J.nr. 2018-31-0070
Datatilsynet vender hermed tilbage til sagen, hvor [klager] den 22. august 2016 har klaget til Datatilsynet over TDC A/S’ (herefter TDC) behandling af personoplysninger om ham i forbindelse med TDC’s registrering af trafik- og lokaliseringsdata, når klagers mobiltelefon tilgår internettet.
1. Afgørelse
Efter en gennemgang af sagen, og efter at sagen har været behandlet på et møde i Datarådet, finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at TDC’s behandling af personoplysninger om klager ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra c.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at TDC løbende har registreret oplysninger om klager, herunder hvilke mobilmaster klagers mobiltelefon har oprettet forbindelse til ved internetkommunikation. Klager var blevet opmærksom på disse registreringer på baggrund af en indsigtsanmodning, som TDC besvarede den 24. september 2015.
Af det i forbindelse med indsigten modtagne materiale fremgår det, at TDC over en periode på 10 måneder foretog 11.366 logninger af lokaliseringsdata ved mobildatatrafik. I samme periode blev der registreret 185 MMS CDR-oplysninger.
På baggrund af ovennævnte rettede klager den 9. og 11. februar 2016 henvendelse til Erhvervsstyrelsen og klagede over TDC’s registrering af trafik- og lokaliseringsdata for mobildatatrafik.
I et svar til Erhvervsstyrelsen den 1. april 2016 har TDC nærmere redegjort for den omhandlede registrering af trafik- og lokaliseringsdata. Af redegørelsen fremgår bl.a. følgende:
”Grundlaget for regningsdata til brug for MMS (CDR) dannes i den del af mobilnettet der kaldes MMSC (MMS centret). Denne datastreng indeholder bl.a. en tidsstempling, men ikke registrering af celle-id (mastelokationer).
For at få lokation (celle-id) knyttet til en specifik MMS, bliver TDC nødt til at opsamle lokationsoplysninger fra trafiknoderne i det såkaldte PS-net. MMS transporteres som data i PS-nettet, hvor det ikke er muligt at skelne mellem den ene og den anden form for IP-trafik. Derfor opsamles lokation for al mobildatatrafik.
Først ved samkøring af den tidsstempling af MMS, der registreres og gemmes i afregnings-CDR med tilsvarende [tidsstempling] i den opsamlede data om mobildata fra trafiknoderne kan lokationsdata for MMS udskilles.
TDC foretager ikke yderligere databehandling af lokationsdata og dermed samkøring af MMS CDR og lokationsoplysninger for mobildata, før TDC modtager en anmodning fra politiet om udlevering af MMS lokationsoplysninger, eller når en slutkunde anmoder om indsigt i kundens egne data efter persondataloven. Først ved denne samkøring af data dannes der et match mellem den enkelte MMS og den opsamlende lokation.
Det skal bemærkes, at TDC sletter lokationsdata, når de ikke længere er relevante at gemme, jf. logningsbekendtgørelsen. Herved sikrer TDC, at TDC fortsat kan gemme regningsdata for MMS efter [bogføringsloven] (dvs. længere end et år), mens lokationsdata ikke gemmes længere end logningsbekendtgørelsen tilskriver. Hvis lokation blev opsamlet som en del af afregnings-CDR, ville TDC ikke kunne slette lokationsdata fra afregnings-CDR før TDC kan [slette] afregningsgrundlaget efter bogføringsloven.
Det skal endvidere bemærkes, at TDC ikke opsamler celle-id for alle de master, [som] en kunde benytter i forbindelse med anvendelse af mobildata (herunder MMS). TDC opsamler kun registrering af de celler, som benyttes på det tidspunkt, hvor forskellige tilstandsskift opstår, fx hvis kunden har nået en specifik volumen grænse, sessionsstart, sessionsslut, når en datasession har varet en time, eller ved skift af radioteknologi (2G, 3G og 4G). Dette er årsagen til, at [klager] på sit dataudtræk kan konstatere nogle periodiske registreringer. Dette betyder samtidig, at registreringen af celle-id for en MMS ikke nødvendigvis nøjagtig svarer til den celle, kunden var tilknyttet, da MMS’en blev afsendt, men den celle TDC sidst har registreret anvendt i forbindelse med kundens anvendelse af mobildatakommunikation.”
Efter indledningsvist – på Datatilsynets opfordring – at have afventet Erhvervsstyrelsens behandling af hans klage rettede klager den 5. april 2017 fornyet henvendelse til Datatilsynet, idet Erhvervsstyrelsen bl.a. havde meddelt ham, at styrelsen ikke anså ham for at være part i styrelsens sag over for TDC.
Erhvervsstyrelsen traf den 24. maj 2017 afgørelse i sagen over for TDC og fandt i den forbindelse, at TDC’s registrering og opbevaring af lokaliseringsdata vedrørende mobildatatrafik ikke var i strid med § 23, stk. 1, i bekendtgørelse nr. 715 af 23. juni 2011 om udbud af elektroniske kommunikationsnet og -tjenester (udbudsbekendtgørelsen).
Af Erhvervsstyrelsens afgørelse fremgår bl.a. at Teleindustrien ved brev af 12. november 2015 over for Erhvervsstyrelsen har oplyst, at såfremt teleudbyderne skal adskille lokaliseringsdata for MMS-kommunikation fra andet mobildata, skal sorteringen ske før opsamlingen af CDR-filer. Teleindustrien har endvidere oplyst, at der ikke findes udstyr eller teknikker hertil, som udbyderne råder over i dag, og at det derfor vil kræve it-udvikling at foretage en sådan sortering. Det er Teleindustriens løst skønnede estimat, at en sådan ændring samlet vil koste et tocifret millionbeløb for branchen, og at det formentlig vil tage ca. et år at implementere en sådan løsning.
Klager har efterfølgende på ny fået indsigt i sine personoplysninger hos TDC.
Af det modtagne materiale fremgår det, at TDC i perioden 12. juni 2017 – 11. juni 2018 foretog 22.219 logninger af lokaliseringsdata ved mobildatatrafik. I samme periode blev der registreret 20 MMS CDR-oplysninger.
2.1. Klagers bemærkninger
Overordnet har klager anført, at TDC registrerer flere oplysninger end det, der er nødvendigt for at overholde TDC’s forpligtelse efter logningsbekendtgørelsens § 4, nr. 6.
Klager har i den forbindelse anført, at det kun er 1,6 % af de registrerede oplysninger, som TDC efter logningsbekendtgørelsens § 4, nr. 6, er forpligtet til at registrere. Klager har derudover anført, at hans lokation i flere tilfælde er registreret over hundrede gange om dagen, uden at han har sendt eller modtaget MMS’er de pågældende dage.
Endelig har klager henvist til, at TDC kan foretage en løbende samkøring af MMS CDR-oplysninger og mobildatatrafikken, således at TDC alene opbevarer mobildatatrafik, der relaterer sig til MMS-kommunikation.
2.2. TDC’s bemærkninger
TDC har anført, at det fremgår af vejledningen til logningsbekendtgørelsens § 1, at teleudbyderne alene skal registrere og opsamle oplysninger om teletrafik, der genereres eller behandles i udbyderens net, og at TDC således ikke er pålagt at udvikle særlige systemer med henblik på at tilvejebringe relevante data, som ikke allerede behandles i TDC’s mobilnet.
TDC har endvidere anført, at justitsministeren, ved udstedelsen af logningsbekendtgørelsen, var klar over, at opfyldelse af kravet om logning af lokaliseringsdata ved MMS-kommunikation ville medføre en logning af lokaliseringsdata for al mobildatatrafik. I den forbindelse har TDC henvist til Teleindustriens udtalelse til Justitsministeriet i forbindelse med tilblivelsen af logningsbekendtgørelsen. Af Justitsministeriets høringsnotat af 18. juni 2004, s. 34-35, fremgår:
”I mange andre tilfælde skaber bekendtgørelsesudkastets krav imidlertid stor tvivl om den praktiske rækkevidde af kravene for en konkret tjeneste. Eksempelvis giver vejledningen indtryk af, at lokaliseringsdata (bekendtgørelsens § 2, stk. 1, nr. 6) skal registreres i forbindelse med kommunikation via GPRS og i forbindelse med udveksling af MMS. Imidlertid registreres lokaliseringsdata ikke i forbindelse med nævnte kommunikationer i de fleste mobilnet. Dette skyldes, at de pågældende tjenester er baseret på åbne logiske kanaler, der fysisk er aktiveret så længe terminalen er tændt. Transportnettet opdateres løbende i takt med kundens skift mellem celler, men denne oplysning benyttes alene til en dynamisk opdatering af rutningsdata. Der er derfor hverken anledning til eller behov for logning af lokaliseringsoplysninger for den enkelte kommunikation. I de tilfælde, hvor GPRS benyttes til eksempelvis meddelelser på et højere niveau i forhold til mobiltjenesten – evt. via en af mobiludbyderen uafhængig e-mail udbyder – vil der ikke foreligge en registrering af kommunikationen i mobilnettet bortset fra de [kvantificeringer] af volumenforbruget, som benyttes til volumentaksering. Hvis der skal registreres lokaliseringsdata i forbindelse med MMS og kommunikation via GPRS generelt, kan dette alene ske ved en logning af al celleinformation i tilknytning til den logiske kanal, der benyttes som bærer, og en efterfølgende tidsmæssig matchning af disse poster med genererede poster for kommunikation. Dette vil være en ekstremt omfattende opgave, og det vil indebære, at der sker en logning af kundens adfærd uafhængig af kommunikationer til og fra den pågældende.”
Herudover har TDC anført, at selskabet har undersøgt, om den tekniske udvikling af mobilnettene siden logningsbekendtgørelsens udstedelse har medført, at det er muligt at foretage registrering af lokaliseringsdata for MMS-kommunikation uden at registrere lokaliseringsdata for al mobildatatrafik. Det har imidlertid vist sig ikke at være tilfældet.
TDC bemærker endvidere, at en løbende samkøring af lokaliseringsdata for mobildatatrafik og trafikdata for MMS – efter selskabets opfattelse – vil medføre en kompromittering af det datagrundlag, der danner baggrund for de lokationsoplysninger, der udleveres til politiet. TDC vil således ikke ved et ønske om validering af data kunne gennemgå rådata med henblik på at dokumentere, at oplysningerne er valide, da rådata ikke længere findes. Det er derfor efter TDC’s opfattelse nødvendigt, at TDC opbevarer lokaliseringsdata for al mobildatatrafik for efter logningsbekendtgørelsen at kunne udlevere valide lokaliseringsdata for MMS-kommunikation.
TDC har ved brev af 28. september 2018 oplyst, at den pågældende MMS-logning alene hviler på TDC’s fleksibilitet og imødekommenhed over for Justitsministeriets ønske herom, og at TDC ikke har en selvstændig interesse i den pågældende logning.
Endelig har TDC ved brev af 7. november 2018 oplyst, at TDC har indstillet logningen af al lokaliseringsdata for mobildatatrafik, og at al tidligere indsamlet data er blevet slettet.
3. Datatilsynets kompetence
Efter databeskyttelseslovens § 27, stk. 1, fører Datatilsynet tilsyn med overholdelsen af de generelle databeskyttelsesregler, der findes i databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Tilsynet med regler om behandling af personoplysninger, der ikke er erstattet af særregler i f.eks. telelovgivningen, ligger således hos Datatilsynet.
Ved en gennemgang af udbudsbekendtgørelsen er det umiddelbart alene bestemmelsen i § 23, stk. 5, der har et indhold, som giver anledning til overvejelser om forholdet til dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c. Udbudsbekendtgørelsen er sålydende:
§ 23. Udbydere af offentlige elektroniske kommunikationsnet eller -tjenester skal sikre, at trafikdata, jf. § 2, stk. 1, nr. 2, vedrørende abonnenter eller brugere slettes eller anonymiseres, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2-5 og retsplejelovens § 786, stk. 4, eller regler udstedt i medfør heraf.
Stk. 2. Uanset stk. 1 må en udbyder, som nævnt i stk. 1, behandle og opbevare trafikdata med henblik på debitering af abonnenter og afregning for samtrafik. En sådan behandling og opbevaring af data er tilladt indtil udløbet af den lovhjemlede forældelsesfrist for de omhandlede gældsforpligtelser og afregninger.
Stk. 3. Uanset stk. 1 må en udbyder, som nævnt i stk. 1, behandle trafikdata, jf. § 2, stk. 1, nr. 2, vedrørende abonnenter eller brugere med henblik på markedsføring af elektroniske kommunikationstjenester eller levering af tillægstjenester, jf. § 2, stk. 1, nr. 4, forudsat at abonnenten eller brugeren forud for behandlingen har givet sit samtykke hertil. Behandlingen er kun tilladt i det omfang og tidsrum, som tjenesten eller markedsføringen kræver. Abonnenten eller brugeren skal på et hvilket som helst tidspunkt have mulighed for at trække sit samtykke tilbage.
Stk. 4. Udbydere, som nævnt i stk. 1, skal underrette abonnenten eller brugeren om, hvilke typer af trafikdata der behandles med henblik på de i stk. 2 og 3 omhandlede formål og om behandlingens varighed. Ved behandling med henblik på de i stk. 3 omhandlede formål skal underretning ske, inden samtykke indhentes.
Stk. 5. Udbydere, som nævnt i stk. 1, skal sikre, at behandling af trafikdata som nævnt i stk. 1-4 kun foretages af personer, som er ansat hos eller handler efter bemyndigelse fra udbydere af offentlige elektroniske kommunikationsnet eller -tjenester, og som er beskæftiget med debitering eller trafikstyring, behandling af klager eller andre henvendelser fra abonnenter, opsporing af svig eller med markedsføring af udbyderens egne tjenester eller levering af tillægstjenester. I forbindelse med behandlingen af sådanne konkrete sager skal behandlingen af trafikdata begrænses til alene at vedrøre det, der er nødvendigt for behandlingen af sagen.
Bestemmelsen indeholder således i stk. 5, sidste punktum, et princip om dataminimering, der dog kun angår situationer, hvor ansatte mv. hos teleudbydere behandler konkrete sager, herunder klager, opsporing af svig mv., hvor behandlingen af trafikdata i sådanne konkrete sager skal begrænses til alene at vedrøre det, der er nødvendigt for behandlingen af sagen.
Udbudsbekendtgørelsens § 23 ses således ikke at indeholde et generelt princip om dataminimering, hvorfor bestemmelsen ikke – som følge af princippet om lex specialis – går forud for databeskyttelsesforordningens artikel 5, stk. 1, litra c.
På denne baggrund er det Datatilsynets vurdering, at tilsynet har kompetence til at behandle spørgsmålet om, hvorvidt TDC’s behandling af trafik- og lokaliseringsdata er i overensstemmelse med det grundlæggende princip om dataminimering i forordningens artikel 5, stk. 1, litra c.
4. Registrering af lokaliseringsdata om klager
4.1. Databeskyttelsesforordningens artikel 5
Behandling af personoplysninger skal altid ske i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5.
Det betyder bl.a., at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (”dataminimering”), jf. forordningens artikel 5, stk. 1, litra c.
4.2. Logningsbekendtgørelsen
Justitsministeriets bekendtgørelse nr. 988 af 28. september 2006 som ændret ved bekendtgørelse nr. 660 af 19. juni 2014 om udbydere af elektroniske kommunikationsnets og elektroniske kommunikationstjenesters registrering og opbevaring af oplysninger om teletrafik (”logningsbekendtgørelsen”) regulerer indsamling og opbevaring af oplysninger om teletrafik med henblik på, at oplysningerne vil kunne anvendes som led i efterforskning og retsforfølgning af strafbare forhold.
Af logningsbekendtgørelsens § 1 følger, at udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal foretage registrering og opbevaring af oplysninger om teletrafik, der genereres eller behandles i udbyderens net, således at disse oplysninger vil kunne anvendes som led i efterforskning og retsforfølgning af strafbare forhold.
Af logningsbekendtgørelsens § 4 fremgår følgende:
”En udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal registrere følgende oplysninger om fastnet- og mobiltelefoni samt SMS-, EMS- og MMS-kommunikation:
1) opkaldende nummer (A-nummer) samt navn og adresse på abonnenten eller den registrerede bruger,
2) opkaldte nummer (B-nummer) samt navn og adresse på abonnenten eller den registrerede bruger,
3) ændring af opkaldte nummer (C-nummer) samt navn og adresse på abonnenten eller den registrerede bruger,
4) kvittering for modtagelse af meddelelser,
5) identiteten på det benyttede kommunikationsudstyr (IMSI- og IMEI-numre),
6) den eller de celler en mobiltelefon er forbundet til ved kommunikationens start og afslutning, samt de tilhørende masters præcise geografiske eller fysiske placering på tidspunktet for kommunikationen,
7) tidspunktet for kommunikationens start og afslutning og
8) tidspunktet for første aktivering af anonyme tjenester (taletidskort).
Af pkt. 6 i de almindelige bemærkninger til lov nr. 378 af 6. juni 2002, hvorved bemyndigelsesbestemmelsen i retsplejelovens § 786, stk. 4, blev indsat, fremgår bl.a. følgende:
”Den foreslåede bestemmelse i retsplejelovens § 786, stk. 4, 1. pkt., jf. lovforslagets § 2, nr. 3, og de administrative forskrifter, der fastsættes i medfør af de foreslåede bestemmelser i retsplejelovens § 786, stk. 4, 2. pkt., og stk. 5, vil kunne få visse negative økonomiske og administrative konsekvenser for erhvervslivet og borgerne.”
Af justitsministerens svar af 2. februar 2012 på spørgsmål nr. 12 vedrørende forslag til lov om ændring af lov om ændring af straffeloven, retsplejeloven, lov om konkurrence- og forbrugerforhold på telemarkedet, våbenloven, udleveringsloven samt lov om udlevering af lovovertrædere til Finland, Island, Norge og Sverige. (Ændring af revisionsbestemmelse) (L 53) fra Folketingets Retsudvalg fremgår følgende om de økonomiske konsekvenser af logningsbekendtgørelsen:
”Logningsbekendtgørelsen er udstedt i medfør af retsplejelovens § 786, stk. 4, hvorefter det påhviler udbydere af telenet eller teletjenester at foretage registrering og opbevaring i 1 år af oplysninger om teletrafik til brug for efterforskning og retsforfølgning af strafbare forhold.
Bestemmelsen i retsplejelovens § 786, stk. 4, blev indsat ved lov nr. 378 af 6. juni 2002. Det fremgår af forarbejderne hertil (pkt. 6 i de almindelige bemærkninger i lovforslag nr. L 35), at man var bekendt med, at lovforslaget ville medføre visse merudgifter for erhvervslivet.
Det følger af telelovgivningen, at udbydere at elektroniske kommunikationsnet eller -tjenester til slutbrugere uden udgift for staten skal sikre, at det tekniske udstyr og de tekniske systemer, som udbyderen anvender, er indrettet, så politiet kan få adgang til oplysninger om teletrafik samt til at foretage indgreb i meddelelseshemmeligheden i form af historiske teleoplysninger og udvidet teleoplysning efter reglerne i retsplejelovens kapitel 71 og 74.
Det er således forudsat i telelovgivningen, at de udgifter, som er forbundet med indretning af systemerne med henblik på at gøre indgreb i meddelelseshemmeligheden mulige, skal afholdes af teleudbyderne.
Når det gælder teleselskabernes omkostninger som følge af logningsbekendtgørelsen, kan Justitsministeriet oplyse, at den daværende Erhvervs- og Selskabsstyrelse i april 2011 – i forbindelse med afrapporteringen på den daværende regerings målsætning om nedbringelse af de administrative byrder – udarbejdede en opdatering af AMVAB-målingen (Aktivitetsbaseret Måling af Virksomhedernes Administrative Byrder) på Justitsministeriets område. Med opdateringen blev der foretaget en opgørelse over udviklingen i de administrative byrder ved Justitsministeriets erhvervsrettede lovgivning for perioden juli 2005 til udgangen af 2010. Opgørelsen vedlægges (er tilgængelig på www.amvab.dk).
Om de administrative byrder for teleselskaberne i relation til logningsbekendtgørelsen fremgår det af opgørelsen (side 22), at teleselskaberne har vurderet at have løbende byrder for ca. 60 mio. kr. Det er anført, at byrderne fordeler sig med ca. 50 mio. kr. vedrørende driften af de nuværende logningssystemer og ca. 10 mio. kr. vedrørende afskrivninger på udgifter til udvikling af nye systemer, som er etableret for at leve op til kravene i logningsbekendtgørelsen.
Det kan tilføjes, at politiet yder godtgørelse til teleudbyderne for de faktiske udgifter, der er forbundet med teleudbydernes bistand til gennemførelse af konkrete indgreb i meddelelseshemmeligheden.”
I en udtalelse af 11. maj 2017 til Erhvervsstyrelsen har Justitsministeriet udtalt følgende om logningsbekendtgørelsen:
”Erhvervsstyrelsen har ved brev af 30. marts 2017 anmodet Justitsministeriet om en udtalelse om, hvorvidt logningsbekendtgørelsens § 4, nr. 6, om MMS-kommunikation indebærer, at mobiloperatørerne er forpligtede til at registrere og opbevare en mobilenheds lokation ved visse andre typer datatrafik end MMS, når det bl.a. lægges til grund, 1) at mobiloperatørerne skal slette eller anonymisere lokaliseringsdatatrafik efter udbudsbekendtgørelsens § 23, stk. 1, medmindre det følger af logningsbekendtgørelsen, at operatørerne er forpligtet til at registrere og opbevare sådanne data, og 2) at den tekniske indretning af mobiloperatørernes systemer ikke gør det muligt at adskille lokaliseringsdata for MMS fra lokaliseringsdata for visse andre typer af mobildatatrafik.
Efter retsplejelovens § 786, stk. 4, påhviler det udbydere af telenet eller teletjenester at foretage registrering og opbevaring (logning) i 1 år af oplysninger om teletrafik til brug for efterforskning og retsforfølgning af strafbare forhold. Justitsministeren fastsætter efter forhandling med erhvervsministeren og energi-, klima- og forsyningsministeren nærmere regler om denne registrering og opbevaring.
Med hjemmel i retsplejelovens § 786, stk. 4, er logningsbekendtgørelsen udstedt. Bekendtgørelsen fastsætter de nærmere regler for den logning, som udbyderne skal foretage.
Det fremgår af logningsbekendtgørelsens § 1, at udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal foretage registrering og opbevaring af oplysninger om teletrafik, der genereres eller behandles i udbyderens net, således at disse oplysninger vil kunne anvendes som led i efterforskning og retsforfølgning af strafbare forhold.
Det fremgår endvidere af logningsbekendtgørelsens § 4, nr. 6, at en udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal registrere følgende oplysninger om fastnet- og mobiltelefoni samt SMS-, EMS- og MMS-kommunikation: ”den eller de celler en mobiltelefon er forbundet til ved kommunikationens start og afslutning, samt de tilhørende masters præcise geografiske eller fysiske placering på tidspunktet for kommunikationen.”
Justitsministeriet skal i den forbindelse udtale, at det udtrykkeligt fremgår af logningsbekendtgørelsens § 4, nr. 6, at udbyderne skal logge lokationsoplysninger ved MMS-trafik, og at bekendtgørelsen ikke i den forbindelse indlægger forudsætninger om indretningen af udbydernes tekniske systemer. Bestemmelsen i logningsbekendtgørelsens § 4, nr. 6, om at logge lokationsoplysninger ved MMS-trafik, gælder således uanset indretningen af udbydernes tekniske systemer og således også, hvis de konkrete systemer, udbyderne anvender, er indrettet således, at der i tilknytning til logning af MMS-trafik også logges visse yderligere lokationsdata ved mobildatatrafik.
Justitsministeriet skal i den forbindelse bemærke, at da udbudsbekendtgørelsen henhører under Erhvervsministeriet og Energi-, Klima- og Forsyningsministeriet, har Justitsministeriet ikke grundlag for at tage stilling til, om udbudsbekendtgørelsens § 23 om sletning eller anonymisering af trafikdata, giver grundlag for at kræve, at mobiloperatørernes systemer i lyset af logningsreglerne teknisk skal indrettes på en måde, som gør det muligt at adskille lokaliseringsdata for MMS-trafik fra lokaliseringsdata for visse andre typer af mobildatatrafik.
Justitsministeriet kan afslutningsvis oplyse, at ministeriet i øjeblikket arbejder på et lovforslag om revision af logningsreglerne. I den forbindelse er det forventningen, at der udtrykkeligt vil blive taget stilling til kravene til teleudbydernes logning af lokationsoplysninger ved anden datatrafik end MMS-trafik. Det forventes, at lovforslaget om revision af logningsreglerne fremsættes i folketingsåret 2017-18.”
Datatilsynet anmodede ved brev af 28. november 2018 Justitsministeriet om en supplerende udtalelse til forståelsen af ovennævnte udtalelse af 11. maj 2017. Datatilsynet anførte i den forbindelse bl.a.:
”[Datatilsynet umiddelbart forstår] Justitsministeriets udtalelse af 11. maj 2017 således, at teleudbydere efter logningsbekendtgørelsens § 4, nr. 6, er forpligtede til at registrere lokationsdata for MMS-kommunikation, uanset indretningen af teleudbydernes it-systemer, og at der kan være anden lovgivning end logningsbekendtgørelsen, som stiller (andre) krav til opbygningen af teleudbyderes it-systemer, herunder behandling af oplysninger i denne forbindelse.”
Som svar på Datatilsynets anmodning har Justitsministeriet ved brev af 10. december 2018 udtalt følgende:
”Justitsministeriet skal i den anledning meddele, at ministeriet ikke har bemærkninger til Datatilsynets forståelse af ministeriets udtalelse af 11. maj 2017 til Erhvervsstyrelsen. Ministeriet kan således henholde sig til, at ministeriet, som anført i udtalelsen, ikke fandt grundlag for at tage stilling til, om udbudsbekendtgørelsens § 23 om sletning eller anonymisering af trafikdata giver grundlag for at kræve, at teleudbyderes systemer i lyset af logningsreglerne teknisk skal indrettes på en måde, som gør det muligt at adskille lokaliseringsdata for MMS-trafik fra lokaliseringsdata for visse andre typer af mobildatatrafik.”
4.3. Begrundelse for Datatilsynets afgørelse
Overordnet har TDC anført, at det har været nødvendigt at registrere lokaliseringsdata for al mobildatatrafik med henblik på at overholde logningsbekendtgørelsens krav om registrering af lokaliseringsdata for MMS-kommunikation, idet den tekniske opbygning af TDC’s mobilnet ikke giver mulighed for alene at registrere lokaliseringsdata for MMS-kommunikation uden samtidig at registrere lokaliseringsdata for al mobildatatrafik.
Efter en gennemgang af sagen er det Datatilsynets vurdering, at opbygningen af TDC’s it-system ikke kan begrunde manglende overholdelse af databeskyttelsesreglerne, ligesom eventuelle omkostninger forbundet med at etablere nye systemer, der gør det muligt alene at registrere de nødvendige oplysninger, heller ikke kan begrunde en manglende overholdelse af databeskyttelsesreglerne.
Det er således Datatilsynets vurdering, at TDC’s behandling af personoplysninger, som TDC ikke har været forpligtet til at registrere efter logningsbekendtgørelsen, har været i strid med databeskyttelsesforordningens artikel 5, stk. 1, litra c, om dataminimering.
Datatilsynet har herved særligt lagt vægt på, at langt størstedelen af de oplysninger som TDC har registreret om klager ikke har været nødvendige for at overholde TDC’s forpligtelser efter logningsbekendtgørelsen, idet alene henholdsvis 1,6 % og 0,09 % af de registrerede oplysninger, som TDC har registreret om klager de to gange klager har benyttet sig af sin ret til at bede om indsigt i sine personoplysninger hos TDC, vedrørte MMS-kommunikation.
Datatilsynet har endvidere lagt vægt på, at oplysningerne alene blev registreret på grund af TDC’s mobilnets opbygning, og at TDC selv har oplyst, at TDC ikke har et formål med at registrere de pågældende, overskydende oplysninger.
Endvidere har Datatilsynet lagt vægt på, at det allerede i forbindelse med logningsbekendtgørelsens udstedelse blev fremført af Teleindustrien, at det ville være bekosteligt for teleudbydere at udvikle systemer, der alene registrerer de nødvendige oplysninger, men at logningsbekendtgørelsen desuagtet blev udstedt i dens nuværende form.
Det er endvidere Datatilsynets vurdering, at en løbende samkøring af lokaliseringsdata for mobildatatrafik og trafikdata for MMS ikke vil være en tilstrækkelig foranstaltning med henblik på at overholde det grundlæggende princip om dataminimering i artikel 5, stk. 1, litra c.
Datatilsynet har herved lagt vægt på, at TDC indtil tidspunktet for samkøringen fortsat vil have indsamlet en stor mængde overskydende oplysninger, som TDC ikke har et formål med.
Datatilsynet har i øvrigt noteret sig, at TDC har oplyst, at selskabet ikke længere registrerer de omhandlede oplysninger.
5. Afsluttende bemærkninger
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).