Datatilsynet måtte true med politianmeldelse før TDC udleverede logningsdata til kunde

Internetaktivist måtte vente mere end to år på at få udleveret egne persondata fra teleselskabet. ‘Meget kritisabelt’, mener Datatilsynet.

I to år har internetaktivist og datalog Christian Panton med assistance fra Datatilsynet forsøgt at fravriste TDC oplysninger om, hvilke persondata teleoperatøren har logget om ham.

Først da Datatilsynet truede med en politianmeldelse af selskabet, fik Christian Panton – i hvert fald delvist – de ønskede data udleveret, og det forløb betegner tilsynet som ‘meget kritisabelt’.

Formanden for Rådet for Digital Sikkerhed, Rasmus Theede, understreger, at det er et grundlæggende retsprincip, at borgerne har adgang til de data, der bliver gemt om dem.

»Det er et spørgsmål om, hvorvidt vi kan have tillid til, hvad det offentlige har adgang til af data om os,« siger han.

»Derfor er det også bekymrende, at der skal så klare trusler fra Datatilsynet til, inden data bliver udleveret,« siger han.

Ifølge persondataloven skal den dataansvarlige, i dette tilfælde TDC, ellers besvare en begæring om indsigt i persondata i løbet af fire uger. Kan det ikke lade sig gøre, skal den dataansvarlige oplyse om grunden til, at det ikke kan lade sig gøre.

Alligevel gik der fra maj 2013 til september 2015, før Christian Panton fik svar fra TDC.

Flere henvendelser fra Datatilsynet

Datatilsynet har i perioden gentagne gange rettet henvendelse til TDC. Men det var først, da tilsynet i juli 2015 gjorde TDC opmærksom på, at det er strafsanktioneret at undlade at efterkomme tilsynets krav – altså at en politianmeldelse kunne komme på tale – at TDC måneden efter sendte USB-nøglen med de ønskede data til Panton.

Nøglen indeholdt dog kun en del af de oplysninger, Christian Panton havde efterspurgt. Mens nøglen indeholdt data fra den daværende sessionslogning om blandt andet Pantons internetforbrug via hans mobile dataforbindelse, så manglede oplysninger fra den almindelige telelogning.

Det vil sige informationer om eksempelvis telefonnumre, han havde ringet til i perioden.

Logningsoplysningerne med bl.a. telefonnumre var simpelthen blevet slettet under det lange sagsforløb. Ifølge udtalelsen fra Datatilsynet var det TDC’s indtryk, at Christian Panton kun var interesseret i ses-sionslognings-oplysningerne, der var blevet gemt på USB-nøglen.

Datatilsynet mener ikke, TDC har overholdt persondataloven, og det finder myndigheden altså ‘meget kritisabelt’, fremgår det af en udtalelse på tilsynets hjemmeside.

Parterne – TDC og Panton – optræder anonymt i udtalelsen, men Ingeniøren har været i kontakt med begge, som bekræfter forløbet.

Christian Panton har sideløbende haft gang i flere andre sager om udlevering af persondata fra teleselskaber, og det har ifølge internetaktivisten generelt været ‘op ad bakke’.

»Teleselskaberne har været meget tøvende i forhold til at udlevere data. Jeg har endnu ikke haft en sag, hvor jeg har kunnet få data udleveret uden at involvere Datatilsynet.«

Datatilsynets medarbejdere med ekspertise i teleområdet har ikke været tilgængelige for en kommentar, men kommitteret Birgit Kleis oplyser, at ikke er almindeligt, at en databehandler som TDC undlader at reagere på tilsynets henvendelse, men at det er forekommet tidligere.

Tilsynet har ikke hjemmel til uddele bøder og må kun meget sjældent indgive politianmeldelse. Birgit Kleis kan ikke huske tilfælde, hvor en databehandler er blevet anmeldt for at undlade at svare.

I TDC afviser presserådgiver Rasmus Avnskjold, at det var Datatilsynets trussel om en politianmeldelse og dermed risikoen for bøder, der fik selskabet til endelig at reagere:

»Det har ikke noget med økonomi at gøre. Det her er en fuldstændig uacceptabel sag for os. Vi må lægge os fladt ned og konstatere, at der er sket flere menneskelige fejl,« siger han og tilføjer:

»Vi har et tocifret antal henvendelser hvert år om det her. Under normale omstændigheder er det ikke årsag til problemer. Vi ser derfor denne sag som enkeltstående, men har alligevel set os nødsaget til at indskærpe vores procedurer for at sikre, at det ikke sker igen.«

Men hvorfor?

Christian Pantons interesse i TDC’s data om ham er affødt af den igangværende diskussion om såkaldt sessionslogning. Justitsministeriet og politiet vil øge logningen af borgernes færden på nettet med henvisning til, at det vil lette politiets opklaringsarbejde, da kriminelle kommunikerer via nettet.

I den forbindelse finder Christian Panton det vigtigt at kortlægge, i hvilket omfang persondata om borgerne allerede i dag bliver logget.

»Vi taler om ny sessionslogning og i samme åndedrag om en udvidelse af logningskravene til mobile dataforbindelser. Og så betyder det jo reelt set, at vi alle sammen kommer til at blive registreret i meget højere grad,« siger han.

Ifølge Rasmus Theede fra Rådet for Digital Sikkerhed vil den almindelige dansker ikke få meget ud af at se i teleselskabernes logningsdata.

»Derfor er det også fint, at Christian Panton eller andre efterprøver, hvilke data der bliver gemt, og hvad de kan bruges til,« siger formanden for sikkerhedsrådet.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Casper Olsen

Vi har et tocifret antal henvendelser hvert år om det her. Under normale omstændigheder er det ikke årsag til problemer. Vi ser derfor denne sag som enkeltstående

Hvis de håndtere et tocifet (10-99?) antal henvendelser om året, skulle man måske overveje at automatisere udtræk af data, især hvis det tættere på de 99 end de 10. Det ret intressant at imens de har fumlet med Pantons sag og ikke udleveret data, så har de fint kunne håndtere samtlige andre sager ved siden af fejlfrit. Christians sag er jo er et enkeltstående tilfælde, ikke? Eller er det måske et spørgsmål om at Christian ved hvad han skal have udleveret kontra resten af henvendelserne?

Hans Schou

Jeg har prøvet at få egenaccess hos Telenor, og det afviste de. Så klagede jeg til Datatilsynet, og efter 1½ år opgav de at gøre noget ved det. Så det er positivt, at Datatilsynet nu er begyndt at følge loven.

Jesper Vandborg

Jeg har også bedt om mine data fra Telia.

De sendte mig så et kopi af min kontrakt med dem. Det var åbenbart det eneste data de havde om mig i deres optik. Jeg gad ikke gøre mere ved det. Men kan være man skal prøve igen ved en anden lejlighed.

Mogens Ritsholm

Det kan vel være at TDC har haft "held" med at overbevise alle de andre om at de ikke skal udlevere noget, så har de håndteret sagerne, men ikke udleveret noget

Det har du fuldstændig ret i. De er temmelig paniske for, at mange beder om data.

Så den næste, der ikke giver op, vil også opleve flere års sagsforløb.

Lovgivningen er også lidt underlig på den måde, at politiet skal betale for en udlevering af data, mens du selv kun skal betale et mindre symbolsk beløb, så vidt jeg husker.

Og så er der en række fælder. Hvis du beder om en log af telefonopkald til dig, skal de f.eks. skjule "hemmelige" numre. Det skal de ikke ved en udlevering til politiet.

Hans Schou

De er temmelig paniske for, at mange beder om data.


Det er lidt underligt, at de ikke bare automatisere det. Fx laver et punkt på kundernes web-side hvor de selv kan hente oplysningerne.

Lovgivningen er også lidt underlig på den måde, at politiet skal betale for en udlevering af data, mens du selv kun skal betale et mindre symbolsk beløb, så vidt jeg husker.


Der skulle nok have stået at politiet ikke skal betale, og det er egentlig også lidt underligt. Først skal en dommer godkende at oplysningerne kan gives, og så er der allerede brugt meget tid på opgaven.

Jvf Persondataloven §34 stk 2 er det Justitsministeren der fastsætter betalingen. Jeg har dog aldrig hørt om nogen skulle betale, for enten har de ingen data fået, ellers har de fået dem gratis.

Mogens Ritsholm

Der skulle nok have stået at politiet ikke skal betale, og det er egentlig også lidt underligt. Først skal en dommer godkende at oplysningerne kan gives, og så er der allerede brugt meget tid på opgaven.

Nej. Politiet skal betale en pris, der er baseret på omkostningerne ved udlevering. De betaler i alt ca 50 mill om året til teleselskaberne for udlevering af data og aflytninger. Derimod skal de ikke betale for selve logningsfunktionen (dvs indsamlingen af data).

Når dømte skal betale sagsomkostninger kan de også komme til at betale politiets omkostninger til udlevering af data.

Så har vi den komiske situation, at de betaler mere end de skulle betale, hvis samme oplysninger blev udleveret efter datatilsynets regler.

Nu vil nogen sikkert sige, at udlevering ikke kan koste meget. Men data ligger ikke udleveringsparat, og man skal oftest gennem flere kørsler for at finde en specifik kundes data osv. Så det løber let op i mere end 1000 kr. med arbejdsomkostninger.

Mogens Ritsholm

Det er lidt underligt, at de ikke bare automatisere det. Fx laver et punkt på kundernes web-side hvor de selv kan hente oplysningerne.

I mine øjne et hyperfarligt forslag. Hvis først data præbehandles og ligger udleveringsparat, vil misbugsrisikoen stige markant, politiets anvendelse vil stige, da udlevering bliver næsten gratis, og andre myndigheder vil presse på for at få adgang til data til skattekontrol, dyneløftning mv. Det bliver ustyrligt.

Så det er i virkeligheden en vigtig del af personbeskyttelsen, at data ikke opbevares umiddelbart tilgængelige.

Og da de ikke er umiddelbart tilgængelige, burde de heller ikke udleveres efter datatilsynets regler.

Den diskussion burde TDC have taget med datatilsynet og i sidste ende Justitsministeren.

Men det magtede de som forudset ikke.

Og nu er en vis herre løs i Laksegade - specielt med den temmelig dumme udmelding fra TDC om at de dybt beklager fejlen.

I stedet burde de have sagt, at de ikke er enige i, at det skal udleveres, når det ikke ligger udleveringsparat, og deres indirekte opbevaring er en vigtig del af personbeskyttelsen.

Når det er sagt, er udleveringen til Christian Panton vigtig, da den har kastet lidt lys over logningen.

Men det skal ikke føre til en dårligere personbeskyttelse fremadrettet.

Morten Sørensen

Jeg har netop sendt en forespørgsel til CBB omkring mine logningsdata. Jeg har for deres skyld kun bedt om den seneste måned, da der sikkert er rigeligt med data.

Men jeg bør jo nok allerede nu finde Datatilsynets e-mail adresse frem, da de sikkert ikke overdrager data med det samme.

Mogens Ritsholm

Jeg har netop sendt en forespørgsel til CBB omkring mine logningsdata. Jeg har for deres skyld kun bedt om den seneste måned, da der sikkert er rigeligt med data.

Ifølge Telenors forklaring til rigspolitiet anvender de NAT med logning, når kunder, der ikke har smartphone, går på internet. De forklarer så ikke, hvordan de tildeler IP for smartphone kunder, men det er nok langt mindre dynamisk. Sådan må man forstå deres forklaring.

Så mængden af logninger afhænger af den telefon du har. Og der må være absurd mange poster, hvis den er logget i NAT.

Jesper Lund fik udleveret korrespondancen mellem Telenor og Rigspolitiet via en aktindsigt.

Log ind eller Opret konto for at kommentere