været mangelfuld kommunikation til kredsene og videre i straffesagskæden om kendte mangler i indholdet af data. Dette har, sammenholdt med kredsenes uens praksis for kvalitetskontrol af data og et tilsyneladende manglende ledelsesmæssigt fokus på området, medført, at der ikke altid er tilvejebragt den bedst mulige kvalitet af teledata.”[43]

2.8. Antal sager

Det følger af Rigspolitiets redegørelse, at

”Den 22. marts 2019 forelå et revideret udkast til notatet af 17. marts 2019, hvor det bl.a. fremgik, at telecentrets undersøgelser havde vist, at der i perioden fra starten af 2012 til starten af marts 2019 kunne være sager, hvor politikredsene havde modtaget ufuldstændige teledatasæt fra Rigspolitiet. Om omfanget af problemstillingen fremgik det af notatet, at telecentret havde identificeret ca. 600 sager i 2017 og 2018, hvor politikredsene havde modtaget datasæt, hvor antallet af rækker med aktiviteter i konverteret data ikke var overensstemmende med antallet af rækker med aktiviteter i det tilsvarende sæt rådata. En yderligere gennemgang af telecentrets arkiv for teledata indikerede ifølge notatet, at der i årene fra 2012 til 2015 i gennemsnit var mindst 150 sager årligt med mangelfuld konverteret data. Det var dog telecentrets vurdering, at divergensen for årene 2012-2015 ikke reelt dækkede over en forskel mellem aktiviteter i rådata og konverteret data, da størsteparten af de identificerede sager dækkede over en sammenstillingsfejl på én række, og at dette var en kendt datasammenstillingsudfordring. Det konkluderedes i notatet, at fejlene i en meget stor del af de identificerede sager vedrørte særlige tjenester, og at konverteringen af særlige tjenester kunne have været ufuldstændig i perioden fra november 2016 til juni 2018.”[44]

Det følger endvidere af Rigspolitiets redegørelse, at analysen af mulige konverteringsfejl før 2013 viste, at

”der i 19 ud af ca. 900 undersøgte rekvisitioner fra 2012 var tegn på fejl i konverteringen. Af de 19 rekvisitioner var det telecentrets vurdering, at 4-5 af disse skyldtes timeren i it-systemet.”[45]

Deloitte har i sin undersøgelse af Rigspolitiets håndtering af historiske teledata i al væsentlighed bekræftet de resultater, som Rigspolitiets interne undersøgelser og stikprøvekontroller har afdækket. Det fremgår således bl.a. af undersøgelsen, at

”Analysen af Rigspolitiets konvertering af historiske teledata på rækkeniveau viser samlet set, at der har været uoverensstemmelser i antal rækker mellem konverterede data og rådata i ca. 6,9 pct. at de undersøgte rekvisitioner. Heraf er der rækketab (dvs. færre rækker i konverterede data end i rådatafilen) i 1.131 rekvisitioner i undersøgelsesperioden svarende til ca. 5,8 pct. af rekvisitionerne. Det svarer til 4,5 mio. tabte rækker. Undersøgelsen viser, at rækketabet overvejende er koncentreret i 2016, hvor der er identificeret 361 rekvisitioner med rækketab. Omfanget af rækketab er ligeledes belyst. Der er identificeret 142 rekvisitioner med en divergens på én række, 260 rekvisitioner, der mangler 2-10 rækker, 275 rekvisitioner, der mangler 11-100 rækker og 453 rekvisitioner, der mangler mere end 100 rækker i forhold til konverteret data. Omfanget af rækketab skal ses i lyset af antallet af rækker i en rekvisition, hvor det gennemsnitlige antal rækker til sammenligning er ca. 3.900 rækker, mens medianen er ca. 400 rækker. Deloitte identificerer samlet set et mindre procentuelt rækketab end det, Rigspolitiet har identificeret i sin interne screening af 2018.”[46]

Der er identificeret 461 og 385 rekvisitioner med uoverensstemmelse i konverteringen af mastekoordinaterne for hhv. start- og slutmast.[47] Den langt overvejende del af disse forskydninger udgøres af en konverteringsfejl, hvor mastekoordinater er forskudt med ca. 222 meter. Hertil er der identificeret et mindre antal rekvisitioner med forskydninger af mastekoordinater på ca. 100 meter. Endelig er der identificeret et meget begrænset antal rekvisitioner med meget betydelige forskydninger af mastepositioner.[48]

2.9. Rigspolitiets arbejde med og kendskab til fejl, fejlkilder og usikkerheder i teledata

Det følger af Rigspolitiets redegørelse, at det ikke er ukendt for myndigheden, at der kan optræde fejl, fejlkilder eller usikkerheder i teledata, som anvendes under straffesager.

Det fremgår af redegørelsen, at

”Som omtalt i Justitsministeriets besvarelse af 20. oktober 2015 af spørgsmål nr. 182 (Alm. del) fra Folketingets Retsudvalg har det bl.a. været kendt, at Rigspolitiet tidligere i nogle tilfælde har konstateret, at teleudbydernes mastelister ikke har været korrekte og løbende ajourført, at der har været fejl i teleudbydernes historiske fortegnelser over masteplaceringer, og at der ikke er sket en retvisende registrering af de transmissionsceller, som en mobiltelefon har anvendt i forbindelse med datatrafik.”

Og endvidere, at

”Som det også fremgår af besvarelsen af 20. oktober 2015 af spørgsmål nr. 182 (Alm. del) fra Folketingets Retsudvalg, har der tidligere været konkrete tilfælde, hvor der har indgået unøjagtige masteoplysninger. Eksempelvis opdagende man i en konkret sag fejl i forbindelse med udarbejdelsen af et mastekort, idet mastepositionerne i de modtagne teleoplysninger fra teleudbyderen var så springende inden for meget korte tidsintervaller, at det ikke ville have været fysisk muligt at flytte sig så hurtigt med telefonen mellem masterne.

Som anført i samme besvarelse har det også været kendt, at der kan være forskellige fysiske forhold, som gør, at en mobiltelefon f.eks. springer til en anden mast, jf. også Rigsadvokaturens eksterne vejledning om præsentation af teleoplysninger omtalt i [redegørelsens] afsnit 4.2.2.”

Herudover fremgår det af redegørelsen, at telecenteret løbende har håndteret henvendelser om mulige fejl, unøjagtigheder, fejlkilder mv. i teledata, som rekvirenterne har modtaget fra telecentret. Disse henvendelser har hovedsageligt været håndteret ved fornyet behandling af de pågældende teledata i telecentret og blev af Rigspolitiet primært opfattet som brugerfejl og periodiske tekniske udfordringer frem for systematiske fejl vedrørende teledata.[49]

Det fremgår således af redegørelsen, at

”Telecentret modtog således eksempelvis i både februar, maj, august og september 2018 henvendelser fra rekvirenter, der konstaterede manglende historiske teleoplysninger i konverterede datasæt, hvilket blev håndteret i de konkrete tilfælde, men uden at det gav anledning til en mere systematisk gennemgang af data. I de tilfælde, hvor fejlindmeldingerne har omhandlet mangelfulde oplysninger i rådata, har telecentret oftest håndteret det ved at kommunikere med den relevante teleudbyder om de konkrete manglende oplysninger og dermed heller ikke behandlet det som mulige systematiske fejl. Henvendelserne er efter det oplyste blevet håndteret af medarbejdere i telecentret med vekslende inddragelse af de daværende chefer for telecentret.”

Som eksempel på at Rigspolitiet har håndteret problemstillinger vedrørende teledata på højere ledelsesniveau henvises der i redegørelsen til et møde i 2012 mellem bl.a. den daværende politidirektør for politiområdet og et teleselskab.[50]

Det fremgår endvidere af redegørelsen, at Rigspolitiet, på baggrund af en konkret verserende efterforskning, i november 2018 fik mistanke om, at der kunne være en generel konverteringsfejl i det it-program i telecentret, som konverterede rådata og videreformidlede disse data til den relevante rekvirent. Der var i den konkrete sag konstateret umiddelbart uforklarlige uoverensstemmelser mellem rådata og konverterede data, således at dele af rådata ikke indgik i den konverterede data, som blev formidlet fra telecentret til politikredsen. Den daværende chef for området og for Rigspolitiets Cyber Crime Center (NC3) blev medio november 2018 orienteret om de manglende teleoplysninger i den konkrete sag.[51]

På baggrund af henvendelsen foretog telecentret i november 2018 en stikprøve med henblik på afklaring af, om der umiddelbart var tegn på en generel fejl.

Det fremgår af redegørelsen, at

”Stikprøvekontrollen omfattede 60 tilfældigt udvalgte sager – 30 fra 2017 og 30 fra 2018. Kontrollen – som ikke er dokumenteret og dermed ikke mulig at genskabe – viste angiveligt, at langt hovedparten af de kontrollerede sager var korrekt konverteret, mens der i få tilfælde bestod en forskel mellem rådata og konverterede data med op til fire linjers forskel i de respektive regneark.”

Rigspolitiets Telecenter vurderede, på baggrund af kontrollen, at

”de forskelle, som stikprøven viste, ikke tydede på en generel systemfejl, samt at konverteringsfejlen i den konkrete sag skyldtes de store datafiler, der var indhentet til den pågældende sag, og som havde et meget stort omfang.”

På baggrund af ovenstående indsatte telecentret den 28. november 2018 et nyt afsnit i den vejledning, som blev leveret til rekvirenten sammen med filerne med rådata og konverterede data. I det nye afsnit blev det anført, at rekvirenten inden brugen af konverterede data altid skulle sikre sig, at antallet af rækker med aktiviteter i de to datasæt var overensstemmende. Rekvirenterne blev dog ikke gjort særskilt opmærksom på denne ændring.[52]

2.10. Rigspolitiets trufne foranstaltninger

Det følger af Rigspolitiets redegørelse, at Rigspolitiet og Rigsadvokaturen har iværksat følgende tiltag for at imødegå de konstaterede fejl:

• Ændring af den vejledning, som leveres til rekvirenten sammen med rådata og konverterede teledata, for at gøre rekvirenten opmærksom på at kontrollere, at de konverterede data er komplette.[53]
• Iværksættelse af en automatisk tællekontrol, der har til formål at sikre, at der i de enkelte rekvisitioner er overensstemmelse mellem antallet af rækker data i rådata og konverterede data.[54]
• Som supplement til den manuelle kontrol i politikredsene mv. har telecentret indført en systematisk manuel kontrol af de datasæt, der er leveret til politikredsene mv. Det kontrolleres om antallet af rækker i de respektive datasæt stemmer overens. Hvis det konstateres, at der mangler oplysninger, bliver politikredsen mv. kontaktet hurtigst muligt.[55]
• Rigsadvokaturen instruerede ved instruks af 2. juli 2019 alle anklagere om, at der i forbindelse med behandlingen af straffesager, hvori der indgår teleoplysninger, generelt skal udvises betydelig forsigtighed med at tillægge manglende teleoplysninger den betydning, at der ikke har været telekommunikation eller lignende.[56]
• Rigsadvokaturen udsendte efterfølgende den 18. august 2019 en instruks til landets anklagere om, at anklagere ikke må anvende teledata, herunder signaleringsdata og teleobservation, under hovedforhandlinger eller retsmøder vedrørende opretholdelse af anholdelse. Det fremgik af brevet, at det midlertidige stop indtil videre ville gælde i 2 måneder.[57]
• For så vidt angår anvendelsen af teledata under andre dele af efterforskningen end som grundlag for varetægtsfængsling, har Rigspolitiet ved brev af 30. august 2019 til politikredsene mv. og i instruks af 18. september 2019 fastsat retningslinjer for politiets anvendelse af teledata under efterforskningen. Heri instrueres sagsbehandlere i at udvise særlig opmærksomhed ved gennemgangen, kontrollen og brugen af teledata, og herunder være særligt opmærksomme på de fejl, fejlkilder og usikkerheder, der foreløbigt er konstateret. Ved retsmøder under efterforskningen, hvor der fremsættes anmodning om tvangsindgreb, skal anmodninger fremover basere sig på rådata. Rigsadvokaturen udsendte ligeledes en instruks af 30. august 2019 med henvisning til Rigspolitiets retningslinjer af samme dato, hvor alle anklagere tilsvarende blev instrueret i, at anmodninger om tvangsindgreb under efterforskningen skal basere sig på rådata.[58]
• I forlængelse af ovenstående tiltag iværksatte Rigspolitiet den 27. august 2019 en ekstern undersøgelse for hurtigst muligt at skabe tilstrækkelig klarhed over de fejl, fejlkilder og usikkerheder, som er forbundet med brug af teledata, så teledata igen kan anvendes som bevis i straffesager.[59]

Foruden ovennævnte foranstaltninger har Rigspolitiet fremsendt kopi af Rigspolitichefens og Rigsadvokatens overvejelser og nye tiltag på baggrund af teledatasagen.

3. Begrundelse for Datatilsynets afgørelse

Enhver person har ret til databeskyttelse og enhver, der behandler personoplysninger, er forpligtet til at iagttage de registreredes rettigheder og til at beskytte personoplysninger.

Det følger af Den Europæiske Menneskerettighedskonventions artikel 6, stk. 1, at

Enhver har ret til en retfærdig og offentlig rettergang inden en rimelig frist for en uafhængig og upartisk domstol, der er oprettet ved lov, når der skal træffes afgørelse enten i en strid om hans borgerlige rettigheder og forpligtelser eller angående en mod ham rettet anklage for en forbrydelse.

Sagen omhandler således en grundlæggende menneskerettighed, og det er for Datatilsynet fundamentalt, at alle, herunder sagens aktører, men også omverden, kan stole på de oplysninger, politiet behandler og videregiver til politikredsene og ultimativt de oplysninger, som anklagemyndigheden fremlægger som bevisligheder i retten. Datatilsynet vurderer, at manglende databeskyttelse i særligt straffesagskæden – ud over rettighedstab for de registrerede – kan medføre svækket tillid til både politiet og domstolene.

Det er Datatilsynets opfattelse, at den pågældende behandling af beskyttelsesværdige oplysninger og den kontekst hvori oplysningerne indgår, indebærer en høj risiko for de berørte borgeres rettigheder og frihedsrettigheder, da behandling af urigtige eller ufuldstændige oplysninger kan indebære alvorlige krænkelser for borgerne, herunder krænkelse af borgernes ret til en retfærdig rettergang, indgreb i forhold til den personlige frihed, samt generelle forhold omkring privatlivets fred.

Idet denne sag berører en grundlæggende menneskerettighed anser tilsynet sagen som et uacceptabelt eksempel på den potentielle realisering af nogle af de mest alvorlige risici for de registrerede, som manglende databeskyttelse kan medføre.

3.1. Behandlingssikkerhed

Ifølge retshåndhævelseslovens § 27, stk. 1, skal den dataansvarlige og databehandleren – under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål og risicienes varierende sandsynlighed og alvor for fysiske personers rettigheder – gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omfattet af § 10.

Den dataansvarlige skal som en del af implementeringen af passende tekniske eller organisatoriske foranstaltninger således vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici. Generelt vil beskyttelsesbehovet stige, jo mere sensitive personoplysninger der behandles. Den dataansvarlige skal således gøre sig overvejelser om beskyttelsesbehovet for de oplysninger, der behandles.

Når henses til, at behandlingen af personoplysninger i form af teledata til brug for retsforfølgelse sandsynligvis indebærer en høj risiko for registreredes rettigheder og frihedsrettigheder, finder Datatilsynet, at der skal foreligge et højt niveau af databeskyttelse, særligt skal det sikres, at oplysningerne er korrekte og retvisende. 

Datatilsynet lægger ud fra det oplyste først og fremmest til grund, at Rigspolitiet har erkendt, at der generelt ikke har været foretaget en kvalitetssikring af historiske teledata eller fuldstændighedskontrol af modtagne historiske teledata fra Rigspolitiets Telecenter. Rigspolitiet har endvidere erkendt, at telecentrets kontroller i mindre grad har haft fokus på at validere kvaliteten af data, at der er forskel på politikredsenes kontrol af kvalitetssikring af teledata fra telecentret, og at processerne for kvalitetskontrol i meget begrænset omfang har været dokumenteret.

Endvidere lægger Datatilsynet til grund, at der ikke har eksisteret tilstrækkelig uddannelse og træning af medarbejderne i håndtering af teledata, og databeskyttelse, herunder behandlingssikkerhed. Datatilsynet har i den forbindelse – efter det af Rigspolitiet i redegørelsen oplyste –  lagt til grund, at kompetenceopbygningen af politiets efterforskere nærmest udelukkende er baseret på sidemandsoplæring, og at der ikke foreligger en reel uddannelsesplan eller –forløb for nye efterforskere.  

Datatilsynet lægger endvidere til grund, at der i Rigspolitiets Telecenter ikke har foreligget en fast praksis eller procedure for at notere eller dokumentere indmeldte fejl og tilhørende beskrivelse af eventuel fejlløsning i et centralt system eller dokument. Datatilsynet lægger i den forbindelse vægt på Rigspolitiets oplysninger om, at det er muligt at indrapportere fejl i modtagne data på mindst fem forskellige måder.

Herudover lægger Datatilsynet til grund, at eventuelle fejl i årevis – de første fejl er konstateret i 2012 – er blevet løst på ad hoc basis, hurtigst muligt, individuelt og udokumenteret. Det fremgår af sagen, at Rigspolitiets Telecenter i februar, maj, august og september 2018 modtog henvendelser fra rekvirenter, der konstaterede manglende historiske teleoplysninger i konverterede datasæt, hvilket blev håndteret i de konkrete tilfælde, men uden at det gav anledning til en mere systematisk gennemgang af data. Datatilsynet har videre lagt vægt på, at det af Rigspolitiets egen redegørelse fremgår, at der i mindre grad har været en fælles refleksion over konstaterede fejl, hvilket har medvirket til, at fejl blev løst, uden at det blev undersøgt, hvorfor fejl forekom igen og igen.

Datatilsynet lægger ligeledes til grund, at Rigspolitiet – foruden enkelte eksempler fra 2012 og 2015 – ikke har fundet oplysninger, der viser at potentielle og identificerede fejl i teledata har været forelagt og drøftet på direktionsmøder, koncernledelsesmøder, møder i øverste ledelse, udvidede møder i øverste ledelse i Politiområdet eller i forum for chefpolitiinspektører i politiet. Datatilsynet har videre lagt til grund, at trods der har været fejl i teledata siden 2011, er fejl og problemstillinger vedrørende uoverensstemmelse mellem modtaget rådata og konverteret data – foruden et møde i 2012 mellem bl.a. den daværende politidirektør for politiområdet og et teleselskab – først blevet behandlet på et vist ledelsesmæssigt niveau i september 2018.  

Datatilsynet lægger endvidere til grund, at det af Rigspolitiets redegørelse følger, at det ikke er ukendt for myndigheden selv, at der kan optræde fejl, fejlkilder eller usikkerheder i teledata, som anvendes under straffesager. Det følger af bl.a. svar til Folketingets Retsudvalg, at det har været kendt tilbage i 2015, at teleudbydernes mastelister ikke har været korrekte og løbende ajourført, at der har været fejl i teleudbydernes historiske fortegnelser over masteplaceringer, og at der ikke er sket en retvisende registrering af de transmissionsceller, som en mobiltelefon har anvendt i forbindelse med datatrafik.

Herudover lægger Datatilsynet til grund, at Rigspolitiet, på baggrund af en konkret verserende efterforskning, i november 2018 fik mistanke om, at der kunne være en generel konverteringsfejl i det it-program i telecentret, som konverterede rådata og videreformidlede disse data til den relevante rekvirent. Idet der forelå uoverensstemmelser mellem rådata og konverterede data, således at dele af rådata ikke indgik i den konverterede data, som blev formidlet fra telecentret til politikredsen, foretog telecentret i november 2018 en stikprøve med henblik på afklaring af, om der umiddelbart var tegn på en generel fejl. Kontrollen er ikke dokumenteret og ikke mulig at genskabe, men viste efter det i redegørelsen oplyste, at langt hovedparten af de stikprøvekontrollerede sager var korrekt konverteret, hvorfor Rigspolitiet vurderede, at der ikke forelå en generel systemfejl, og at konverteringsfejlen i den konkrete sag skyldtes de store datafiler, der var indhentet til den pågældende sag, og som havde et meget stort omfang.

Datatilsynet lægger i den forbindelse til grund, at telecentret – på baggrund af hændelsen – indsatte et nyt afsnit i den vejledning, som blev leveret til rekvirenten sammen med filerne med rådata og konverterede data. I det nye afsnit blev det anført, at rekvirenten inden brugen af konverterede data altid skulle sikre sig, at antallet af rækker med aktiviteter i de to datasæt var overensstemmende. Rekvirenterne blev dog ikke gjort særskilt opmærksom på denne ændring.^[60]

Datatilsynet lægger endvidere til grund, at den ukorrekte konvertering af rådata – efter Rigspolitiets egne oplysninger – bl.a. skyldtes, at telecentrets IT-systemer ikke har overvåget hændelser, hvor indlæsningen af en filsektion er standset, før hele sektionen var indlæst, og at systemets timer-funktion har gjort, at data i nogle tilfælde blev afsendt, selvom den samlede konvertering endnu ikke var færdiggjort, således at der blev leveret ukomplette konverterede datasæt til rekvirenten. Datatilsynet har i den forbindelse lagt til grund, at systemet – efter første ufærdige leverance – burde have færdiggjort konverteringen og fremsendt et fuldt konverteret datasæt til rekvirenten, hvorfor tilsynet vurderer, at Rigspolitiet ikke har foretaget tilstrækkelige tekniske foranstaltninger for at sikre et passende sikkerhedsniveau.

Herudover lægger Datatilsynet til grund, at en opdatering af it-systemet i 2013 var en af årsagerne til, at der skete en konverteringsfejl af rådata.

Datatilsynet lægger endelig til grund, at telecentret blev opmærksom på fejlen i november 2016, og at centret i den anledning foretog en række systemmæssige tilpasninger. Telecentret foretog derimod ikke en orientering af de lokale politikredse om problemet.

Efter Datatilsynets opfattelse har Rigspolitiet dermed ikke i tilstrækkelig grad truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger med henblik på at sikre et tilstrækkeligt sikkerhedsniveau, der passer til de risici, der er ved myndighedens behandling af personoplysninger, herunder ved at sikre at Rigspolitiet ikke behandler og videregiver urigtige personoplysninger i form af ukorrekte eller ufuldstændige teledata.

Det er i den forbindelse Datatilsynets opfattelse, at alle sandsynlige fejlscenarier bør testes i forbindelse med udviklingen af ny software, hvor der behandles personoplysninger, og at der skal ske test og løbende opfølgning ved eventuelle ændringer i den dataansvarliges systemer, således at det sikres, at personoplysninger behandles med vedvarende fortrolighed, integritet, tilgængelighed og robusthed. Datatilsynet finder det i den forbindelse skærpende, at oplysningerne danner baggrund for beslutninger vedrørende efterforskning, påtale og tiltale, og at oplysningerne bruges som bevisligheder ved straffesager.

Datatilsynet lægger endvidere vægt på, at denne sag, herunder de nu identificerede fejl, er udtryk for flere forskellige typer af fejl og med varierende årsager. Datatilsynet finder, at sagen er udtryk for, at de procedurer, metoder og systemer, der har været anvendt i Rigspolitiets Telecenter og politikredsene i forbindelse med behandlingen af teledata, samlet set enten ikke har været egnet til at sikre kvaliteten af oplysningerne, eller at medarbejderne ikke i tilstrækkelig grad har været bekendt hermed.

Derudover lægger Datatilsynet mere generelt til grund, at behandlingen af oplysningerne har stået på over en længere årrække, at behandlingen vedrører et større antal sager, at Rigspolitiet behandler beskyttelsesværdige oplysninger om en meget stor mængde borgere, og konteksten hvori oplysningerne indgår, herunder at oplysningerne ultimativt kan benyttes i forbindelse med politiets efterforskning og en eventuel senere straffesag, hvorfor tilsynet finder at nærværende behandling af personoplysninger indebærer en høj risiko for de berørte personers rettigheder og frihedsrettigheder.

På den baggrund finder Datatilsynet, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 27.

Datatilsynet har noteret sig, at Rigspolitiet som opfølgning på denne sag har truffet en række organisatoriske og tekniske foranstaltninger (afsnit 2.10 ovenfor) og foretaget en række overvejelser og nye tiltag.

3.2. Grundlæggende principper ved behandling af personoplysninger

3.2.1. § 4, stk. 4 om ’rigtighed’ og § 4, stk. 5 om kvaliteten af oplysninger ved videregivelse

Det følger af retshåndhævelseslovens § 4, stk. 4, at oplysninger, som behandles, skal være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.

Endvidere følger det af § 4, stk. 5, at den dataansvarlige træffer alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med videregivelse af oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Konstateres det, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet fald berigtiges eller slettes, eller behandlingen skal begrænses.

Rigspolitiet har erkendt at have leveret ufuldstændige datasæt, behandlet mangelfuld rådata om kommunikation ved brug af nyere tjenester og fejlagtigt konverteret mastekoordinater. Datatilsynet finder på den baggrund, at myndigheden har behandlet og videregivet urigtige, ufuldstændige og ikke-ajourførte personoplysninger. Datatilsynet finder på den baggrund, at Rigspolitiet ikke har iagttaget retshåndhævelseslovens § 4, stk. 4 og stk. 5.

Datatilsynet lægger til grund, at Rigspolitiet i en række tilfælde ikke har indlæst oplysninger i konverterede teledata om datatyperne ”anden aktivitet og ”tjenesteydelser” i analyseværktøjet, og konverterede masteoplysninger, når der var tale om datasæt, som kun omhandlede oplysninger om bestemte telefonnumres masteplaceringer, hvorfor det ikke kan udelukkes, at rekvirenten alene har arbejdet med konverterede teledata via analyseværktøjet.

Endvidere lægger Datatilsynet, på baggrund af Rigspolitiets redegørelse, til grund, at der – grundet en ændring i telecentrets it-system i november 2016 – foreligger tilfælde, hvor oplysninger om særlige tjenester indgik i rådata, men ikke i konverterede teledata.

Derudover lægger Datatilsynet til grund, at Rigspolitiet i 2019 har konstateret, at ikke alle teleudbydere har leveret og leverer alle oplysninger om nye datatyper, herunder nyere samtaletjenester som VoLTE og VoWiFi, hvorfor Rigspolitiet har identificeret en række sager, hvor der har manglet oplysninger om nyere samtaletjenester. Datatilsynet lægger i den forbindelse til grund, at én teleudbyder ikke har logget oplysninger om disse aktiviteter, når der var tale om indgående opkald til kunder med et særligt erhvervsabonnement, hvorfor disse oplysninger ikke har indgået i rådata fra april/maj 2017 og frem til midten af august 2019, hvor teleudbyderen har oplyst at have korrigeret sine registreringer med henblik på at sikre, at oplysninger om VoLTE- og VoWiFi-aktiviteter leveres til politiet uanset abonnementstype.

Datatilsynet lægger endvidere til grund, at der i perioden 2011 til 2019 er sket forskydninger af mastekordinater i forbindelse med Rigspolitiets Telecenters konvertering af mastepositioner, hvorved Rigspolitiet har behandlet og videregivet oplysninger om telemasters placering, hvor de konverterede geografiske koordinater for mastepositioner var blevet ændret, så masternes placering i de konverterede oplysninger ikke stemte overens med masternes placering i rådata.

Datatilsynet lægger i den forbindelse endvidere til grund, at den langt overvejende del af disse sager udgøres af fejl, hvor mastekoordinaterne er forskudt ca. 222 meter i syd-sydvestlig retning, og at de fejlagtige koordinater skyldtes fejl i de it-systemer i telecentret, der har oversat koordinaterne fra teleudbyderens format til det format, som politiet anvendte.

Datatilsynet lægger endvidere til grund, at det ikke kan udelukkes, at en sådan forskydning – eksempelvis ved tættere bymæssig bebyggelse – potentielt kan have en betydning og dermed en risiko for de registreredes rettigheder og frihedsrettigheder.

Herudover lægger Datatilsynet til grund, at Rigspolitiet foretager en ikke-ubetydelig behandling af personoplysninger om en meget stor mængde borgere, hvilket efter Datatilsynets opfattelse medfører, at Rigspolitiet i højere grad bør kvalitetssikre rigtigheden af de data, som myndigheden opbevarer og videregiver.

Datatilsynet lægger endvidere til grund, at behandlingen af urigtige, ufuldstændige og ikke-ajourførte oplysninger har stået på over en længere årrække, at Rigspolitiet i årevis har været bekendt med, at der kan optræde fejl, fejlkilder eller usikkerheder i teledata, som anvendes under straffesager, at behandlingen vedrører et større antal sager og afslutningsvis konteksten hvori oplysningerne indgår, herunder ultimativt som led i en straffesag.

På den baggrund finder Datatilsynet, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 4, stk. 4 og stk. 5.

Datatilsynet skal hertil bemærke, at det generelt er princippet, at fejlbehæftede eller urigtige oplysninger, der er videregivet til andre dataansvarlige skal berigtiges ved, at man underetter modtageren af oplysningerne om de pågældende fejl, jf.  retshåndhævelseslovens § 4, stk. 5.

Datatilsynet skal på den baggrund henstille, at Rigspolitiet vurderer dette, og i givet fald kontakter de dataansvarlige modtagere, med mindre disse er adviseret herom på anden vis. En sådan meddelelse skal indeholde oplysninger der sikrer, at de urigtige oplysninger berigtiges, eller slettes, eller fremtidig behandling begrænses.

Datatilsynet skal henvise til tilsynets vejledning om registreredes rettigheder.[61]

3.2.2. § 4, stk. 6 om opbevaringsbegrænsning

Det følger af retshåndhævelseslovens § 4, stk. 6, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Datatilsynet har gennemgået Rigspolitiets redegørelse. Rigspolitiet har i den forbindelse oplyst, at når en databehandling er afsluttet, er telecentret i besiddelse af to eksemplarer af de konverterede teledata. Det ene eksemplar af de konverterede datasæt skal automatisk slettes efter et år, og det andet skal slettes efter yderligere et år. Rigspolitiet har endvidere oplyst, at det efter retsplejelovens § 791, stk. 4 følger, at politiet skal tilintetgøre materiale, som tilvejebringes ved indgreb i meddelelseshemmeligheden, og som viser sig ikke at have efterforskningsmæssig betydning.

Det er ikke Datatilsynets ressort at tage stilling til, hvornår de pågældende oplysninger har efterforskningsmæssig betydning, og i den forbindelse hvornår et strafferetligt skridt er nødvendigt.

Datatilsynet finder på den baggrund ikke grundlag for at tilsidesætte Rigspolitiets vurdering af, at personoplysninger i form af teledata er nødvendige at opbevare i op til to år. Datatilsynet har i den forbindelse lagt til grund, at opbevaring af teledata er reguleret i retsplejeloven, og at Rigspolitiet ses at have taget konkret stilling til, hvor længe oplysningerne er nødvendige at opbevare.

Datatilsynet lægger imidlertid til grund, at Rigspolitiet har erkendt at have opbevaret ca. 75 pct. af de omhandlede datasæt i telecentret og ikke udføre den automatiske sletning af eksemplarer af konverterede teledata. Datatilsynet finder på den baggrund, at myndigheden ikke har handlet i overensstemmelse med retshåndhævelseslovens § 4, stk. 6.

Datatilsynet lægger i den forbindelse til grund, at Rigspolitiets Telecenter lagrer teledata efter afslutning af databehandlingen, at telecentret har fastsat en forretningsproces, hvorefter det ene eksemplar af disse teledata burde slettes automatisk efter et år, og yderligere et år for det andet eksemplar, og at der ikke har været en konsistent praksis i forhold til Rigspolitiets Telecenters sletning af databaseversionen, hvorfor kopier af datasættene fortsat forefindes i en række sager, hvor rekvireringen skete for mere end 24 måneder siden.

På den baggrund finder Datatilsynet, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 4, stk. 6.

Datatilsynet finder endvidere grundlag for at meddele Rigspolitiet påbud om at foretage sletning af de personoplysninger, der opfylder kravene til sletning efter telecentrets egne retningslinjer, idet omfang der ikke allerede er sket sletning heraf.

Påbuddet meddeles i medfør af retshåndhævelseslovens § 42, stk. 1.

Fristen for efterlevelse af påbuddet er 6 uger fra dags dato. Datatilsynet skal anmode om at modtage en bekræftelse af, at Rigspolitiet i tilstrækkeligt omfang har slettet de pågældende personoplysninger.

Herudover skal Datatilsynet henstille til Rigspolitiet, at der udarbejdes retningslinjer for sletninger, der efterleves, kontrolleres og sanktioneres. Dette gælder også de datasæt, der er videregivet til rekvirenter, og der skal indarbejdes rutiner der sikrer, at alle repræsentationer af data, i alle led af organisationen, bliver slettet.

3.3 § 4, stk. 8, jf. § 4, stk. 7 om ”ansvarlighed”

Det følger af retshåndhævelseslovens § 4, stk. 8, at en dataansvarlig skal kunne påvise overholdelse af § 4, stk. 1-7, herunder at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger, jf. § 4, stk. 7.

Den dataansvarlige skal således – udover at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger – også kunne påvise overholdelsen af disse sikkerhedsforanstaltninger.

Rigspolitiet har i sin egen redegørelse erkendt, at der i undersøgelsesperioden ikke er udarbejdet nationale retningslinjer for, hvorledes politikredsene skal håndtere og kvalitetssikre data, der er modtaget fra telecentret, hvorfor enkelte politikredse har udarbejdet lokale vejledninger for deres behandling af teleoplysninger.

Endvidere har Rigspolitiet erkendt, at der ikke har foreligget systembeskrivelser af de it-systemer og databaser, der bruges i telecentret i forbindelse med håndteringen af teledata.

Rigspolitiet har herudover erkendt, at der ikke er sket en opdatering af organisationens flowbeskrivelse siden 2011, trods løsningen siden er blevet videreudviklet, og at Rigspolitiet – i forbindelse med udviklingen af et nyt og mere tidssvarende system til konvertering og lagring af teledata – ikke har udarbejdet projektinitieringsdokument, business case, kravsspecifikation eller lignende, hvilket ellers er udgangspunktet i Rigspolitiet ved udvikling eller tilpasning af allerede eksisterende it-systemer.

Datatilsynet finder på baggrund af Rigspolitiets redegørelse, at myndigheden ikke har levet op til kravene i retshåndhævelseslovens § 4, stk. 8, jf. § 4, stk. 7, idet myndigheden ikke er i stand til at påvise skriftlige retningslinjer, vejledninger eller procedurer for håndtering af teledata, og dermed ikke kan påvise, at myndigheden har sikret tilstrækkelig sikkerhed for de pågældende personoplysninger.

På den baggrund finder Datatilsynet, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 4, stk. 8, jf. § 4, stk. 7.

3.4. Sammenfatning

Samlet set vurderer Datatilsynet, at Rigspolitiet har haft utilstrækkelige processer og arbejdsgange i forbindelse med behandlingen af teledata. Datatilsynet finder endvidere, at Rigspolitiet ikke har sikret kvaliteten, rigtigheden og integriteten af de leverede teledata, eller har påset den efterfølgende sletning af oplysningerne.  

Datatilsynet vurderer – på baggrund af Rigspolitiets redegørelse – endvidere, at Rigspolitiet ikke har truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger med henblik på et sikre et passende sikkerhedsniveau, herunder ved at sikre, at myndigheden ikke behandler og videregiver urigtige personoplysninger, som herefter bruges som bevismidler ved straffesager.

Herudover vurderer Datatilsynet – på baggrund af Rigspolitiets redegørelse – at der har været mangelfuld kommunikation til kredsene og videre i straffesagskæden om kendte mangler i indholdet af data. Dette har, sammenholdt med kredsenes uens praksis for kvalitetskontrol af data og et manglende ledelsesmæssigt fokus på området, medført, at der i flere tilfælde er tilvejebragt ukorrekte personoplysninger, som bruges som bevismidler ved straffesager.

Datatilsynet finder på ovenstående baggrund grundlag for at udtale alvorlig kritik af, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 27, § 4, stk. 4 - 6 og § 4, stk. 8, jf. stk. 7.

Datatilsynet finder endvidere grundlag for at meddele Rigspolitiet påbud om at foretage sletning af de personoplysninger, der opfylder kravene til sletning efter telecentrets egne retningslinjer, i det omfang der ikke allerede er sket sletning heraf.

Påbuddet meddeles i medfør af retshåndhævelseslovens § 42, stk. 1.

Fristen for efterlevelse af påbuddet er 6 uger fra dags dato. Datatilsynet skal anmode om at modtage en bekræftelse af, at Rigspolitiet i tilstrækkeligt omfang har slettet de pågældende personoplysninger.

Datatilsynet gør opmærksom på, at det efter retshåndhævelseslovens § 50, stk. 2 straffes med bøde at undlade at efterkomme et påbud, der er meddelt i henhold til § 42.

Herudover skal Datatilsynet opfordre Rigspolitiet til, at der udarbejdes retningslinjer for sletninger, der efterleves, kontrolleres og sanktioneres. Dette gælder også de datasæt, der er videregivet til rekvirenter, og der skal indarbejdes rutiner der sikrer, at alle repræsentationer af data, i alle led af organisationen, bliver slettet.

4. Afsluttende bemærkninger

Datatilsynets afgørelser kan ikke indbringes for anden administrativ myndighed, jf. retshånd-hævelseslovens § 42, stk. 2. Tilsynets afgørelser kan imidlertid indbringes for domstolene, jf. grundlovens § 63.

Datatilsynet foretager sig ikke yderligere i anledning denne sag.

Datatilsynet skal dog indskærpe for Rigspolitiet, at tilsynet vil monitorere dette behandlingsområde, og tilsikre at Rigspolitiet får implementeret de fornødne tiltag til, at sikre en lovlig behandling og tilfredsstillende varetagelse af de registreredes rettigheder.

Datatilsynet skal for god ordens skyld bemærke, at tilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Bilag: Retsgrundlag

Uddrag af Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger med senere ændringer (retshåndhævelsesloven)

Kapitel 1

Lovens område

1. Loven gælder for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

Stk. 2. Loven finder ikke anvendelse på den behandling af personoplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester.

Stk. 3. Loven finder ikke anvendelse på behandling af personoplysninger i medfør af EU-retsakter, der den 6. maj 2016 eller inden denne dato er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og de udpegede myndigheders adgang til EU-informationssystemer.

2. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

Kapitel 3

Behandling af oplysninger

4, stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 4. Oplysninger, som behandles, skal være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.

Stk. 5. Den dataansvarlige træffer alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med videregivelse af oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Konstateres det, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet fald berigtiges eller slettes, eller behandlingen skal begrænses.

Stk. 6. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Stk. 7. Indsamlede oplysninger skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, hændelig tilintetgørelse eller hændelig beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. § 27.

Stk. 8. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1-7 overholdes.

Kapitel 12

Behandlingssikkerhed

27. Den dataansvarlige og databehandleren skal under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål og risicienes varierende sandsynlighed og alvor for fysiske personers rettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omfattet af § 10.

[1] Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger med senere ændringer.

[2]    Rigspolitiets redegørelse, s. 62

[3]    Redegørelsen, s. 62

[4]    Redegørelsen, s. 62.

[5]    Redegørelsen, s. 63.

[6]    Redegørelsen, s. 63.

[7]    Redegørelsen, s. 63.

[8]    Redegørelsen, s. 64.

[9]    Redegørelsen, s. 64.

[10] Redegørelsen, s. 64.

[11] Redegørelsen, s. 65.

[12] Redegørelsen, s. 65.

[13] Redegørelsen, s. 65.

[14] Redegørelsen, s. 66.

[15] Redegørelse, s. 65.

[16] Redegørelse, s. 67.

[17] Redegørelse, s. 49.

[18] Redegørelse, s. 67.

[19] Redegørelse, s. 67.

[20] Redegørelse, s. 67.

[21] Deloittes undersøgelse, s. 55.

[22] Undersøgelsen, s. 33.

[23] Redegørelsen, s. 14.

[24] Redegørelsen, s. 15.

[25] Undersøgelsen, s. 17.

[26] Redegørelsen, s. 81.

[27] Redegørelsen, s. 81.

[28] Redegørelsen, s. 85.

[29] Undersøgelsen, s. 17.

[30] Redegørelsen, s. 86.

[31] Undersøgelsen, s. 66.

[32] Redegørelsen, s. 87.

[33] Undersøgelsen, s. 67.

[34] Redegørelsen, s. 88.

[35] Redegørelsen, s. 88.

[36] Redegørelsen, s. 89.

[37] Redegørelsen, s. 89.

[38] Redegørelsen, s. 83.

[39] Undersøgelsen, s. 30.

[40] Undersøgelsen, s. 67.

[41] Redegørelsen, s. 84.

[42] Redegørelse, s. 90-91.

[43] Redegørelsen, s. 91.

[44] Redegørelsen, s. 29.

[45] Redegørelsen, s. 52.

[46] Undersøgelsen, s. 5.

[47] Undersøgelsen, s. 55.

[48] Undersøgelsen, s. 55

[49] Redegørelsen, s. 23.

[50] Redegørelsen, s. 23.

[51] Redegørelsen, s. 24.

[52] Redegørelsen, s. 24.

[53] Redegørelsen, s. 71.

[54] Redegørelsen, s. 71.

[55] Redegørelsen, s. 72.

[56] Redegørelsen, s. 72.

[57] Redegørelsen, s. 72.

[58] Redegørelsen, s. 73.

[59] Redegørelsen, s. 73.

[60] Redegørelsen s. 24.

[61] Datatilsynets vejledning af juli 2018 om registreredes rettigheder, s. 32.