Vejledning om Trafik- og lokaliseringsdata

Denne vejledning uddyber reglerne om trafik- og lokationsdata, som udbydere af offentligt tilgængelige elektroniske kommunikationstjenester skal leve op til.

Læs vejledningen her:

1. Kapitel: Indledning

2. Kapitel: Trafikdata

3. Kapitel: Lokaliseringsdata

4. Kapitel: Anonymisering

Version 1.0
Seneste opdatering 2. juni 2021

1. Kapitel


Indledning

Du skal læse denne vejledning, hvis du vurderer, at det kan være relevant for dig at vide mere om reglerne om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor. Formålet med denne vejledning er at beskrive og uddybe kravene til behandling af trafik- og lokaliseringsdata. Kravene følger af §§ 10-11 i bekendtgørelse nr. 1882 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester og nummeruafhængige interpersonelle kommunikationstjenester (herefter ”persondatasikkerhedsbekendtgørelsen”).

Reglerne om behandling af trafik- og lokaliseringsdata har indtil den 20. december 2020 været reguleret i udbudsbekendtgørelsens §§ 23- 24 (BEK nr. 715 af 23. juni 2011 om udbud af elektroniske kommunikationsnet og -tjenester). Disse bestemmelser er fremadrettet en del af den nye persondatasikkerhedsbekendtgørelse, som trådte i kraft den 21. december 2020.

Reglerne om trafik- og lokaliseringsdata er udstedt med hjemmel i telelovens § 8, stk. 1 og stk. 3 (LBK nr. 128 af 7. februar 2014 om lov om elektroniske kommunikationsnet og -tjenester senest ændret ved Lov nr. 1833 af 8. december 2020). Definitionerne i bekendtgørelsen skal læses i sammenhæng med definitionerne i teleloven, e-databeskyttelsesdirektivet (direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor) og teledirektivet (direktiv 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation.

For oplysninger omkring forholdet mellem e-databeskyttelsesdirektivet og det europæiske kodeks for elektronisk kommunikation henvises der til vejledningen:

Databeskyttelse i den elektroniske kommunikationssektor.

Reglerne om behandling af trafik- og lokaliseringsdata adskiller sig fra de generelle regler om beskyttelse af persondata, idet reglerne i §§ 10-11 indebærer snævrere muligheder for behandling af sådanne data, end hvad der er mulighed for efter de generelle regler om beskyttelse af persondata, som hører under Datatilsynet.

For yderligere oplysninger omkring forholdet mellem
e-databeskyttelsesdirektivet og persondataforordningen henvises der til vejledningen: Databeskyttelse i den elektroniske kommunikationssektor.

Fælles for både behandling af trafik- og lokaliseringsdata er, at udbydere må behandle data, når

  • disse data er gjort anonyme, eller
  • i visse situationer når abonnenten eller brugeren har samtykket til behandlingen og brugerne er blevet underrettet om behandlingen af data.

Disse forhold vil blive uddybet nærmere i denne vejledning.

Reglerne omkring tilsyn, sanktion og klagemuligheder er også uddybet i vejledningen: Databeskyttelse i den elektroniske kommunikationssektor.

Bekendtgørelsens regler om trafik- og lokaliseringsdata finder anvendelse på udbydere af offentlige elektroniske kommunikationstjenester herunder nummeruafhængige interpersonelle kommunikationstjenester, som i denne vejledning vil blive betegnet som ”udbydere”.

For yderligere oplysninger omkring kriterierne for hhv. en udbyder af en offentlig elektronisk kommunikationstjeneste og en nummeruafhængige interpersonelle kommunikationstjeneste henvises der til vejledningen: Databeskyttelse i den elektroniske kommunikationssektor.

2. Kapitel


Trafikdata

Trafikdata er data, som udbydere behandler, når en bruger af et terminaludstyr, f.eks. en mobiltelefon, sender en SMS, billede, lyd mv. Definitionen af trafikdata findes i persondatasikkerhedsbekendtgørelsens § 2, stk. 1, nr. 6.

Trafikdata kan f.eks. være:

  • Kommunikationens rutning
  • Varighed
  • Tidsstempel
  • Omfang
  • Den anvendte protokol
  • Lokaliseringen af afsenders eller modtagers terminaludstyr (lokaliseringsdata)
  • Det net, som kommunikationen udgår fra eller ender i
  • Forbindelsens begyndelse, afslutning eller varighed
  • Formatet hvori kommunikationen overføres via nettet
  • Data, der bruges i debiteringsøjemed

Du kan læse mere om trafikdata i e-databeskyttelsesdirektivets betragtning 15.

2.1. Behandling af trafikdata

Reglerne om behandling af trafikdata findes i § 10 i persondatasikkerhedsbekendtgørelsen. Det følger af § 10, stk. 1 i bekendtgørelsen, at udbydere skal sikre, at trafikdata slettes eller anonymiseres, når de ikke længere er nødvendige for fremføring af kommunikationen.

Der er dog visse undtagelser til hovedreglen nævnt ovenfor, og udbydere må derfor gerne:

  • Behandle og opbevare trafikdata, hvis det er hjemlet i retsplejelovens § 786, stk. 4, eller regler fastsat i medfør heraf, jf. § 10, stk. 1.
  • Behandle og opbevare trafikdata med henblik på debitering af abonnenter og afregning for samtrafik, jf. § 10, stk. 2.
  • Behandle trafikdata for at markedsføre elektroniske kommunikationstjenester eller levere tillægstjenester, forudsat at den abonnent eller bruger, som data vedrører, har givet samtykke hertil,
    jf. § 10, stk. 3.

Udbyderne skal sikre, at trafikdata kun behandles af personer, der er ansat hos udbyderen og handler efter bemyndigelse fra udbyderen og som bl.a. beskæftiger sig med debitering eller trafikstyring (BEK nr. 1882 af 04/12/2020, § 10, stk. 5).

2.2.1 Registrering og behandling af oplysninger om teletrafik (logning)

Jf. den første undtagelse nævnt ovenfor skal udbydere være opmærksomme på, at der i medfør af retsplejelovens § 786, stk. 4, er fastsat regler, der bestemmer, at udbydere skal opbevare bestemte data i ét år.

De nærmere regler herom er fastsat i bekendtgørelse nr. 988 af 28. september 2006 om udbydere af elektroniske kommunikationsnets og elektroniske kommunikationstjenesters registrering og opbevaring af oplysninger om teletrafik (logningsbekendtgørelsen), der er udstedt og administreres af Justitsministeriet.

Der kan være et vist overlap mellem de data, som gemmes i henhold til logningsbekendtgørelsen og de data, som gemmes til brug for debitering mv. jf. nedenfor. Der kan derfor gælde forskellige frister for hhv. opbevaring og sletning af forskellige typer af trafikdata.

2.2. Tillægstjenester

Undtagelse nummer tre i afsnit 2.1. nævner tillægstjenester. En tillægstjeneste er jf. persondatasikkerhedsbekendtgørelsens § 2, stk. 1, nr. 8 en tjeneste, der behandler trafikdata (og lokaliseringsdata) ud over, hvad der er nødvendigt for overførsel af kommunikation eller afregning af kommunikation.

Tillægstjenester kan bl.a. bestå af følgende:

  • Billigste takstpakker
  • Vejvisning
  • Trafikoplysninger
  • Vejrudsigt
  • Turistinformation

Hvis behandlingen af trafikdata er nødvendigt for overførslen af en kommunikation eller debitering heraf, er der ikke tale om en tillægstjeneste.

Trafik- og lokaliseringsdata skal som udgangspunkt slettes eller anonymiseres, så snart de ikke længere er nødvendige for at kunne fremføre kommunikation. Data må dog blandt andet behandles for at kunne levere tillægstjenester, forudsat at abonnenten har givet samtykke hertil. Følgende vil blive nærmere gennemgået nedenfor.

2.3. Samtykkekrav ved behandling af trafikdata

Hvis behandling af trafikdata sker på baggrund af samtykke, er der en række krav hertil.

Behandling af trafikdata til debitering og afregning

Ifølge § 10, stk. 2 i persondatasikkerhedsbekendtgørelsen er det tilladt at behandle trafikdata med henblik på debitering af brugere og afregning for samtrafik uden indhentning af samtykke.

Behandlingen er tilladt indtil udløbet af den lovhjemlede forældelsesfrist for de omhandlede gældsforpligtelser og afregninger, hvorefter data skal slettes eller anonymiseres i overensstemmelse med § 10, stk. 1. I forhold til kravene om anonymisering henvises der til afsnit 4.1. nedenfor i denne vejledning.

Derudover skal abonnenten eller brugeren, ligeledes underrettes om, hvilke typer trafikdata der behandles og behandlingens varighed jf. § 10, stk. 4 i bekendtgørelsen.

Behandling af trafikdata til markedsføring af elektroniske kommunikationstjenester eller levering af tillægstjenester

Der er følgende krav til samtykke ifm. markedsføring eller levering af tillægstjenester:

  • Kræver indhentelse af samtykke forud for behandlingen
  • Behandlingen er kun tilladt i det omfang og tidsrum, som tjenesten eller markedsføringen kræver
  • Abonnenten eller brugeren skal på hvilket som helst tidspunkt have mulighed for at trække samtykket tilbage.
  • Abonnenten eller brugeren skal underrettes om, hvilke typer af trafikdata der behandles til det angivne formål samt varigheden heraf – denne underretning skal ske inden samtykket indhentes

Du kan læse mere om fortolkning af samtykkebegrebet vedr. behandling af trafikdata i persondatabeskyttelsesbekendtgørelsens § 10 og
e-databeskyttelsesdirektivets betragtning nr. 26.

Automatisk, mellemliggende og kortvarig lagring af trafikdata kan ske, når blot lagringen udelukkende sker med henblik på gennemførelse af transmissionen i de elektroniske kommunikationsnet, og oplysningerne ikke lagres længere end det tidsrum, der er nødvendigt for transmissionen og af hensyn til trafikstyringen, forudsat at sikkerhedsbeskyttelsen af oplysningerne i lagringsperioden fortsat er garanteret (e-databeskyttelsesdirektivet, betragtning 26).

Udbydere kan behandle trafikdata, hvis det i individuelle tilfælde er nødvendigt for at afsløre tekniske svigt eller fejl i fremføringen af kommunikationen uden brugerens samtykke til fx teknisk fejlretning. Trafikdata, der er nødvendigt i debiteringsøjemed må også anvendes til at afsløre og standse uretmæssig gratis brug af kommunikationstjenesten
(e-databeskyttelsesdirektivet, betragtning 29).

3. Kapitel


Lokaliseringsdata

Overordnet kan lokaliseringsdata beskrives som data, der angiver den geografiske placering af terminaludstyr. Definitionen i § 2, stk. 1, nr. 7, har baggrund i e-databeskyttelsesdirektivets art. 2, litra c.

Lokaliseringsdata kan bl.a. omhandle:

  • Angivelse af breddegrad, længdegrad og højde for brugerens terminaludstyr
  • Rejseretningen
  • Nøjagtigheden af lokaliseringsoplysningerne
  • Identifikation af den celle inden for nettet, hvor terminaludstyret er lokaliseret på et bestemt tidspunkt
  • Tidspunktet hvor lokaliseringsoplysningerne er registreret

Det skal desuden understreges, at lokaliseringsdata ligeledes kan være trafikdata. Trafikdata er altså et paraplybegreb, hvor også begrebet lokaliseringsdata hører under. Lokaliseringsdata udgør dog også en ny kategori i sig selv.

Du kan læse mere om lokaliseringsdata i e-databeskyttelsesdirektivets betragtning 14.

3.1. Behandling af lokaliseringsdata

Reglerne om lokaliseringsdata er reguleret i § 11 i persondatasikkerhedsbekendtgørelsen. Det fremgår heraf, at udbydere kun må behandle lokaliseringsdata, når data er anonymiseret, eller hvis behandlingen sker til brug for en tillægstjeneste (jf. punkt 2.3 ovenfor) og udbyderen forud for behandlingen har indhentet samtykke hos abonnenten eller brugeren.

Lokaliseringsdata må dog gerne behandles, såfremt dette sker som led i en teleobservation, der foretages af politiet, og dette sker i henhold til retsplejeloven § 791 a, stk. 5 og 6.

Ved opkald til den offentlige alarmtjeneste, skal udbyderen af offentlige elektroniske kommunikationsnet og -tjenester ligeledes se bort fra, at der ikke er givet samtykke til behandling af lokaliseringsdata, jf. § 11.

Efter bekendtgørelsens § 11, stk. 4 skal udbyderne sikre, at lokaliseringsdata kun behandles af personer, der er ansat hos udbyderen eller handler efter bemyndigelse fra udbyderen eller fra den tredjemand, som leverer tillægstjenesten.

3.2. Samtykkekrav ved behandling af lokaliseringsdata

Hvis behandling af lokaliseringsdata sker på baggrund af samtykke, er der en række krav hertil. Kravene ligner overordnet set kravene til behandling af trafikdata til markedsføring af elektroniske kommunikationstjenester eller levering af tillægstjenester. Behandling af lokaliseringsdata på baggrund af indhentet samtykke må alene ske med henblik på levering af en tillægstjeneste modsat samtykkekravet ved behandlingen af trafikdata, hvor der også kan indhentes samtykke til behandling af trafikdata i markedsføringsøjemed.

Der er følgende krav til samtykke:

  • Samtykke skal indhentes forud for behandlingen.
  • Behandlingen er kun tilladt i det omfang og tidsrum, som er nødvendigt for levering af en tillægstjeneste.
  • Abonnenten eller brugeren skal underrettes om, hvilken type lokaliseringsdata, bortset fra trafikdata, der behandles – denne underretning skal ske inden samtykket indhentes.
  • Udbydere skal oplyse hvorfor og hvor længe data behandles.
  • Abonnenten eller brugeren skal oplyses om data videregives til tredjemand med henblik på levering af en tillægstjeneste.
  • Abonnenten eller brugeren skal efter at have givet sit samtykke til behandlingen fortsat have mulighed for gratis og på en enkelt måde midlertidigt at forhindre behandling af sådanne data. Dette skal være muligt ved hvert enkelt opkald til nettet eller ved hver enkelt fremføring af kommunikation.
  • Abonnenten eller brugeren skal på hvilket som helst tidspunkt have mulighed for at trække samtykket tilbage.
  • Behandlingen må alene foretages efter bemyndigelse fra udbyderen eller fra den tredjemand, som leverer tillægstjenesten.

4. Kapitel


Anonymisering

Nedenfor vil vilkårene omkring behandling af data på baggrund af anonymisering blive uddybet nærmere. Disse vilkår gælder både, når der er tale om anonymisering af trafikdata (§ 10) og lokaliseringsdata (§ 11).

4.1. Anonymisering

Ved anonymisering forstås, at det ikke er muligt ud fra de tilgængelige (evt. aggregerede) data at identificere slutbrugeren, dennes kontakt med andre slutbrugere eller dennes konkrete forbrug i øvrigt. En anonymisering er tilstrækkelig, når den er uigenkaldelig, således at reidentificering ikke er muligt, og at ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger. Der er altså ikke tale om anonymisering, hvis det er muligt at spole anonymiseringsprocessen tilbage og herigennem identificere personerne.

Når Digitaliseringsstyrelsen skal vurdere, om selskabers lokaliseringsdata er tilstrækkeligt anonymiseret, gøres det overordnet set ud fra en række parametre. Nedenfor gennemgås nogle af de mest centrale.

  • Tidsperspektiv: Styrelsen kigger på, hvor ofte slutbrugere registreres. Der kan fx være med et tidsinterval på to timer, tre timer osv.
  • Socioøkonomi: Her foretages en vurdering af detaljeniveauet i det givne data. Det kan fx være køn, alder, stilling mv.
  • Geografi: Her kigges der på den geografiske inddeling af data. Data kan være inddelt på forskellige niveauer, fx land, regioner, kommuner, byer osv.
  • Anvendelse af konkrete anonymiseringsmetoder: Styrelsen undersøger ligeledes, hvilke anonymiseringsteknikker der bruges til at anonymisere data for at sikre, at anonymiseringen er effektiv og, at en person ikke kan identificeres fx via sammenkobling af identifikatorer om samme person i samme eller andre datasæt (linkability).

Grundet den hurtige teknologiske udvikling, er det ikke muligt at opstille en udtømmende liste over anonymiseringsteknikker. Nedenfor præsenteres en række anonymiseringsteknikker, der er bredt anvendt i dag.

1) Randomisering

Tilføje såkaldt støj til datasæt

Ombytning af observationer i et datasæt (permutation)

Differential privacy o.lign.

2) Generalisering

Aggregering (K-værdi - der bruges til at beskrive en teknik, der skjuler individers identitet i en gruppe af personer på et vist niveau)

L-diversitet, T-closeness o.lign.

Pseudonymisering er ligeledes en metode, der ofte er anvendt ifm. anonymisering. Pseudonymisering kan fx ske via

kryptering,

hashing og saltning, eller

tokenisering af data.

Pseudonymisering er ikke tilstrækkeligt for at kunne behandle trafik- og lokaliseringsdata. Trafik- og lokaliseringsdata skal fuldstændigt anonymiseres, hvis der ikke er indhentet samtykke.

Det betyder, at et teleselskab f.eks. ikke kan starte med at pseudonymisere data og foretage analyser på det, for til sidst at anonymisere data fuldstændigt inden, at det sendes til en tredjepart eller lignende.

Eksempel – Anonymisering af teledata med henblik på indsigt i bevægelsesmønstre

En kommune ønsker indsigt i, hvor mange turister og gæster der bevæger sig rundt i byen under besøg. Teleselskabers trafikdata kan give et indblik heri, og et teleselskab indgår derfor et samarbejde med kommunen. Teleselskabet skal levere anonymiseret statistik om bevægelsesmønstre indsamlet på baggrund af selskabets mobilnetværk.

Digitaliseringsstyrelsen vurderer i den forbindelse, selskabets anonymiseringsmetode, med særligt fokus på, om data bliver anonymiseret på en måde, som sikrer, at en efterfølgende identifikation af en fysisk bruger ikke er mulig.

Digitaliseringsstyrelsen vurderer dette ud fra bl.a. følgende parametre:

  1. At data anonymiseres umiddelbart fra opsamlingsøjeblikket
  2. At den anvendte anonymiseringsmetode og proces af rådata ikke muliggør en efterfølgende identifikation af en fysisk bruger - selv med hjælp af andre datakilder, som det med rimelighed kan forventes bringes i anvendelse.

Der kan findes yderligere eksempler på anvendelsen af trafik- og lokaliseringsdata i publikationen"Nabotjek af udenlandske erfaringer med kommerciel brug af lokaliseringsdata for mobiltelefoner"

Du kan finde Digitaliseringsstyrelsens årsberetninger, afgørelser, og vurderinger vedrørende elektroniske kommunikationstjenesters behandling af trafik- og lokaliseringsdata her.

Det gør sig gældende for alle parametre, at jo højere detaljegrad, jo lettere er det at identificere slutbrugeren. Når Digitaliseringsstyrelsen bedømmer, om et parameter er på et acceptabelt niveau, sammenholdes det altid med andre anvendte parametre, da de kan opveje hinanden. Det er bl.a. kombinationen af dem, der er afgørende.

Når teleselskaber skal anonymisere data, kan nedenstående punkter med fordel overvejes:

  1. Beskriv formålet med anonymiseringen, herunder konteksten og forudsætningerne for anonymiseringen. Beskriv bl.a. hvor data skal publiceres, og om det skal frigives til tredjeparter. Beskriv desuden hvilke andre offentligt tilgængelige informationer, der findes, som potentielt kan bruges til at sammenstille oplysninger og i sidste ende evt. identificere en bruger.
  2. Lav en risikovurdering før og efter, at arbejdet er publiceret. I vurderingen skal der indgå risikoen for reidentificering, kontrolmekanismer og sikkerhedsforanstaltninger, der skal begrænse adgang til data samt anden offentlig tilgængelig information, der kan sammenstilles med lokaliseringsdataene og i sidste ende evt. føre til, at abonnenter og slutbrugere identificeres.

Ovenstående punkter skal ses som en anbefaling til teleselskabers anonymiseringsproces og kan hjælpe til at opnå en målrettet anonymisering.

Det er dog vigtigt at bemærke, at vejledningen er af ældre dato samt at Artikel 29-gruppen er afløst af Det Europæiske Databeskyttelsesråd).