Besvarelse af spørgsmål nr. 89 fra Folketingets Retsudvalg (Alm. del).

 

Spørgsmål:

 

”Ministerens kommentarer udbedes til Datatilsynets høringssvar til logningsbekendtgørelsen (høringssvaret er omdelt på REU alm. del - svar på spm. 30).”

 

Svar:

 

1. Datatilsynet anfører i sit høringssvar bl.a. følgende:

 

”I den forbindelse kan Datatilsynet oplyse, at tilsynet i forbindelse med en supplerende høring vedrørende udkast til forslag til ny § 15c i lov om konkurrence- og forbrugerforhold på telemarkedet (opfølgning på regeringens handlingsplan for terrorbekæmpelse) fik oplyst telefonisk af Ministeriet for Videnskab, Teknologi og Udvikling, at begrebet ”opkaldende identitet” omfatter oplysninger om telefonnummer, mobilnummer, IP-adresse eller lignende oplysninger, og at der således ikke i medfør af den kommende logningsbekendtgørelse ville blive tale om registrering af oplysninger om navn, adresse eller andre identifikationsoplysninger.

 

På denne baggrund udtalte Datatilsynet, at tilsynet gik ud fra, at udbydernes mulighed for at opbevare de identifikationsoplysninger, som politiet skal kunne få udleveret, er begrænset af persondatalovens regler. Tilsynet henviste herved navnlig til lovens § 5, stk. 5, hvorefter indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

 

Datatilsynet understregede i den forbindelse, at de formål, som efter persondatalovens § 5, stk. 5, kan begrunde behandlingen, er udbydernes egne oprindelige formål.

 

PÃ¥ denne baggrund fandt Datatilsynet, at de omhandlede identitetsoplysninger ikke vil kunne opbevares med henvisning til andres - herunder politiets - eventuelle senere behov.

 

Det bemærkes endvidere, at det ikke tydeligt fremgår af telekommunikationsdirektivets definition af trafikdata (artikel 2(b) sammenholdt med betragtning 15), hvorvidt oplysninger om navn og adresse altid er omfattet af definitionen, eller om oplysningerne kun er omfattet, når de indgår som en del af indholdet i kommunikationen.

 

Opmærksomheden henledes på den nævnte problemstilling, idet Datatilsynet samtidig forudsætter, at omfanget af logningsforpligtelsen efter bekendtgørelsen, herunder forpligtelsen til at registrere og opbevare oplysninger om navn og adresse på abonnenten eller den registrerede bruger, fastlægges inden for rammerne af bemyndigelsesbestemmelsen i retsplejelovens § 786, stk. 4.

 

Datatilsynet henleder bl.a. opmærksomheden på persondatalovens § 5, stk. 5, hvorefter indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Datatilsynet understreger i den forbindelse, at de formål, som efter persondatalovens § 5, stk. 5, kan begrunde behandlingen, er udbydernes egne oprindelige formål. Endelig peger Datatilsynet på, at omfanget af logningsforpligtelsen efter bekendtgørelsen, herunder forpligtelsen til at registrere og opbevare oplysninger om navn og adresse på abonnenten eller den registrerede bruger, fastlægges inden for rammerne af bemyndigelsesbestemmelsen i retsplejelovens § 786, stk. 4.

 

Justitsministeriet er enig med Datatilsynet i, at en forpligtelse til at registrere og opbevare oplysninger om f.eks. brugeridentitet, herunder f.eks. oplysninger om navn og adresse, skal ske inden for rammerne af persondatalovens regler. Justitsministeriet er endvidere enig med Datatilsynet i, at omfanget af logningsforpligtelsen efter bekendtgørelsen, herunder forpligtelsen til at registrere og opbevare oplysninger om navn og adresse på abonnenten eller den registrerede bruger, fastlægges inden for rammerne af bemyndigelsesbestemmelsen i retsplejelovens § 786, stk. 4.

 

Der er inden for rammerne af persondataloven mulighed for i lovgivningen at specificere, til hvilke formål oplysninger skal behandles. På denne baggrund og i overensstemmelse med retsplejelovens § 786, stk. 4, pålægger logningsbekendtgørelsen teleselskaberne at registrere og opbevare personoplysninger, således at disse oplysninger vil kunne anvendes som led i efterforskning og retsforfølgning af strafbare forhold.

 

2. Datatilsynet anfører endvidere:

 

”Datatilsynet har i tidligere udtalelser særligt henvist til Telekommunikationsindustriens høringssvar af 22. november 2001 (Retsudvalgets bilag 3, akt nr. 58) over lovforslaget til første terrorpakke (L 35), hvoraf det på side 5 fremgår, at oplysningen om modtageren af en SMS-besked rent teknisk er en del af indholdet af beskeden, og at opfyldelse af registreringspligten dermed vil indebære, at hele indholdet registreres.

 

Det fremgår ikke af det fremsendte materiale, hvorvidt det er undersøgt om registrering af modtagerens identitet medfører en registrering af indholdsdata, og Datatilsynet skal i den forbindelse påpege, at der efter tilsynets opfattelse er tale om en central problemstilling. Tilsynet skal anbefale, at det søges afklaret, hvorvidt det rent teknisk er muligt at registrere oplysninger om identiteten af modtageren af en SMS-besked uden at registrere indholdet af beskeden.”

 

Det fremgår af forarbejderne (pkt. 3.1.3.2. i de almindelige bemærkninger til L 35, Folketinget 2001-02) til retsplejelovens § 786, stk. 4, at Justitsministeriet ikke finder, at der bør stilles forslag om en generel logning af indholdsdata, men alene af oplysninger svarende til teleoplysninger, dvs. oplysninger som f.eks. afsender, modtager og tidsangivelse vedrørende kommunikationen.

 

Det fremgår tillige af EU-direktivet af 15. marts 2006 om logning, artikel 1, stk. 2, at direktivet ikke finder anvendelse på indholdet af elektroniske kommunikationer, herunder oplysninger der er indhentet over et elektronisk kommunikationsnet.

 

Logningsbekendtgørelsen fastsætter således ikke et krav om registrering af indholdsoplysninger.

 

Det kan oplyses, at tekniske spørgsmål om registrering af oplysninger om bl.a. SMS har været drøftet i Justitsministeriets ekspertgruppe om logning. Der var i ekspertgruppen enighed om Justitsministeriets oplæg vedrørende logning af oplysninger om bl.a. SMS, og det har ikke fra telebranchens side været fremført, at man ikke ville kunne logge SMS-oplysninger i medfør af logningsbekendtgørelsen uden samtidig at logge indholdsoplysninger.

 

3. Datatilsynet anfører endvidere:

 

”Datatilsynet finder det uklart, hvorvidt en registrering af oplysninger om modtagende IP-adresse vil medføre en kortlægning af brugerens aktiviteter på internettet.

 

I den forbindelse skal Datatilsynet henlede opmærksomheden på tilsynets høringssvar til den første logningsbekendtgørelse, hvori tilsynet stillede spørgsmål ved udbydere af chat-tjenesters forpligtelse til at registrere oplysninger om opkaldende og opkaldte identitet, idet dette efter det oplyste ville omfatte oplysning om, hvilket af flere mulige chat-rooms den opkaldende identitet er tilkoblet.

 

Tilsynet fandt det uklart, hvorledes dette krav harmonerede med bemærkningerne til Anti-terrorlovforslaget (L35) s. 46, 1. spalte, hvoraf det fremgår, at ”der ikke med forslaget lægges op til, at internetudbyderne skal foretage en kortlægning af kundernes aktiviteter, mens de anvender Internettet. Udbyderne vil således ikke løbende skulle foretage registrering af, hvilke hjemmesider, chatrooms mv. kunderne besøger.”

 

Justitsministeriet er enig med Datatilsynet i, at internet-udbyderne ikke må pålægges at kortlægge kundernes aktiviteter, mens de anvender internettet.

 

Formålet med logning af internet-oplysninger er at kunne føre elektroniske spor, der findes på internettet i forbindelse med kriminelle aktiviteter, tilbage til gerningsmændene.

 

Logningsbekendtgørelsen pålægger på den baggrund ikke internet-udbydere at registrere kundernes aktiviteter på nettet, men derimod oplysninger om f.eks. IP-adresser, der sammenholdt med brugeroplysninger kan føre et elektronisk spor tilbage til en konkret gerningsmand.

 

Af samme grund er forslaget om logning af oplysninger om kommunikation på chat-rooms – i modsætning til efter det første udkast til logningsbekendtgørelsen fra marts måned 2004 –

ikke medtaget i den endelige version af logningsbekendtgørelsen.

 

4. Datatilsynet anfører endvidere:

 

”I sin udtalelse af 17. maj 2004 til udkast til den første logningsbekendtgørelse udtalte Datatilsynet, at det giver anledning til tvivl, i hvilket omfang det er reglerne i persondatalovens § 41, stk. 3, eller reglerne i udbudsbekendtgørelsens § 31, stk. 1, der fastsætter de sikkerhedsmæssige krav til udbydernes behandling af oplysninger om teletrafik.

 

I den forbindelse skal Datatilsynet anbefale, at der overvejes indsat en bestemmelse svarende til persondatalovens § 41, stk. 3, eller udbudsbekendtgørelsens § 31, stk. 1, i logningsbekendtgørelsen. Efter tilsynets opfattelse kan der med fordel anvendes en formulering svarende til logningsdirektivets artikel 7, litra b.”

 

Der er fastsat forskellige regler om sikkerhed og behandling af trafikdata i telelovgivningen.

 

Det følger af § 13, stk. 3, i lov om konkurrence- og forbrugerforhold på telemarkedet, jf. lovbekendtgørelse nr. 784 af 28. juli 2005 (teleloven), at det påhviler ejere af elektroniske kommunikationsnet og udbydere af elektroniske kommunikationsnet eller -tjenester at træffe de nødvendige foranstaltninger med henblik på at sikre, at oplysninger om andres brug af nettet eller tjenesten eller indholdet heraf ikke er tilgængelige for uvedkommende.

 

Det følger endvidere af telelovens § 13, stk.1, at ejere af elektroniske kommunikationsnet, udbydere af elektroniske kommunikationsnet eller -tjenester, førnævntes ansatte og tidligere ansatte ikke uberettiget må videregive eller udnytte oplysninger som nævnt i stk. 3, som de får kendskab til i forbindelse med det pågældende udbud af elektroniske kommunikationsnet eller -tjenester.

 

Derudover følger det af § 36 i bekendtgørelse nr. 1031 af 13. oktober 2006 om udbud af elektroniske kommunikationsnet og -tjenester (udbudsbekendtgørelsen), at udbydere af offentlige elektroniske kommunikationsnet eller -tjenester med henblik på sikring af netsikkerheden skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte de udbudte tjenester. Dette skal om nødvendigt ske i samarbejde med ejeren eller udbyderen af det anvendte offentlige kommunikationsnet.

 

Udbydere af offentlige kommunikationsnet og -tjenester skal give abonnenterne oplysning om en eventuel særlig risiko for brud på netsikkerhed, og de skal ligeledes oplyse om mulighederne for at forebygge sådanne brud og om omkostningerne forbundet hermed.

 

I det omfang telelovgivningen ikke indeholder regler om et givent databeskyttelsesmæssigt spørgsmål, finder de almindelige databeskyttelsesmæssige bestemmelser i persondataloven anvendelse.

 

Persondataloven indeholder i kapitel 4 (§§ 5-14) reglerne for, hvornår der kan behandles, herunder registreres og opbevares, personoplysninger.

 

De grundlæggende krav, som altid skal være opfyldt i forbindelse med behandling af personoplysninger, fremgår af persondatalovens § 5. Af bestemmelsen følger det, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, at der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger, og at sådanne oplysninger snarest muligt skal slettes eller berigtiges samt at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

 

Udover de krav, som følger af persondatalovens § 5, skal behandling af personoplysninger – i det omfang der ikke er fastsat regler herom i telelovgivningen – desuden ske i overensstemmelse med de materielle krav, som især følger af persondatalovens §§ 6-8.

 

Der stilles efter persondatalovens kapitel 11 (§§ 41 og 42) endvidere krav til den (fysiske) behandlingssikkerhed.

 

Endelig er der efter dansk ret adgang til retsmidler i overensstemmelse med kapitel 3 i persondatadirektivet (direktiv 95/46/EF).

 

Kravene i EU-direktivet om logning til databeskyttelse og datasikkerhed (artikel 7) må således anses for opfyldt ved eksisterende lovgivning, og det har derfor været Justitsministeriets vurdering, at der ikke har været behov for særskilt regulering af disse spørgsmål i selve logningsbekendtgørelsen.

 

5. Datatilsynet anfører afslutningsvist:

 

”Datatilsynet har tidligere udtalt, at der efter tilsynets opfattelse bør indsættes en revisionsbestemmelse i bekendtgørelsen. Bl.a. udtalte tilsynet i brev af 29. november 2001, at der efter tilsynets opfattelse er tale om væsentlige indgreb i privatlivets fred, som i vidt omfang er båret af den særlige situation, som er opstået i forlængelse af terrorangrebene mod USA den 11. september 2001. Tilsynet foreslog derfor, at der blev indsat en revisionsbestemmelse i lovforslaget - vedrørende både bemyndigelsesbestemmelsen og de bestemmelser, der udstedes i medfør heraf - med henblik på, at det på et senere tidspunkt bliver genovervejet, om de foreslåede indgreb fortsat er nødvendige.

 

Det er fortsat Datatilsynets opfattelse, at der i lighed med direktivet bør indsættes en revisions- eller evalueringsbestemmelse i bekendtgørelsen, med henblik på at genvurdere indgrebenes nødvendighed, når der er indsamlet flere erfaringer med logning af trafikdata i Danmark.

 

Datatilsynet kan desuden henvise til artikel 29-gruppens udtalelse om logningsdirektivet (WP 113), hvori gruppen hilser evalueringsbestemmelsen i direktivet velkommen.”

 

Ved lov nr. 378 af 6. juni 2002 – den første anti-terrorpakke – blev der som bekendt indsat en ny bestemmelse i retsplejelovens § 786, stk. 4, om registrering og opbevaring af oplysninger om teletrafik. Med § 8 i lov nr. 378 af 6. juni 2002 blev det endvidere fastsat, at justitsministeren i folketingsÃ¥ret 2005-06 skulle fremsætte forslag om revision af retsplejelovens § 786, stk. 4. Baggrunden herfor var, at ordningen med pligtmæssig logning af oplysninger om teletrafik til brug for efterforskningen var en nyskabelse, og at Justitsministeriet derfor fandt det hensigtsmæssigt, at ordningen blev evalueret nogle Ã¥r efter dens iværksættelse.

 

Med henblik på at sikre en evaluering af ordningen med logning af oplysninger om teletrafik på et tidspunkt, hvor der har været mulighed for over et relevant tidsrum at indhøste erfaringer med en sådan forpligtelse, blev revisionsbestemmelsen ved § 7 i lov nr. 542 af 8. juni 2006 ændret således, at justitsministeren først i folketingsåret 2009-10 skal fremsætte forslag om revision af retsplejelovens § 786, stk. 4. Med udstedelsen af logningsbekendtgørelsen den 28. september 2006 indebærer dette, at ordningen tages op til fornyet overvejelse efter et tidsrum, der svarer til det oprindeligt forudsatte ved vedtagelsen af anti-terrorpakken i sommeren 2002.

 

Det følger endvidere af artikel 14 i EU-direktivet om logning, at Kommissionen senest den 15. september 2010 forelægger en evaluering af direktivet for Europa-Parlamentet og Rådet.

 

Det har på den baggrund været Justitsministeriets vurdering, at der ikke var behov for en særskilt bestemmelse om revision eller evaluering i selve logningsbekendtgørelsen.