Tilsyn med persondatasikkerheden på teleområdet

Erhvervsstyrelsen fører tilsyn med, om udbydere af elektroniske kommunikationstjenester overholder reglerne. Udbyderne skal indberette sikkerhedsbrud til Erhvervsstyrelsen, når hændelsen relaterer sig til udbuddet af deres tjenester.

  • Opdateret 1. juli 2020

I Danmark er det Erhvervsstyrelsen, der fører tilsyn med, om udbydere af elektroniske kommunikationstjenester overholder de særlige regler i telelovgivningen om beskyttelse af persondata.

Ved brud på persondatasikkerheden er udbyderen forpligtet til at underrette abonnenter eller fysiske personer, hvis bruddet kan krænke personoplysninger eller privatlivets fred for de pågældende. Derudover skal udbyderen underrette Erhvervsstyrelsen om sikkerhedshændelsen. Underretningen skal følge en fast procedure og skal indberettes på Virk.

 

Opgørelse over indberetninger af brud på persondatasikkerheden

Erhvervsstyrelsens afgørelser og vurderinger

Erhvervsstyrelsen blev i slutningen af januar 2020 via medierne gjort opmærksom på, at Telenor tilsyneladende har oversendt for mange oplysninger i form af modpartsnumre til politiet som en del af de data, der oversendes efter politiets anmodning og på baggrund af retskendelser.

Telenor har redegjort for sagen, herunder at selskabet har udleveret oplysninger til politiet i overensstemmelse med den kendelse, de har modtaget fra politiet. Erhvervsstyrelsen har foretaget en vurdering af, om der er sket brud på persondatasikkerheden i forbindelse med Telenors udlevering af oplysninger til politiet.

Erhvervsstyrelsen træffer hermed afgørelse i medfør af telelovens1 § 20 om, at Telenor har oversendt for mange oplysninger til politiet som en del af de signaleringsdata, der oversendes efter politiets anmodning, og at denne oversendelse dermed udgør et brud på persondatasikkerheden, jf. bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

På baggrund af Telenors redegørelser, og idet Telenor nu har omlagt proceduren for udtræk af data til politiet, og at bruddet dermed ifølge Telenor er stoppet, samt på baggrund af, at det er Erhvervsstyrelsens forståelse, at ordlyden af kendelser nu er ændret, og Telenor derfor ikke udleverer modpartsnumre, medmindre dette fremgår af kendelsen, foretager styrelsen sig på det foreliggende grundlag ikke yderligere i den konkrete sag.

Erhvervsstyrelsen blev i februar 2020 via Rigspolitiet bekendt med, at Telia på baggrund af kendelser har udleveret mere data til politiet end hvad kendelserne fordrede. Oplysningerne fra Rigspolitiet gav i første omgang Erhvervsstyrelsen anledning til at anmode Telia om at redegøre for sagen med henblik på at identificere, hvorvidt der er sket et brud på persondatasikkerheden i forbindelse med udleveringen.

Telia har redegjort for sagen, herunder at det er selskabets opfattelse, at udleveringen af oplysningerne er sket i overensstemmelse med politiets kendelse. Erhvervsstyrelsen har foretaget en vurdering af, om der er sket brud på persondatasikkerheden i forbindelse med Telias udlevering af oplysninger til politiet.

Erhvervsstyrelsen træffer hermed afgørelse i medfør af telelovens1 § 20 om, at Telia har oversendt for mange oplysninger til politiet som en del af de signaleringsdata, der oversendes efter politiets anmodning, og at denne oversendelse dermed udgør et brud på persondatasikkerheden, jf. bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

På baggrund af Telias redegørelser, og idet det er Erhvervsstyrelsens forståelse, at ordlyden af kendelserne nu er ændret, og Telia derfor ikke udleverer modpartsnumre, medmindre dette fremgår af kendelsen, foretager styrelsen sig på det foreliggende grundlag ikke yderligere i den konkrete sag.

Sådan håndterer du sikkerhedsbrud

En indberetning til Erhvervsstyrelsen skal følge en fast procedure, og skal bl.a. ske inden 24 timer efter bruddet er påvist.

I kapitel 5 i Erhvervsstyrelsens vejledning for persondatasikkerhed på teleområdet, kan man få overblik over, hvilke procedurer, der skal overholdes ved sikkerhedshændelser.

Brud på persondatasikkerheden hos udbydere af elektroniske kommunikationstjenester skal indberettes til Erhvervsstyrelsen på Virk.

Persondatasikkerhed på teleområdet

Udbydere skal overholde de krav, der bl.a. fremgår af Bekendtgørelsen om persondatasikkerhed.

Læs om persondatasikkerhed på teleområdet