Tilsyn med persondatasikkerhed på teleområdet

Erhvervsstyrelsen blev i februar 2020 via Rigspolitiet bekendt med, at Telia på baggrund af kendelser har udleveret mere data til politiet end hvad kendelserne fordrede. Oplysningerne fra Rigspolitiet gav i første omgang Erhvervsstyrelsen anledning til at anmode Telia om at redegøre for sagen med henblik på at identificere, hvorvidt der er sket et brud på persondatasikkerheden i forbindelse med udleveringen.

Telia har redegjort for sagen, herunder at det er selskabets opfattelse, at udleveringen af oplysningerne er sket i overensstemmelse med politiets kendelse. Erhvervsstyrelsen har foretaget en vurdering af, om der er sket brud på persondatasikkerheden i forbindelse med Telias udlevering af oplysninger til politiet.

Erhvervsstyrelsen træffer hermed afgørelse i medfør af telelovens1 § 20 om, at Telia har oversendt for mange oplysninger til politiet som en del af de signaleringsdata, der oversendes efter politiets anmodning, og at denne oversendelse dermed udgør et brud på persondatasikkerheden, jf. bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

På baggrund af Telias redegørelser, og idet det er Erhvervsstyrelsens forståelse, at ordlyden af kendelserne nu er ændret, og Telia derfor ikke udleverer modpartsnumre, medmindre dette fremgår af kendelsen, foretager styrelsen sig på det foreliggende grundlag ikke yderligere i den konkrete sag.

Statens Serum Institut (SSI) anmodede i forbindelse med instituttets arbejde med COVID-19 fire teleselskaber om adgang til teledatasæt i aggregeret og fuldt anonymiseret format. Erhvervsstyrelsen har i forlængelse af SSI's anmodning til de fire teleselskaber modtaget redegørelser fra selskaberne omkring deres behandling af teledata, herunder beskrivelser af deres anonymiseringsmetoder.

SSI har i den forbindelse bedt Erhvervsstyrelsen om en udtalelse omkring styrelsens overordnede vurdering af selskabernes anonymiseringsmodeller.

Erhvervsstyrelsen har på baggrund af de konkrete beskrivelser fra de enkelte teleselskaber foretaget en vurdering af, hvorvidt selskabets metode for anonymisering i det konkrete tilfælde kan anses for at opfylde kravene til tilstrækkelig anonymisering.

Erhvervsstyrelsens vurdering er bl.a. sket ud fra en vægtning af en række faktorer herunder:

Den anvendte anonymiseringsmetode med brug af
kryptering og
aggregering af datasæt under anvendelse af blandt andet K-værdier (et begreb, der bruges til at beskrive en teknik, der skjuler individers identitet i en gruppe af personer på et vist niveau).
Generalisering i øvrigt med henblik på udlevering, herunder at de datasæt der udleveres til SSI aggregeres til postnummerniveau i et givet tidsinterval
På baggrund af en samlet vurdering af ovenstående har Erhvervsstyrelsen således vurderet, at de af selskaberne oplyste metoder til anonymisering af det data, der udleveres fra teleselskaberne til SSI's prognoser i forbindelse med bekæmpelse af COVID-19, i det konkrete tilfælde sikrer, at data er anonymiseret således, at en efterfølgende identifikation af en fysisk bruger ikke er mulig.

Styrelsen har således vurderet, at teleselskabernes behandling, herunder anonymisering, af trafik- og lokaliseringsdata ikke sker i strid med udbudsbekendtgørelsens §§ 23 og 24

I januar 2018 bad Erhvervsstyrelsen om en redegørelse fra TDC om selskabets praksis for behandling af selskabets trafik- og lokaliseringsdata i forbindelse med et samarbejde med Visti Århus, der ønsker at få viden om turismeadfærd under besøg i Aarhus - fx viden om, hvor turisterne kommer fra, hvor længe de bliver i området, og hvilke byer de ellers besøger.

Behandling af trafik- og lokaliseringsdata er reguleret i telelovgivningen. De nærmere regler følger af §§ 23 og 24 i bekendtgørelse nr. 715 af 23. juni 2011 om udbud af elektroniske kommunikationsnet og –tjenester (udbudsbekendtgørelsen). Efter udbudsbekendtgørelsens § 23, stk. 1, skal teleselskaber sikre, at trafikdata slettes eller anonymiseres, når de ikke længere er nødvendige for fremføring af kommunikation.

Udbudsbekendtgørelsens indeholder følgende undtagelser til denne hovedregel:
Trafikdata må behandles og opbevares med henblik på debitering af abonnenter og afregning for samtrafik, jf. § 23, stk. 2.
Trafikdata må behandles for at markedsføre elektroniske kommunikationstjenester eller levere tillægstjenester, forudsat at den abonnent eller bruger, som data vedrører, har givet samtykke hertil, jf. § 23, stk. 3.
Trafikdata må behandles og opbevares, hvis det er hjemlet i retsplejelovens § 786, stk. 4, eller regler fastsat i medfør heraf, jf. § 23, stk. 1, in fine.

Efter udbudsbekendtgørelsens § 24, stk. 1, må teleselskaberne ligeledes kun behandle lokaliseringsdata (der ikke samtidig er trafikdata), når de er anonymiseret, eller hvis selskabet forud for behandlingen har indhentet samtykke hos abonnenten eller brugeren.

På baggrund af de oplysninger, Erhvervsstyrelsen har modtaget fra TDC om selskabets anonymiseringsmetode i det konkrete tilfælde, er det Erhvervsstyrelsens vurdering, at den omhandlede metode til anonymisering sikrer, at den trafik- og lokaliseringsdata fra TDC´s mobil-netværk, der anvendes til brug for ”Visit Aarhus Pilot”- Projektet, er anonymiseret, således at en efterfølgende identifikation af en fysisk bruger ikke er mulig, uanset hvor brugeren er bosiddende.

Erhvervsstyrelsen har i vurderingen lagt vægt på, at TDC har oplyst, at de pågældende data anonymiseres umiddelbart fra opsamlingsøjeblikket.
Herudover har Erhvervsstyrelsen lagt vægt på, at TDC har oplyst, at den anvendte anonymiseringsmetode og proces af de anonymiserede rådata selv med hjælp af andre datakilder, som man med rimelighed kan bringe i anvendelse, reelt ikke gør en efterfølgende identifikation af en fysisk bruger mulig.

Det er således Erhvervsstyrelsens samlede vurdering, at den af TDC anvendte metode til anonymisering behandling af trafik- og lokaliseringsdata i dette konkrete tilfælde sikrer, at der ikke sker behandling af trafik- eller lokaliseringsdata i strid med udbudsbekendtgørelsens §§ 23 og 24.

Erhvervsstyrelsen har i den offentliggjorte vurdering fjernet udvalgte tekstpassager, idet disse omhandler TDC´s tekniske indretninger eller forretningsforhold, som det er af væsentlig økonomisk betydning for TDC ikke bliver offentliggjort.

I januar 2017 rejste Erhvervsstyrelsen en tilsynssag over for Hi3G om selskabets behandling og opbevaring af lokaliseringsdata til fejlsøgning. HI3G indsamler og opbevarer i fire måneder data om dato, klokkeslæt og gadenavne samt telemast og kompasretning, som ikke er relateret til, at kunden har anvendt sin telefon til opkald, sms eller anden brug.

De pågældende data er omfattet af reglerne i bekendtgørelse om udbud af elektroniske kommunikationsnet eller –tjenester (udbudsbekendtgørelsen) om indsamling og opbevaring af trafik- og lokaliseringsdata og skal derfor som udgangspunkt slettes eller anonymiseres, så snart de ikke længere er nødvendige for at kunne fremføre kommunikation. Data må dog blandt andet behandles for at kunne levere tillægstjenester, forudsat at abonnenten har givet samtykke hertil, og at abonnenten er oplyst om, hvordan og hvor længe selskabet anvender de pågældende oplysninger, samt at de alene anvendes i det tidsrum, som tjenesten nødvendiggør det.

I sagen har Erhvervsstyrelsen vurderet, at Hi3G har handlet i strid med udbudsbekendtgørelsen, fordi Hi3G ikke over for selskabets kunder har oplyst, at fejlsøgning er en tillægstjeneste, hvortil selskabet indsamler og opbevarer lokaliseringsdata, herunder hvilke data selskabets specifikt indsamler, og hvor lang tid selskabet opbevarer de pågældende data. Abonnenterne oplyses heller ikke om muligheden for at trække et afgivet samtykke til anvendelsen af data tilbage, og Hi3G har ikke sandsynliggjort, at det er nødvendigt at opbevare data i fire måneder.

Hi3G har derfor fået et påbud om at rette op på de pågældende forhold og skal senest den 12. juli 2017 redegøre for, hvordan selskabet har efterlevet påbuddet.

Efter anmodning har Hi3G fået fristudsættelse på levering af redegørelsen til den 11. august 2017.

Hi3G har ved brev af 11. august 2017 oplyst at, selskabet har taget Erhvervsstyrelsens afgørelse til efterretning. I brevet oplyser Hi3G bl.a., at selskabet er ophørt med at behandle lokaliseringsdata til brug for fejlsøgning i forbindelse med tillægstjenesten fejlsøgning. Fremover vil Hi3G’s kunder kun kunne gøre brug af tillægstjenesten fejlsøgning efter udtrykkeligt at have givet sit samtykke til, at Hi3G må behandle lokaliseringsdata med henblik på fejlsøgning.

I februar 2016 rejste Erhvervsstyrelsen en tilsynssag over for TDC om selskabets behandling og opbevaring (logning) af lokaliseringsdata for MMS og anden mobildatatrafik.

Efter telelovningen skal teleselskaberne slette eller anonymisere trafik- og lokaliseringsdata, medmindre de har pligt til at gemme dem efter logningsreglerne. De fremgår udtrykkeligt af logningsreglerne, at teleselskaberne skal logge lokaliseringsdata vedr. MMS-trafik. TDC’s eksisterende tekniske systemer gør det imidlertid ikke muligt at adskille lokaliseringsdata for MMS-trafik fra lokaliseringsdata for anden mobildatatrafik.

På baggrund af de oplysninger, der foreligger i sagen, er det Erhvervsstyrelsens vurdering, at det ikke vil være proportionalt at kræve, at TDC skal ændre selskabets systemer, således at selskabet kan adskille de omhandlede data.

Justitsministeriet har i forbindelse med sagen bl.a. udtalt, at logningsbekendtgørelsens bestemmelse om at logge lokationsoplysninger ved MMS-trafik også gælder, hvis de konkrete systemer, udbyderne anvender, er indrettet således, at der i tilknytning til logning af MMS-trafik også logges visse yderligere lokationsdata ved mobildatatrafik.

Det er på den baggrund Erhvervsstyrelsens vurdering, at det ikke er i strid med telelovgivningen, at TDC ikke sletter eller anonymiserer lokaliseringsdata for anden mobildatatrafik end MMS, når de ikke længere er nødvendige for fremføring af kommunikation, idet kravet herom ikke gælder, hvis der er tale om data, der er omfattet af logningsforpligtelserne.