Vejledning om

Databeskyttelse i den elektroniske kommunikationssektor

Denne vejledning gennemgår reglerne om databeskyttelse i den elektroniske kommunikationssektor, de omfattede tjenester, tilsyn, klageadgang og sanktioner.

  • Version 1.0
  • Seneste opdatering 2. juni 2021

1
Kapitel
Indledning

Du skal læse denne vejledning, hvis du vurderer, at det kan være relevant for dig at vide mere om reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. 

Denne vejledning er målrettet ejere af elektroniske kommunikationsnet og udbydere af offentlige tilgængelige elektroniske kommunikationstjenester, herunder offentligt tilgængeligt nummeruafhængige interpersonelle kommunikationstjenester. 

Denne vejledning vil: 

  • Beskrive de regelsæt som vedrører databeskyttelse i den elektroniske kommunikationssektor. 
  • Gennemgå de omfattede tjenester.
  • Gennemgå reglerne om tilsyn, klageadgang og sanktioner.
  • Beskrive snitflader til andre retsområder. 

Reglerne om persondatasikkerhed i den elektroniske kommunikationssektor har til formål at sikre privatlivets fred og beskytte abonnenter og brugeres personoplysninger. Elektroniske kommunikationstjenester dækker over traditionelle telefoni- og beskedtjenester som fx SMS og taleopkald, såvel som tilsvarende online-tjenester f.eks. internetbaserede telefoni – og beskedtjenester samt webbaserede e-posttjenester. 

Vedledningen vil ikke berøre reglerne på cookieområdet (bekendtgørelse nr. 1148 af 11. december 2019 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres). 

2
Kapitel
Overblik over regelgrundlaget om databeskyttelse i den elektronisk kommunikationssektor

Når man arbejder med persondata i forbindelse med levering af elektroniske kommunikationstjenester, er følgende regler relevante:

Reglerne om persondatasikkerhed i den elektroniske kommunikationssektor har sit ophav i e-databeskyttelsesdirektivet. Disse regler er i dansk ret implementeret i §§ 7-8 i teleloven. 

Telelovens § 7 fastlægger princippet om kommunikationshemmeligheden, og bestemmelsen har ophav i artikel 5, stk. 1 i e-databeskyttelsesdirektivet. 

Telelovens § 8, stk. 1 bemyndiger Erhvervsministeren til at udstede regler vedrørende behandling af persondata i forbindelse med udbuddet af offentligt tilgængelige elektroniske kommunikationstjenester og offentlige nummeruafhængige interpersonelle kommunikationstjenester (herefter elektroniske kommunikationstjenester), og der fastlægges i § 8, stk. 2 og stk. 3 minimumskrav, som reglerne skal indeholde. 

Muligheden for at udstede nærmere regler er udnyttet i persondatasikkerhedsbekendtgørelsen. Du kan læse mere om reglerne i persondatabekendtgørelsen i følgende vejledninger:

Telelovens § 8 og persondatasikkerhedsbekendtgørelsen har ophav artikel 4, 6, 8, 9 10 og 11 i e-databeskyttelsesdirektivet.

3
Kapitel
Omfattede tjenester

Reglerne om persondatasikkerhed i den elektroniske kommunikationssektor finder anvendelse på ejere af elektroniske kommunikationsnet og udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester. Elektroniske kommunikationstjenester er defineret i teleloves § 2, stk. 9 såvel som i teledirektivets artikel 2, nr. 4. Relevante betragtninger i teledirektivet er bl.a. nr. 10 og 14-16. 

Ejere og udbydere af offentlige elektroniske kommunikationsnet (radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af elektroniske kommunikationstjenester) er ligeledes omfattet af særreglerne. Elektroniske kommunikationsnet er defineret i telelovens § 2 nr. 4 og 5 og teledirektivets artikel 2, nr. 1. 

Dette afsnit vil gennemgå, hvornår en tjeneste kan anses som en elektronisk kommunikationstjeneste. Vurderingen heraf skal ske med udgangspunkt i de kriterier som følger af teledirektivet og teleloven, hvorfor der vil blive taget udgangspunkt i disse regelsæt.  

Tidligere var det rammedirektivets (Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester) definitioner, som fandt anvendelse inden for reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. Teledirektivet ophæver imidlertid det tidligere rammedirektiv, og henvisninger til rammedirektivet gælder således som henvisninger til teledirektivet.  

Begrebet ”elektronisk kommunikationstjeneste” er et paraplybegreb, der dækker over tre kategorier af tjenester, som delvist kan overlappe hinanden. Kategorierne er: 

a) internetadgangstjenester
b) interpersonelle kommunikationstjenester, og 
c) tjenester, der udelukkende eller i overvejende grad består i overføring af signaler. 

Indledningsvist skal det vurderes, om du er en elektronisk kommunikationstjeneste. Hvis du er en elektronisk kommunikationstjeneste, skal du leve op til følgende krav: 

  1. tjenesten være offentligt tilgængelig, 
  2. tjenesten ydes mod betaling, herunder mod afgivelse af personoplysninger eller andre oplysninger,
  3. tjenestens modtagere ikke være afgrænset på forhånd, og 
  4. kommunikationen skal gå begge veje – dvs. alle har mulighed for at svare. 

Ad. a) Internetadgangstjenester

Internetadgangstjenester falder også under begrebet elektroniske kommunikationstjenester. Internetadgangstjenester leverer adgang til internettet, og dermed leverer de forbindelse til endepunkter på internettet - fx vægstikket, du sætter en router i. En nærmere definition kan findes i teledirektivets artikel 2, nr. 4. 

Ad b) Interpersonelle kommunikationstjenester 

Denne type tjenester er ligeledes elektroniske kommunikationstjenester. Interpersonelle kommunikationstjenester muliggør kommunikation via elektroniske kommunikationsnet mellem et afgrænset antal personer. Det kan fx være chatrum eller lignende. Definitionen på denne type tjenester findes i teledirektivets artikel 2, nr. 5. 

I teledirektivets betragtning 17 fremgår det, at en kommunikationstjeneste ikke er en interpersonel kommunikationstjeneste hvis kommunikationsfunktionen er en mindre og rent accessorisk støttefunktion, der er knyttet til en anden tjeneste, og som af objektive tekniske grunde ikke kan anvendes uden den primære tjeneste. Det er dog også en betingelse, at kommunikationsfunktionen næsten ikke benyttes af slutbrugerne. 

Kommunikationsmuligheden er en mindre og rent accessorisk støttefunktion, og tjenesten er dermed ikke en interpersonel kommunikationstjeneste, hvis følgende kriterier alle er opfyldt: 

  • Kommunikationsmuligheden er knyttet til en anden hovedfunktion (fx salg af varer)
  • Hvis muligheden næsten ikke benyttes af slutbrugerne
  • Hvis kommunikationen er der for at understøtte hovedfunktionen

Kommunikationsmuligheden er ikke en mindre og rent accessorisk støttefunktion, og tjenesten er dermed en interpersonel kommunikationstjeneste, hvis: 

  • Kommunikationsmuligheden ikke blot understøtter en anden hovedfunktion
  • Hvis kommunikationen i stor stil anvendes af brugerne

Eksempel – En kommunikationsmulighed anvendes i begrænset omfang

En app har til hovedformål at holde styr på fællesudgifter. I appen er det også muligt at chatte med gruppemedlemmerne. Kommunikationsmuligheden er altså knyttet til en anden hovedfunktion (udgiftshåndtering). Tjenestens hovedformål er derfor ikke kommunikation. Appen vil fint kunne fungere uden muligheden for at chatte medlemmerne imellem. Kommunikationsmulighedens objektive nytte for slutbrugerne er meget begrænset, og funktionen anvendes knapt nok af brugerne. I dette eksempel vil kommunikationsmuligheden være mindre og rent accessorisk og kommunikationsmuligheden vil ikke falde under kategorien ”interpersonel kommunikationstjeneste”. Den falder dermed også uden for særreglerne. 

Eksempel – Kommunikationsmuligheden anvendes i stor stil 

En app har som hovedformål at sælge brugte varer. Brugerne har mulighed for at chatte med hinanden om bl.a. salg af varer. Denne funktion anvendes ofte af brugerne. Kommunikationsmuligheden er knyttet til en anden hovedfunktion (salg), og appens hovedformål er ikke kommunikation. 
Idet kommunikationsmuligheden ofte anvendes af brugerne til at kommunikere om salg af varer, er tjenesten en interpersonel kommunikationstjeneste – selvom kommunikationsmuligheden er knyttet til en anden hovedfunktion. Tjenesten er dermed omfattet af særreglerne.

Eksempel – Kommunikationen sker ikke mellem et afgrænset antal personer

En blog, hvor en blogger fortæller og deler privat indhold falder udenfor kategorien interpersonel kommunikationstjeneste, Hvis bloggen giver mulighed for at læsere kan kommentere på blogopslag vil bloggen fortsat ikke være en interpersonel kommunikationstjeneste, da kommunikationen ikke sker til en på forhånd afgrænset gruppe. Det vil sige, at fordi kommunikation er offentligt tilgængelig og alle kan læse med, så er der ikke tale om en kommunikation mellem et afgrænset antal personer. 

Interpersonelle kommunikationstjenester kan desuden inddeles i underkategorier – henholdsvis nummerbaserede- og nummeruafhængige interpersonelle kommunikationstjenester (NUIK-tjenester). 

Sidstnævnte, NUIK-tjenester, etablerer ikke forbindelse til offentligt tildelte nummerressourcer. NUIK-tjenester ejer normalvis heller ikke selv net og udøver ikke egentlig kontrol over transmissionen af signaler. Tjenesterne er defineret i telelovens § 2, nr. 20 og i teledirektivets artikel 2, nr. 7.  

Den teknologiske udvikling har i dag gjort, at i stedet for traditionelle taletelefonitjenester, tekstbeskeder (sms) og e-mails anvendes der i stigende grad online-tjenester med tilsvarende funktioner fx internettelefoni og beskedtjenester. Dette fremgår af teledirektivets betragtning 15, og er med til at understrege, at NUIK-tjenester ofte substituerer en mere traditionel elektronisk kommunikationstjeneste i funktion. 

Nummerbaserede interpersonelle kommunikationstjenester er tjenester, der står i kontrast til NUIK-tjenesterne. Der er her tale om tjenester, der etablerer forbindelse til slutbrugernumre. Definitionen findes i teledirektivets artikel 2, nr. 6. Den blotte anvendelse af et nummer som et identifikationsmiddel bør ifølge teledirektivets betragtning 18 ikke i sig selv betragtes som tilstrækkeligt til, at en tjeneste anses som en nummerbaseret interpersonel kommunikationstjeneste. 

Det vil altså sige, at selvom webbaseret telefontjeneste fx anvender et nummer til at identificere brugere, så betyder det ikke, at tjenesten er nummerbaseret. Tjenesten kan derfor godt være en NUIK-tjeneste.

Ad c) tjenester der består i overføring af signaler

Tjenester, som udelukkende eller overvejende består i overføring af signaler er den sidste kategori, som også falder under elektroniske kommunikationstjenester. Det er fx transmissionstjenester, der anvendes til levering af maskine-til-maskine-tjenester og til radio- og tv-spredning.  Maskine-til-maskine-tjenester er automatisk kommunikation mellem to maskiner – i dag vil det ofte være IoT-tjenester, hvor maskiner kommunikerer med hinanden via data. Dette kan være et alarmsystem eller varmemålere. Radio- og tv-spredning er elektronisk overføring af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf, ved hjælp af radio- eller telekommunikationsteknik. 

På det danske marked for elektroniske kommunikationstjenester vil denne kategori ofte overlappe med de to ovennævnte kategorier. Definitionen kan findes i teledirektivets artikel 2, nr. 4, litra c.

De øvrige begreber (fx trafikdata, lokationsdata, tillægstjeneste, brud på persondatasikkerheden), som anvendes i reglerne om persondatasikkerhed i den elektroniske kommunikationssektor, vil blive gennemgået i de respektive vejledninger, som beskriver og uddyber de bestemmelser, hvor begreberne bliver anvendt.

4
Kapitel
Tilsyn, klagemuligheder og sanktioner

Både teleloven og persondatasikkerhedsbekendtgørelsen indeholder regler vedrørende tilsyn, klagemuligheder og sanktion. Nærværende afsnit vil gennemgå reglerne herom.

4.1. Tilsyn og klageadgang

Erhvervsstyrelsen fører tilsyn med efterlevelse af reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. Dette følger af henholdsvis § 20, stk. 2 i teleloven og § 12, stk. 1 i persondatasikkerhedsbekendtgørelsen. 

Erhvervsstyrelsen har mulighed for at påbyde, at der gennemføres tiltag, som styrelsen vurderer, er nødvendige for at sikre, at reglerne overholdes.  

Erhvervsstyrelsen har mulighed for at tildele tvangsbøder, hvis styrelsens afgørelser ikke efterkommes. Det følger af § 79 i teleloven.

Eksempel – Påbud om underretning

I forbindelse med et brud på persondatasikkerheden har den pågældende udbyder ikke underrettet de berørte, idet udbyderen ikke vurderer, at bruddet kan forventes at krænke personoplysninger eller privatlivets fred. Erhvervsstyrelsen har her mulighed for at påbyde, at udbyderen underretter de berørte, hvis styrelsen finder, at det modsatte er tilfældet.

Eksempel – Påbud om udlevering af materiale

I forbindelse med tilsyn af et brud på persondatasikkerheden har Erhvervsstyrelsen anmodet den pågældende udbyder om at udlevere oplysninger omkring deres procedure for test og review. Dette ønsker udbyderen ikke at udlevere med begrundelsen om, at dette er fortroligt for virksomheden.  Erhvervsstyrelsen har i den forbindelse mulighed for at udstede et påbud om, at udbyderen skal udlevere deres procedure. Såfremt udbyderen fortsat ikke ønsker at gøre dette har Erhvervsstyrelsen mulighed for at give udbyderen tvangsbøder.

Eksempel – Påbud om ændring af processer

Et teleselskab har indsamlet og opbevaret lokaliseringsdata i en given periode til fejlsøgning. Reglerne om lokaliseringsdata kræver, at lokaliseringsdata skal anonymiseres eller slettes, når data ikke længere er nødvendige for fremføring af kommunikation. Lokaliseringsdata må dog, hvis der er indhentet forudgående samtykke, anvendes til levering af tillægstjenester. Dette er dog ikke tilfældet i dette eksempel, hvorfor Erhvervsstyrelsen her ville påbyde selskabet at ændre proceduren for behandling af lokaliseringsdata. 

Der påhviler ejere og udbydere af elektroniske kommunikationsnet og -tjenester en oplysningspligt over for Erhvervsstyrelsen. Det vil sige, at Erhvervsstyrelsen kan kræve alle oplysninger og alt materiale, som styrelsen skønner relevant i forbindelse med tilsynet, udleveret. Pligten er beskrevet i telelovens § 73. Det kan fx være oplysninger vedrørende procedurer, foranstaltninger, resultater fra en undersøgelse om bruddets omstændigheder, omfanget af bruddet - herunder antal berørte, det omhandlende persondata, om bruddet er stoppet - samt om selskabet har underrettet de berørte.

Eksempel - Oplysningspligt

En udbyder underretter Erhvervsstyrelsen om et brud på persondatasikkerheden. Et af udbyderens systemer - indeholdende kunders persondata - har en systemfejl, som medfører, at mails til kunder er blevet sendt til forkerte modtagere. Erhvervsstyrelsen kan i den forbindelse anmode udbyderen om at undersøge nærmere, hvorvidt deres øvrige systemer har lignende systemfejl.

Klager over afgørelser truffet af Erhvervsstyrelsen kan indbringes for Teleklagenævnet ifølge § 14 i persondatasikkerhedsbekendtgørelsen og § 76 i teleloven. 

Erhvervsstyrelsen offentliggør afgørelser som styrelsen vurderer, er af almen interesse eller af betydning for forståelsen af reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. Denne mulighed følger af § 72 i teleloven. Dette kan være relevant, hvis afgørelsen fx omhandler et principielt spørgsmål, ny lovgivning eller en ny tolkning heraf eller sager af offentlig interesse.

4.2. Straf

Overtrædelse af reglerne vedrørende kommunikationshemmeligheden, risikostyring i forbindelse med behandling af persondata, optegnelser over brud på persondatasikkerheden, underretning, A-nummervisning samt trafik – og lokaliseringsdata kan straffes med bøde i medfør af telelovens § 81, stk. 1-2 og § 15 i persondatasikkerhedsbekendtgørelsen.  

Selskaber mv. kan pålægges strafansvar i medfør af reglerne i straffelovens kap. 5 vedrørende strafansvar for juridiske personer. 

Erhvervsstyrelsen vil på baggrund af en konkret vurdering af sagens alvor skride til sanktioner i form af politianmeldelse. 

5
Kapitel
Snitflader til andre regelsæt

Der er flere regelsæt, der har snitflader til reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. 

Nedenfor fremgår en oversigt over disse regelsæt med angivelse af, hvilken myndighed der fører tilsyn med dem. Erhvervsstyrelsen koordinerer løbende arbejdet med de forskellige regelsæt og vejleder udbydere om reglerne og deres anvendelsesområde.
 

Regelsæt og tilsynsmyndighed
Regelsæt Tilsynsmyndighed
Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (GDPR) Datatilsynet 
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven) Datatilsynet 
Lovbekendtgørelse nr. 153 af 1. februar 2021 om sikkerhed i net og tjenester Forsvarsministeriet
Bekendtgørelse nr. 259 af 22. februar 2021 om sikkerhed og beredskab i net og tjenester Center for Cybersikkerhed 
Bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester. Center for Cybersikkerhed 
Bekendtgørelse nr. 435 af 9. maj 2011 om nummeroplysningsdatabaser (nummeroplysningsbekendtgørelsen) Energi-, Forsynings- og Klimaministeriet
Telelovens § 31, stk. 4, om slutbrugerens ret til at kræve, at nummeroplysningsdata ikke oplyses eller videregives Energi-, Forsynings- og Klimaministeriet

5.1. De generelle regler om persondatasikkerhed (GDPR)

Databeskyttelsesforordningen (GDPR) indeholder de generelle regler om beskyttelse af persondata. Forordningen indeholder regler om behandling af personoplysninger, om registreredes rettigheder, behandlingssikkerhed m.m. og gælder på tværs af offentlige og private sektorer. Databeskyttelsesloven indeholder regler, der supplerer databeskyttelsesforordningen. Det er Datatilsynet, der er tilsynsmyndighed i forhold til forordningen og databeskyttelsesloven.

Reglerne i teleloven og persondatasikkerhedsbekendtgørelsen, udgør sektorspecifikke regler (lex specialis) i forhold til reglerne i databeskyttelsesforordning og databeskyttelsesloven (lex generalis). Det betyder, at reglerne om databeskyttelse i den elektroniske kommunikationssektor supplerer de generelle EU-regler om databeskyttelse (GDPR). Dette betyder, at man vil skulle falde tilbage på de generelle regler om databeskyttelse i tilfælde, hvor et givent spørgsmål ikke er reguleret i reglerne om databeskyttelse i den elektroniske kommunikationssektor.

Selvom udbydere af offentligt tilgængelige elektroniske kommunikationstjenester er omfattet af de sektorspecifikke regler, skal det understreges, at der er regler i de generelle regler om databeskyttelse, som ejere og udbydere af elektroniske kommunikationstjenester skal følge. Dette gælder eksempelvis 

  • udbydernes behandling af persondata, der vedrører deres medarbejdere, fx vedrørende eksponering af HR-data hos det givne teleselskab,
  • udbydernes pligt til at give deres kunder indsigt i de oplysninger, udbyderne har registeret om kunden. 

5.2. Reglerne om informationssikkerhed

Center for Cybersikkerhed kan i medfør af lov om sikkerhed i net og tjenester (lovbekendtgørelse nr. 153 af 1. februar 2021) fastsætte regler om minimumskrav til informationssikkerhed for udbydere. 

Center for Cybersikkerhed har endvidere fastsat regler om underretning til Center for Cybersikkerhed om brud på informationssikkerheden i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester.

Bekendtgørelse nr. 259 af 22. februar 2021 om sikkerhed og beredskab i net og tjenester omhandler, at selskaberne på baggrund af en risikovurdering skal træffes passene foranstaltning til sikring af tilgængelighed, autenticitet, integritet og fortrolighed i offentligt tilgængelige net og tjenester, mens reglerne om persondatasikkerheden i den elektroniske kommunikationssektor alene vedrører persondatasikkerhed i forbindelse med udbud af elektroniske kommunikationstjenester. 

Der kan være situationer, hvor begge regelsæt skal iagttages, fx fordi en hændelse både kan udgøre et brud på persondatasikkerheden og et brud på informationssikkerheden. Tilsvarende kan en given sikkerhedsforanstaltning være relevant for såvel informations- som persondatasikkerheden. 

5.3. Andre regler på teleområdet om behandling af persondata

Nummeroplysningsbekendtgørelsen, der administreres af Energistyrelsen, regulerer krav til indsamling og videregivelse m.v. af nummeroplysningsdata (fx navn, adresse, og telefonnummer) mellem et teleselskab og en udbyder af en nummeroplysningstjeneste. Bekendtgørelsen indeholder endvidere regler om slutbrugeres rettigheder i forhold til at kontrollere og få rettet nummeroplysningsdata. 

I teleloven fremgår i øvrigt en række slutbrugerrettigheder, herunder i forbindelse med eksponering af nummeroplysningsdata på nummeroplysningstjenester, hvor en slutbruger – med undtagelser – kan kræve, at dennes nummeroplysningsdata ikke oplyses i forbindelse med udbud af nummeroplysningstjenester eller må videregives til andre (se nærmere i telelovens § 31).