Datatilsynet måtte true med politianmeldelse før TDC udleverede logningsdata til kunde

Internetaktivist måtte vente mere end to år på at få udleveret egne persondata fra teleselskabet. ‘Meget kritisabelt’, mener Datatilsynet.

I to år har internetaktivist og datalog Christian Panton med assistance fra Datatilsynet forsøgt at fravriste TDC oplysninger om, hvilke persondata teleoperatøren har logget om ham.

Først da Datatilsynet truede med en politianmeldelse af selskabet, fik Christian Panton – i hvert fald delvist – de ønskede data udleveret, og det forløb betegner tilsynet som ‘meget kritisabelt’.

Formanden for Rådet for Digital Sikkerhed, Rasmus Theede, understreger, at det er et grundlæggende retsprincip, at borgerne har adgang til de data, der bliver gemt om dem.

»Det er et spørgsmål om, hvorvidt vi kan have tillid til, hvad det offentlige har adgang til af data om os,« siger han.

»Derfor er det også bekymrende, at der skal så klare trusler fra Datatilsynet til, inden data bliver udleveret,« siger han.

Ifølge persondataloven skal den dataansvarlige, i dette tilfælde TDC, ellers besvare en begæring om indsigt i persondata i løbet af fire uger. Kan det ikke lade sig gøre, skal den dataansvarlige oplyse om grunden til, at det ikke kan lade sig gøre.

Alligevel gik der fra maj 2013 til september 2015, før Christian Panton fik svar fra TDC.

Flere henvendelser fra Datatilsynet

Datatilsynet har i perioden gentagne gange rettet henvendelse til TDC. Men det var først, da tilsynet i juli 2015 gjorde TDC opmærksom på, at det er strafsanktioneret at undlade at efterkomme tilsynets krav – altså at en politianmeldelse kunne komme på tale – at TDC måneden efter sendte USB-nøglen med de ønskede data til Panton.

Nøglen indeholdt dog kun en del af de oplysninger, Christian Panton havde efterspurgt. Mens nøglen indeholdt data fra den daværende sessionslogning om blandt andet Pantons internetforbrug via hans mobile dataforbindelse, så manglede oplysninger fra den almindelige telelogning.

Det vil sige informationer om eksempelvis telefonnumre, han havde ringet til i perioden.

Logningsoplysningerne med bl.a. telefonnumre var simpelthen blevet slettet under det lange sagsforløb. Ifølge udtalelsen fra Datatilsynet var det TDC’s indtryk, at Christian Panton kun var interesseret i ses-sionslognings-oplysningerne, der var blevet gemt på USB-nøglen.

Datatilsynet mener ikke, TDC har overholdt persondataloven, og det finder myndigheden altså ‘meget kritisabelt’, fremgår det af en udtalelse på tilsynets hjemmeside.

Parterne – TDC og Panton – optræder anonymt i udtalelsen, men Ingeniøren har været i kontakt med begge, som bekræfter forløbet.

Christian Panton har sideløbende haft gang i flere andre sager om udlevering af persondata fra teleselskaber, og det har ifølge internetaktivisten generelt været ‘op ad bakke’.

»Teleselskaberne har været meget tøvende i forhold til at udlevere data. Jeg har endnu ikke haft en sag, hvor jeg har kunnet få data udleveret uden at involvere Datatilsynet.«

Datatilsynets medarbejdere med ekspertise i teleområdet har ikke været tilgængelige for en kommentar, men kommitteret Birgit Kleis oplyser, at ikke er almindeligt, at en databehandler som TDC undlader at reagere på tilsynets henvendelse, men at det er forekommet tidligere.

Tilsynet har ikke hjemmel til uddele bøder og må kun meget sjældent indgive politianmeldelse. Birgit Kleis kan ikke huske tilfælde, hvor en databehandler er blevet anmeldt for at undlade at svare.

I TDC afviser presserådgiver Rasmus Avnskjold, at det var Datatilsynets trussel om en politianmeldelse og dermed risikoen for bøder, der fik selskabet til endelig at reagere:

»Det har ikke noget med økonomi at gøre. Det her er en fuldstændig uacceptabel sag for os. Vi må lægge os fladt ned og konstatere, at der er sket flere menneskelige fejl,« siger han og tilføjer:

»Vi har et tocifret antal henvendelser hvert år om det her. Under normale omstændigheder er det ikke årsag til problemer. Vi ser derfor denne sag som enkeltstående, men har alligevel set os nødsaget til at indskærpe vores procedurer for at sikre, at det ikke sker igen.«

Men hvorfor?

Christian Pantons interesse i TDC’s data om ham er affødt af den igangværende diskussion om såkaldt sessionslogning. Justitsministeriet og politiet vil øge logningen af borgernes færden på nettet med henvisning til, at det vil lette politiets opklaringsarbejde, da kriminelle kommunikerer via nettet.

I den forbindelse finder Christian Panton det vigtigt at kortlægge, i hvilket omfang persondata om borgerne allerede i dag bliver logget.

»Vi taler om ny sessionslogning og i samme åndedrag om en udvidelse af logningskravene til mobile dataforbindelser. Og så betyder det jo reelt set, at vi alle sammen kommer til at blive registreret i meget højere grad,« siger han.

Ifølge Rasmus Theede fra Rådet for Digital Sikkerhed vil den almindelige dansker ikke få meget ud af at se i teleselskabernes logningsdata.

»Derfor er det også fint, at Christian Panton eller andre efterprøver, hvilke data der bliver gemt, og hvad de kan bruges til,« siger formanden for sikkerhedsrådet.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.