Kære mobilselskab
Jeg skal bede jer sende mig de logningsdata, I har gemt om mig, og derefter slette dem. Jeg har ikke givet samtykke til jeres logning, og med den tredje dom fra EU-Domstolen står det klart, at jeres indsamling krænker min ret til privat- og familieliv samt min ret til beskyttelse af personoplysninger.
Hvis I nægter at slette de ulovligt loggede oplysninger, skal jeg bede jer bekræfte dette skriftligt.
Hvis I anerkender min ret til at få data slettet, vil jeg bede om en skriftlig bekræftelse på at det er gjort.
Mvh.
[navn]
[mobilnummer]
[fysisk adresse]
EU-dommen:
https://ulovliglogning.dk/2020-10-06-eudom

3’s netværk:
– 3 Mobil: kundeservice@3.dk
– Oister: kundeservice@oister.dk
TDC’s netværk:
– Altibox info@altibox.dk
– eesy hey@eesy.dk
– Fullrate dpo@tdc.dk
– Happiimobil Lukket, henviser til eesy
– Nettalk kundeservice@nettalk.dk
– Stofa info@stofa.dk
– Telmore klager@telmore.dk
– Unotel support@unotel.dk
– Velkommen kundeservice@velkommen.dk
– Viptel kundeservice@viptel.dk
– YouSee kundeservice@yousee.dk
Telenors netværk:
– Evercall service@evercall.dk
– GreenSpeak vip@greenspeak.dk
– Lebara infodk@lebara.com (skriv “Klage” i emnet)
– OK Mobil ok@ok.dk
– Telenor kundeservice@telenor.dk
Telias netværk:
– bolig:net info@bolignet.dk
– Call Me privat-liv@teliacompany.com
– CBB Mobil info@cbb.dk
– dukaTALE info@duka.dk
– Greentel support@greentel.dk
– Mit Tele privat-liv@teliacompany.com
– Telia privat-liv@teliacompany.com
– Waoo Mobil support@waoomobil.dk
Hvad gør du, hvis dit teleselskab beder om betaling for aktindsigt?
Jesper Lund, IT-politisk forening svarer:
Det er klart ulovligt. GDPR siger at personoplysningerne skal udleveres uden betaling. De gamle persondatalov gav mulighed for at private dataansvarlige kunne opkræve et gebyr, men faktisk kun hvis de udleverede oplysningerne på papir (10 kr. per side, max 200 kr. var det vist).
Hvor meget ID kan man blive afkrævet?
Jesper Lund: Se denne afgørelse:
Et generelt krav om at indsende kopier af ID-dokumenter for at bruge retten til indsigt er ikke lovligt. Kravet bruges desværre alt for ofte af dataansvarlige for at få folk til at afholde sig fra at bruge retten
om indsigt; det er selvfølgelig slet ikke lovligt.
Den dataansvarlige har dog en pligt til at foretage en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den person, som anmoder om indsigt. Det kan i nogle situationer betyde ekstra kontrol, men ikke alle situationer (så er det ikke “konkret”).
Når der er tale om et teleselskab eller en onlinetjeneste, mener jeg ikke at den dataansvarlige kan forlange at du møder op fysisk på deres kontor. Der står direkte i GDPR artikel 15, stk. 3 at når anmodningen fremsættes elektronisk, skal svaret også gives på denne måde. Det er lidt en anden sag med udlevering af billeder fra TV-overvågning, hvor fysisk fremmøde kan være den eneste praktiske metode til at sikre, at personoplysningerne udleveres til den rette person.
En metode, som jeg har hørt om i forhold til teleselskaber, er at oplysningerne gemmes på en krypteret USB stick, som fremsendes med posten, og at adgangskoden sendes som SMS til det mobilnummer, som kunden har registreret eller som hører til tjenesten (hvis det er mobiltelefoni).
IT-politisk forenings formand Jesper Lund om logningsbestemmelser og den sidste nye EU-dom
I december 2016 kom den banebrydende Tele2-dom fra EU-Domstolen, som gjorde det klart at generel og udifferentieret logning af metadata om telekommunikation, svarende til den danske logningsbekendtgørelse, er i strid med EU-retten. Kun en målrettet logning ud fra objektive kriterier er tilladt efter EU-retten, fordi logning skal være undtagelsen, ikke hovedreglen.

Daværende justitsminister Søren Pape erkendte over for Retsudvalget den 2. marts 2007, at det var nødvendigt at ændre de danske logningsregler.
Indtil dette skete ville logningsbekendtgørelsen fortsat gælde, fordi Justitsministeren mente, at EU-retten gav Danmark en vis frist til at ændre lovgivning der er i strid med EU-retten.
Derefter skete der ikke så meget. Siden Tele2-dommen er revisionen af de danske logningsregler blevet udsat fire gange med forskellige begrundelser. Den seneste begrundelse i folketingsårets 2019-20 var, at Justitsministeriet ville afvente udfaldet af fire nye sager om logning ved EU-Domstolen (sager fra UK, Belgien og Frankrig). Selv om disse sager formelt handler om nye spørgsmål i relation til logning, især national sikkerhed, blev sagerne af den danske regering, og mange andre EU-regeringer, opfattet som en “appel-sag” for Tele2-dommen.
På EU-niveau har der siden 2017 været en række drøftelser bag lukkede døre af hvordan landenes nationale lovgivning om logning skulle tilpasses Tele2-dommen. Disse drøftelser skiftede ret hurtigt (efter ganske få måneder) til hvordan man kunne OMGÅ Tele2-dommen, for eksempel ved at opfinde begreber som “begrænset logning”, der trods navnet omfatter alle abonnenter og sågar flere oplysninger end der bliver registreret i dag (altså ikke videre “begrænset”). Senere begyndte EU-regeringerne at omtale en udvikling i retspraksis hos EU-Domstolen, selv om der reelt ikke var sket nogen ændring i retspraksis. Antageligt dækkede dette over ønsketænkning: at EU-Domstolen i de nye sager ville tillade generel og udifferentieret logning, så det ulovlige kunne blive lovligt igen.
Dommene i de nye sager kom 6. oktober 2020. Som nævnt oven for handler de nye sager først og fremmest om national sikkerhed i forhold til logning. Her slog EU-Domstolen fast, at selv om EU-traktaten har en undtagelse for national sikkerhed, så gælder den undtagelse alene statens egne aktiviteter. Hvis teleselskaberne pålægges en logningsforpligtelse med national sikkerhed som formål (fx forebygge og efterforske terrorisme), er vi inden for EU-rettens anvendelsesområde, fordi privatliv i elektronisk kommunikation er omfattet af EU-retten, og krav om logning er en begrænsning af retten til privatliv i elektronisk kommunikation.
Den danske logningsbekendtgørelse handler om efterforskning og retsforfølgelse af kriminalitet, hvilket var det som Tele2-dommen behandlede. Trods ønskerne fra en række EU-regeringer kom der ikke noget “opgør” med Tele2-dommen: generel og udifferentieret logning til forebyggelse og efterforskning af alvorlig kriminalitet er fortsat i strid med EU-retten.
I den forstand er vi tilbage ved situationen primo 2017, hvor regeringen erkendte, at logningsbekendtgørelsen skulle ændres, og så skete der ikke mere. Men der er to væsentlige nye aspekter af dommene 6. oktober 2020 i forhold til Tele2-dommen fra 2016.
Det FØRSTE er at EU-Domstolen denne gang relativt præcist fortæller EU-landene hvad der er tilladt efter EU-retten. Her er der måske et par mindre indrømmelser (afhængig af hvordan man læser de tidligere domme), men langt fra det som EU-regeringerne havde ønsket sig.
Udover den målrettede logning fra Tele2-dommen baseret på personkreds eller geografisk område (som næsten alle EU-regeringer har ment var uanvendelig, fordi man ikke på forhånd kan vide hvem der senere kommer i politiets søgelys), siger EU-Domstolen at registrering af oplysninger om tildelt dynamisk IP-adresse for alle abonnenter (altså generelt og
udifferentieret) er tilladt, fordi denne oplysning i sig selv ikke fortæller noget om personens kommunikation. Det vil sige at logningsbekendtgørelsens § 5, stk. 1 fortsat vil kunne opretholdes, dog med den ændring at oplysningerne kun må bruges til efterforskning af alvorlig kriminalitet. Der er også mulighed for at registrere oplysninger om brugeridentiteten for alle abonnenter, fx IMSI og IMEI numre samt abonnentnavn og -adresse, som ikke behøver at være begrænset til alvorlig kriminalitet.
Det vigtige er imidlertid, at registreringen (logning) af hvem der kommunikerer med hvem, hvornår og hvor længe, samt hvor kommunikationen finder sted (lokationsoplysninger), IKKE må ske for alle abonnenter (“generelt og udifferentieret”).
Der er dog et lille forbehold vedrørende national sikkerhed, som jeg omtaler senere. Som den sidste præcisering i forhold til logning af hensyn til alvorlig kriminalitet siger EU-Domstolen, at der er mulighed for målrettet hastesikring til efterforskning af alvorlig kriminalitet. Hastesikring (“quick freeze”) er det alternativ til generel logning, som EDRi og andre civilsamfundsorganisationer har foreslået siden diskussionen om logningsdirektivet startede i midten af 00’erne.

Det ANDET nye aspekt er at EU-Domstolen tager stilling til om en logningsordning, der er i strid med EU-retten, midlertidigt kan opretholdes. Det spørgsmål er særdeles interessant for den danske retssag, som Foreningen mod Ulovlig Logning (anført af Rasmus Malver) har anlagt mod Justitsministeriet. Afklaring af dette spørgsmål er en af grundene til at Kammeradvokaten har fået den danske retssag udsat ad flere omgange. Justitsministeriet håber givetvis, at Østre Landsret vil give regeringen en måske ubestemt frist til at ændre logningsbekendtgørelsen, ligesom den ubestemte frist som Justitsministeriet har tildelt sig selv ved de årlige udskydelser af de danske logningsregler.
På dette punkt er den nye dom heldigvis krystalklar: EU-landene og deres nationale domstole kan IKKE opretholde en logning, som er i strid med EU-retten.
I forhold til Tele2-dommen og situationen primo 2017 kan Justitsministeriet altså ikke længere hævde, at logningsbekendtgørelsen kan opretholdes indtil man finder ud af hvad der skal erstatte den. På dette punkt fortolke Justitsministeriet EU-retten forkert i marts 2017.
Efter EU-retten er Justitsministeren derimod forpligtet til at ophæve logningsbekendtgørelsen med omgående virkning, og hvis det ikke sker (hvis et flertal i Folketinget eksempelvis stemmer for endnu en udsættelse), har EU-Domstolen temmelig præcist instrueret Østre Landsret om hvordan den danske retssag skal afgøres, når sagen (engang i
fremtiden) har været behandlet og der skal afsiges dom.
Det burde lægge temmelig meget pres på Justitsministeriet, og en del mere end primo 2017, men jeg kan i sagens natur ikke love noget. Nick Hækkerup mener sikkert stadig, at “overvågning er frihed”.
Til sidst i denne orientering på IT-Pol medlemslisten er der punktet omkring logning og national sikkerhed, som er meget kompliceret, men jeg skal prøve at gøre det kort. Her siger EU-Domstolen desværre, at en generel og udifferentieret logning er tilladt, hvis staten står over for en alvorlig trussel mod den nationale sikkerhed, hvor denne trussel enten er aktuel eller forudsigelig. Det må bare ikke ske hele tiden, og før denne generelle og udifferentierede logning igangsættes, skal en domstol verificere at betingelserne (den alvorlige trussel mod statens sikkerhed) er opfyldt.
Endvidere skal der være en række retsgarantier, som blandt andet indebærer af de lagrede oplysninger om hele befolkningen kun må bruges til forebyggelse af trusler mod den nationale sikkerhed, og ikke andre formål hos politiet. De loggede oplysninger kan altså ikke bruges til efterforskning af alvorlig kriminalitet. Den danske logning bruges i dag primært af politiet til efterforskning af kriminalitet; ikke af PET til bekæmpelse af terrorisme (statens sikkerhed).
Det er vigtigt at understrege, at der IKKE er tale om en omgåelsesmulighed, hvor Folketinget kan ændre “strafbare forhold” i retsplejelovens § 786, stk. 4 til “terrorisme”, for derefter at fortsætte med den eksisterende logning som om intet var hændt, og bruge de loggede oplysninger til efterforskning af kriminalitet.
Under alle omstændigheder kræver dette et lovgrundlag som er helt anderledes end den nuværende logningsbekendtgørelse (og grundlaget i retsplejelovens § 786, stk. 4), så denne nye fortolkning fra EU-Domstolen (eller “indrømmelse” til EU-landene, om man vil) ændrer på ingen måde på, at logningsbekendtgørelsen skal ophæves.
Mvh
Jesper Lund
P.S. De danske nyhedsmedier har ikke været voldsomt interesseret i de nye domme (udover P1 Orientering den 6. oktober), men her er et par links hvor jeg deltager:
https://www.dr.dk/radio/p1/orientering/orientering-2020-10-06/01:03:25
https://www.complidia.com/privacy/artikel/kammeradvokat-forhaler-sag-om-logning
https://www.complidia.com/privacy/artikel/dom-boer-tvinge-minister-til-nytaenkning
Læs også om en ny arbejdsgruppe i EU, der skal forberede ny lovgivning om masseovervågning:
https://www.mayday-info.dk/ny-arbejdsgruppe-i-eu-raadet-skal-arbejde-med-masseovervaagning/
Ovenstående er sendt som orientering til medlemmerne af IT-Politisk Forening med Jesper Lund som forfatter.
Skriv et svar