Datatilsynet truer TDC med en politianmeldelse og dermed en potentiel bøde på op til fire procent af koncernens årsomsætning i den sag, som har medført, at det største danske teleselskab efter årelang betænkningstid endelig lukkede for totalovervågningen af kundernes færden.
I mere end et år nægtede TDC nemlig, at Datatilsynet overhovedet havde myndighed til at behandle sagen om mellem 50 og 100 gange dagligt, som TDC typisk gemmer data de master, som kundernes telefoner er forbundet til. Ved hjælp af de data er det muligt at foretage en komplet kortlægning af danskernes færden.
Til sidst mistede Datatilsynet dog tålmodigheden med telegiganten. I et skarpt formuleret brev fra i tirsdags beder tilsynet atter en gang om en udtalelse, som forholder sig til sagens substans. Den vil tilsynet have inden for en uge.
»Hvis TDC A/S herefter fortsat ikke ønsker at fremkomme med en udtalelse, vil Datatilsynet tage dette som udtryk for, at TDC A/S ikke ønsker at udtale sig i sagen, og tilsynet vil herefter vurdere sagen på det foreliggende grundlag, ligesom tilsynet vil foretage en vurdering af, om sagen eventuelt skal overlades til politiets foranstaltning.«
TDC: Vi er kastebold - myndighederne koordinerer ikke
TDC's lagring af kundernes lokationsdata kan ifølge internetaktivisten Christian Panton muligvis være en overtrædelse af GDPR. Det medfører risiko for de enorme bøder, og det er, gætter han, årsagen til, at TDC handler nu.
TDC selv vil ikke udtale sig yderligere, men kritiserede i slutningen af september, at myndighederne ikke koordinerer bedre med hinanden.
»TDC er blevet kastebold mellem henholdsvis Justitsministeriet, Erhvervsstyrelsen og Datatilsynet, hvilke myndigheder forfølger forskellige interesser uden intern afstemning og uden nødvendig koordinering af kompetencefordelingen. Man kunne med rimelighed anføre, at dette ellers er en af myndighedernes væsentligste opgaver,« lød det i et brev til Datatilsynet.
»Det er TDC’s vurdering, at det ville være formålstjenstligt, hvis myndighederne endeligt fik afklaret uenighederne om kompetencefordelingen inden Datatilsynets behandling af sagen. I mangel på en sådan afklaring forventer TDC til orientering at stoppe den pågældende MMS-logning.«
Klagede i februar 2016 og tabte første runde
Christian Panton startede klagesagen mod TDC i februar 2016. Han var også med i Ingeniøren og Version2's kortlægning af konsekvenserne af masseovervågningen.
I første omgang ringede Christian Panton til Datatilsynet og spurgte, om den skulle føres ved tilsynet eller Erhvervsstyrelsen. Styrelsen er tilsynsmyndighed for den Udbudsbekendtgørelse, som teleselskaberne opererer efter.
Da Datatilsynet ifølge Christian Panton var i tvivl, startede han hos Erhvervsstyrelsen.
Den klagesag tabte han sidste år. Erhvervsstyrelsen konkluderede, at TDC's dataindsamling var velbegrundet.
Den var nemlig nødvendig for at leve op til den kontroversielle logningsbekendtgørelse, som Foreningen mod Ulovlig Logning nu fører en retssag for at få afskaffet.
Den sag var Christian Panton mellem de første til at bakke op om. Logningsbekendtgørelsen skal sikre politi og efterretningstjenester adgang til oplysninger om danskernes teleforbrug til brug i efterforskningen.
TDC: Nødvendigt for at logge MMS
Logningsbekendtgørelsen kræver, at TDC og de øvrige teleselskaber kan stedfæste, hvor kunderne befinder sig, når de ringer op, sender eller modtager et opkald, en sms eller en MMS.
Men MMS'erne er ifølge TDC umulige at logge, da der er tale om datatrafik.
Derfor gemte TDC jævnligt kundernes position, når de benytter mobildata, så seneste position kunne kombineres med afsendelsestidspunktet for MMS'er.
Men det blev altså til op til 100 gange i døgnet for Christian Panton og Ingeniørens journalist, da vi første gang søgte registerindsigt.
Da Erhvervsstyrelsen havde blåstemplet TDC's lagring af mastedata, gik Christian Panton tilbage til Datatilsynet.
Det skyldes ikke alene, at han fandt afgørelsen fejlfyldt, og at der ikke er klagemuligheder. Men han var ifølge Erhvervsstyrelsen slet ikke part i sagen, fordi styrelsen kun udfører et generelt tilsyn.
»Men i EU-retten står, at jeg har ret til individuel sagsbehandling,« konstaterer Christian Panton.
Lever teleselskaberne op til logningsbekendtgørelsen?
Når han selv fremhæver, at TDC ophører med logningen, så snart Datatilsynet truer med politianmeldelse, så skyldes det forløbet om logningsbekendtgørelsen. Den er nemlig klart ulovlig, og hvis ikke det stod klart tidligere, blev det slået fast med syvtommersøm af EU-Domstolen for snart to år siden i en sag anlagt mod et svensk teleselskab.
EU-dommerne konkluderede, at de svenske bestemmelser, der i store træk svarer til den danske bekendtgørelse, krænker retten til privatliv. Herefter holdt de svenske teleselskaber op med at udføre logningen.
Herhjemme afviste en enig branche dog at stoppe logningen, netop med henvisning til logningsbekendtgørelsen. Den har regeringen ikke ændret, selv om en ændring flere gange har stået på lovkataloget. Det gør den også for den kommende Folketingssamling.
Christian Pantons vurdering er umiddelbart, at TDC ikke længere lever op til logningsbekendtgørelsens krav om kunne stedbestemme kunder, der modtager eller afsender MMS. Det bygger han på TDC's svar til Erhvervsstyrelsen i sagen.
Han tror heller ikke, at de øvrige teleselskaber lever op til bekendtgørelsen på netop det punkt.
Er der alligevel en bøde på vej?
Når det er så afgørende, så skyldes det, at moderne smartphones stort set hele tiden benytter data, og at logningen derfor kan foretages meget mere nøjagtigt ud fra databrug end ud fra samtaler og SMS.
Christian Panton har efterhånden samlet 500 sider med dokumenter i sagen, og han er glad for, at TDC er ophørt med, hvad han kalder den »åbenlyst ulovlige« logning af kundernes position. Men dermed er sagen langt fra slut, pointerer han, for Datatilsynet har endnu ikke truffet en afgørelse, og logningen har stået på, også efter at GDPR trådte i kraft.
»Det er en af de første større tilsynssager efter GDPR, og det bliver spændende, om der kommer bøde i sagen, og hvor stor den i givet fald bliver,« siger han.
Datatilsynets brev til TDC med trussel om politianmeldelse by Ingenioeren on Scribd
TDC's brev til Datatilsynet om logning by Ingenioeren on Scribd
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
