Teleudbyders opbevaring af e-post

Publiceret 15-05-2003
Historisk afgørelse Private virksomheder

Ved e-post af 6. august 2002 har K på egne samt medlemmer af F’s vegne klaget til Datatilsynet over T’s opbevaring af e-post fra hans samt medlemmer af F’s e-postkonti.

Der henvises i øvrigt til sagsfremstillingen i det i kopi vedlagte brev til K.

Datatilsynet skal - efter at sagen har været behandlet på et møde i Datarådet -udtale følgende:

Persondatalovens § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling af oplysninger. Bestemmelsens stk. 2 indeholder bl.a. et krav om, at indsamling af oplysninger skal ske til udtrykkelig angivne og saglige formål. Stk. 3 indeholder et krav om, at oplysninger, der behandles, skal være relevante og tilstrækkelige og ikke må omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil de senere behandles.

Det følger endvidere af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

De nærmere betingelser for behandling af personoplysninger er fastsat i persondatalovens §§ 6-8. Behandling af almindelige ikke-følsomme oplysninger skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, jf. § 6, stk. 1, nr. 2, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. § 6, stk. 1, nr. 3, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Oplysninger omfattet af lovens § 7 må for eksempel behandles, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen, jf. § 7, stk. 2, nr. 1, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4.

Det følger af persondatalovens § 8, stk. 4, at private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Behandling af oplysningerne må endvidere finde sted, hvis betingelserne i § 7 er opfyldt, jf. § 8, stk. 6.

Af persondatalovens § 41, stk. 3, følger at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Det er Datatilsynets opfattelse, at opbevaring af sikkerhedskopier af e-post, som af brugeren er slettet fra den e-postboks, der er til rådighed på e-postserviceudbyderens server, i en periode på et år eller mere, ligger langt ud over, hvad en almindelig bruger må formodes at forvente. Opbevaring hos udbyderen af sikkerhedskopier af slettet e-post i en så lang periode, kan således ikke antages at følge af T’s forpligtelser efter persondatalovens § 41, stk. 3, og må derfor efter Datatilsynets opfattelse forudsætte en udtrykkelig og klar aftale mellem udbyderen og kunden.

Som sagen foreligger oplyst, finder Datatilsynet ikke, at T’s opbevaring af K’s og medlemmer af F’s e-postkommunikation kan anses for sket på deres vegne.

Datatilsynet har i den forbindelse lagt vægt på, at T ikke har godtgjort, at der foreligger en udtrykkelig og klar aftale med K og medlemmer af F om at opbevare oplysninger som sket. Datatilsynet finder det ligeledes ikke godtgjort, at K eller medlemmer af F i øvrigt er blevet orienteret om denne service og dermed har haft mulighed for at fravælge den.

Efter Datatilsynets opfattelse opfylder T endvidere ikke selvstændigt persondatalovens betingelser for at opbevare de omhandlede oplysninger, jf. §§ 6-8, ligesom Datatilsynet ikke vurderer, at T har haft anden hjemmel til opbevaring af oplysningerne. Datatilsynet finder derfor, at T har handlet i strid med personda3 taloven ved at opbevare den pågældende e-postkommunikation i så lang en periode.

Datatilsynet finder dette meget beklageligt. Datatilsynet har i øvrigt noteret sig T’s oplysning om, at oplysningerne nu er slettet.

Til orientering kan det oplyses, at Datatilsynet på baggrund af sagen har besluttet at undersøge e-postserviceudbydernes praksis for opbevaring af indholdet af e-postkommunikation nærmere. Datatilsynets undersøgelse vil også omfatte T’s nuværende praksis, hvorefter virksomheden ifølge det oplyste opbevarer sikkerhedskopier i 3-4 måneder.

Kopi af dette brev er dags dato sendt til K.