Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Teglholmsgade 1
2450 København SV
Datatilsynet Datatilsynet vender hermed tilbage til sagen, hvor Christian Panton (herefter
Borgergade 28, 5. klager) den 22. august 2016 har klaget til Datatilsynet over TDC A/S’ (heref-
1300 København K ter TDC) behandling af personoplysninger om ham i forbindelse med TDC’s
CVR-nr. 11-88-37-29
registrering af trafik- og lokaliseringsdata, når klagers mobiltelefon tilgår in-
ternettet.
Telefon 3319 3200
Fax 3319 3218 1. Afgørelse
Efter en gennemgang af sagen, og efter at sagen har været behandlet på et
E-mail dt@datatilsynet.dk møde i Datarådet, finder Datatilsynet, at der er grundlag for at udtale alvorlig
www.datatilsynet.dk
kritik af, at TDC’s behandling af personoplysninger om klager ikke er sket i
J.nr. 2018-31-0070 overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra c.
Dok.nr. 58685
Sagsbehandler Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Da-
Makar Juhl Holst tatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at TDC løbende har registreret oplysninger om klager,
herunder hvilke mobilmaster klagers mobiltelefon har oprettet forbindelse til
ved internetkommunikation. Klager var blevet opmærksom på disse registre-
ringer på baggrund af en indsigtsanmodning, som TDC besvarede den 24.
september 2015.
I et svar til Erhvervsstyrelsen den 1. april 2016 har TDC nærmere redegjort
for den omhandlede registrering af trafik- og lokaliseringsdata. Af redegørel-
sen fremgår bl.a. følgende:
2
”Grundlaget for regningsdata til brug for MMS (CDR) dannes i den del af mobil-
nettet der kaldes MMSC (MMS centret). Denne datastreng indeholder bl.a. en
tidsstempling, men ikke registrering af celle-id (mastelokationer).
For at få lokation (celle-id) knyttet til en specifik MMS, bliver TDC nødt til at op-
samle lokationsoplysninger fra trafiknoderne i det såkaldte PS-net. MMS transpor-
teres som data i PS-nettet, hvor det ikke er muligt at skelne mellem den ene og den
anden form for IP-trafik. Derfor opsamles lokation for al mobildatatrafik.
Først ved samkøring af den tidsstempling af MMS, der registreres og gemmes i af-
regnings-CDR med tilsvarende [tidsstempling] i den opsamlede data om mobilda-
ta fra trafiknoderne kan lokationsdata for MMS udskilles.
Det skal bemærkes, at TDC sletter lokationsdata, når de ikke længere er relevante
at gemme, jf. logningsbekendtgørelsen. Herved sikrer TDC, at TDC fortsat kan
gemme regningsdata for MMS efter [bogføringsloven] (dvs. længere end et år),
mens lokationsdata ikke gemmes længere end logningsbekendtgørelsen tilskriver.
Hvis lokation blev opsamlet som en del af afregnings-CDR, ville TDC ikke kunne
slette lokationsdata fra afregnings-CDR før TDC kan [slette] afregningsgrundlaget
efter bogføringsloven.
Det skal endvidere bemærkes, at TDC ikke opsamler celle-id for alle de master,
[som] en kunde benytter i forbindelse med anvendelse af mobildata (herunder
MMS). TDC opsamler kun registrering af de celler, som benyttes på det tidspunkt,
hvor forskellige tilstandsskift opstår, fx hvis kunden har nået en specifik volumen
grænse, sessionsstart, sessionsslut, når en datasession har varet en time, eller ved
skift af radioteknologi (2G, 3G og 4G). Dette er årsagen til, at Christian Panton på
sit dataudtræk kan konstatere nogle periodiske registreringer. Dette betyder samti-
dig, at registreringen af celle-id for en MMS ikke nødvendigvis nøjagtig svarer til
den celle, kunden var tilknyttet, da MMS’en blev afsendt, men den celle TDC
sidst har registreret anvendt i forbindelse med kundens anvendelse af mobildata-
kommunikation.”
Erhvervsstyrelsen traf den 24. maj 2017 afgørelse i sagen over for TDC og
fandt i den forbindelse, at TDC’s registrering og opbevaring af lokaliserings-
data vedrørende mobildatatrafik ikke var i strid med § 23, stk. 1, i bekendtgø-
relse nr. 715 af 23. juni 2011 om udbud af elektroniske kommunikationsnet
og -tjenester (udbudsbekendtgørelsen).
Af det modtagne materiale fremgår det, at TDC i perioden 12. juni 2017 – 11.
juni 2018 foretog 22.219 logninger af lokaliseringsdata ved mobildatatrafik. I
samme periode blev der registreret 20 MMS CDR-oplysninger.
Klager har i den forbindelse anført, at det kun er 1,6 % af de registrerede op-
lysninger, som TDC efter logningsbekendtgørelsens § 4, nr. 6, er forpligtet til
at registrere. Klager har derudover anført, at hans lokation i flere tilfælde er
registreret over hundrede gange om dagen, uden at han har sendt eller modta-
get MMS’er de pågældende dage.
Endelig har klager henvist til, at TDC kan foretage en løbende samkøring af
MMS CDR-oplysninger og mobildatatrafikken, således at TDC alene opbeva-
rer mobildatatrafik, der relaterer sig til MMS-kommunikation.
Herudover har TDC anført, at selskabet har undersøgt, om den tekniske ud-
vikling af mobilnettene siden logningsbekendtgørelsens udstedelse har med-
ført, at det er muligt at foretage registrering af lokaliseringsdata for MMS-
kommunikation uden at registrere lokaliseringsdata for al mobildatatrafik. Det
har imidlertid vist sig ikke at være tilfældet.
TDC har ved brev af 28. september 2018 oplyst, at den pågældende MMS-
logning alene hviler på TDC’s fleksibilitet og imødekommenhed over for
Justitsministeriets ønske herom, og at TDC ikke har en selvstændig interesse i
den pågældende logning.
Endelig har TDC ved brev af 7. november 2018 oplyst, at TDC har indstillet
logningen af al lokaliseringsdata for mobildatatrafik, og at al tidligere indsam-
let data er blevet slettet.
3. Datatilsynets kompetence
Efter databeskyttelseslovens § 27, stk. 1, fører Datatilsynet tilsyn med over-
holdelsen af de generelle databeskyttelsesregler, der findes i databeskyttelses-
forordningen1 og databeskyttelsesloven2.
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databe-
skyttelse).
2
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven).
5
Stk. 2. Uanset stk. 1 må en udbyder, som nævnt i stk. 1, behandle og opbevare tra-
fikdata med henblik på debitering af abonnenter og afregning for samtrafik. En
sådan behandling og opbevaring af data er tilladt indtil udløbet af den lovhjemlede
forældelsesfrist for de omhandlede gældsforpligtelser og afregninger.
Stk. 3. Uanset stk. 1 må en udbyder, som nævnt i stk. 1, behandle trafikdata, jf.
§ 2, stk. 1, nr. 2, vedrørende abonnenter eller brugere med henblik på markedsfø-
ring af elektroniske kommunikationstjenester eller levering af tillægstjenester, jf.
§ 2, stk. 1, nr. 4, forudsat at abonnenten eller brugeren forud for behandlingen har
givet sit samtykke hertil. Behandlingen er kun tilladt i det omfang og tidsrum, som
tjenesten eller markedsføringen kræver. Abonnenten eller brugeren skal på et
hvilket som helst tidspunkt have mulighed for at trække sit samtykke tilbage.
Stk. 4. Udbydere, som nævnt i stk. 1, skal underrette abonnenten eller brugeren
om, hvilke typer af trafikdata der behandles med henblik på de i stk. 2 og 3 om-
handlede formål og om behandlingens varighed. Ved behandling med henblik på
de i stk. 3 omhandlede formål skal underretning ske, inden samtykke indhentes.
Stk. 5. Udbydere, som nævnt i stk. 1, skal sikre, at behandling af trafikdata som
nævnt i stk. 1-4 kun foretages af personer, som er ansat hos eller handler efter be-
myndigelse fra udbydere af offentlige elektroniske kommunikationsnet eller -
tjenester, og som er beskæftiget med debitering eller trafikstyring, behandling af
klager eller andre henvendelser fra abonnenter, opsporing af svig eller med mar-
kedsføring af udbyderens egne tjenester eller levering af tillægstjenester. I forbin-
delse med behandlingen af sådanne konkrete sager skal behandlingen af trafikdata
begrænses til alene at vedrøre det, der er nødvendigt for behandlingen af sagen.
4.2. Logningsbekendtgørelsen
Justitsministeriets bekendtgørelse nr. 988 af 28. september 2006 som ændret
ved bekendtgørelse nr. 660 af 19. juni 2014 om udbydere af elektroniske
kommunikationsnets og elektroniske kommunikationstjenesters registrering
og opbevaring af oplysninger om teletrafik (”logningsbekendtgørelsen”) regu-
lerer indsamling og opbevaring af oplysninger om teletrafik med henblik på,
at oplysningerne vil kunne anvendes som led i efterforskning og retsforfølg-
ning af strafbare forhold.
Af pkt. 6 i de almindelige bemærkninger til lov nr. 378 af 6. juni 2002, hvor-
ved bemyndigelsesbestemmelsen i retsplejelovens § 786, stk. 4, blev indsat,
fremgår bl.a. følgende:
Bestemmelsen i retsplejelovens § 786, stk. 4, blev indsat ved lov nr. 378 af 6. juni
2002. Det fremgår af forarbejderne hertil (pkt. 6 i de almindelige bemærkninger i
lovforslag nr. L 35), at man var bekendt med, at lovforslaget ville medføre visse
merudgifter for erhvervslivet.
Det kan tilføjes, at politiet yder godtgørelse til teleudbyderne for de faktiske udgif-
ter, der er forbundet med teleudbydernes bistand til gennemførelse af konkrete
indgreb i meddelelseshemmeligheden.”
Efter retsplejelovens § 786, stk. 4, påhviler det udbydere af telenet eller teletjene-
ster at foretage registrering og opbevaring (logning) i 1 år af oplysninger om tele-
trafik til brug for efterforskning og retsforfølgning af strafbare forhold. Justitsmi-
nisteren fastsætter efter forhandling med erhvervsministeren og energi-, klima- og
forsyningsministeren nærmere regler om denne registrering og opbevaring.
Datatilsynet har herved særligt lagt vægt på, at langt størstedelen af de oplys-
ninger som TDC har registreret om klager ikke har været nødvendige for at
overholde TDC’s forpligtelser efter logningsbekendtgørelsen, idet alene hen-
holdsvis 1,6 % og 0,09 % af de registrerede oplysninger, som TDC har regi-
streret om klager de to gange klager har benyttet sig af sin ret til at bede om
indsigt i sine personoplysninger hos TDC, vedrørte MMS-kommunikation.
Datatilsynet har endvidere lagt vægt på, at oplysningerne alene blev registre-
ret på grund af TDC’s mobilnets opbygning, og at TDC selv har oplyst, at
TDC ikke har et formål med at registrere de pågældende, overskydende op-
lysninger.
Endvidere har Datatilsynet lagt vægt på, at det allerede i forbindelse med log-
ningsbekendtgørelsens udstedelse blev fremført af Teleindustrien, at det ville
være bekosteligt for teleudbydere at udvikle systemer, der alene registrerer de
nødvendige oplysninger, men at logningsbekendtgørelsen desuagtet blev ud-
stedt i dens nuværende form.
Datatilsynet har herved lagt vægt på, at TDC indtil tidspunktet for samkørin-
gen fortsat vil have indsamlet en stor mængde overskydende oplysninger, som
TDC ikke har et formål med.
Datatilsynet har i øvrigt noteret sig, at TDC har oplyst, at selskabet ikke læn-
gere registrerer de omhandlede oplysninger.
5. Afsluttende bemærkninger
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke
yderligere i sagen.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggø-
re denne afgørelse på tilsynets hjemmeside.