Fra 15. september 2007 skal udbydere af elektroniske kommunikationsnet eller -tjenester logge oplysninger om teletrafik på deres netværk.
Den 15. september 2007 træder en ny logningsbekendtgørelse i kraft. Bekendtgørelsen fastsætter nærmere regler for logning af oplysninger om teletrafik på baggrund af et EU-direktiv om logning af trafikdata.
Bekendtgørelsen pålægger udbydere af elektroniske kommunikationsnet eller –tjenester til slutbrugere at foretage registrering og opbevaring af oplysninger om teletrafik, der genereres eller behandles i udbyderens net. Dette skal ske på en måde, der gør det muligt at anvende de loggede oplysninger som led i efterforskning og retsforfølgning af strafbare forhold.
Hvilke oplysninger skal registreres?
Hvilke oplysninger, der skal logges, afhænger af kommunikationsformen.
Ved fastnet- og mobiltelefoni skal der registreres oplysninger om den opkaldende og den opkaldtes identitet. Dette gøres ved at registrere telefonnummer, navn og adresse på abonnenten eller den registrerede bruger. Celle- og masteoplysninger skal også registreres. Endvidere gemmes oplysninger om afsendte og modtagne sms- og mms-beskeder.
I relation til internet-trafik, f.eks. søgning på Internettet og e-mail kommunikation skal der logges oplysninger om den afsendende og modtagende internetprotokoladresse (IP-adresse) og tidspunktet herfor. Disse oplysninger sammenkædes med den person, der benytter Internettet hos udbyderen.
Ved IP-telefoni skal der ske registrering af brugeridentitet, telefonnummer og den IP-adresse, der blev tildelt til brug ved den pågældende internet-session. Der skal desuden logges oplysninger om det lokale netværks geografiske eller fysiske placering. Logningspligten omfatter derudover tidspunktet for kommunikationens start og afslutning.
Samtaler og beskeders indhold skal ikke registreres.
Hvilke udbydere er omfattet af logningspligten?
Det følger af vejledningen til bekendtgørelsen, at enhver, der på kommercielt grundlag markedsfører og sælger net eller tjenester til flere parter, anses for at være udbyder og dermed underlagt logningspligten. Begrebet udbyder er således meget bredt og omfatter blandt andet hoteller, caféer, restauranter og campingpladser.
Såfremt en virksomhed med eget net kun tilvejebringer infrastruktur til eget brug, har denne dog ikke pligt til at logge oplysningerne.
Biblioteker, skoler og andre offentlige institutioner, der på ikke-kommercielt grundlag stiller net eller tjenester til rådighed for deres lånere, studerende eller lignende har ikke pligt til at logge oplysningerne. Det samme gælder arbejdspladser, der stiller net og tjenester til rådighed for medarbejdere.
Kan oplysningerne logges af flere udbydere, skal mindst én af disse udbydere registrere og opbevare de pågældende oplysninger. I praksis må dette ske ved en indbyrdes aftale mellem de respektive udbydere.
Manglende overholdelse af bekendtgørelsen kan straffes med bøde.
Outsourcing af logningsforpligtelsen
En udbyder kan outsource forpligtelsen til at logge, således at logningen foretages af en anden udbyder eller tredjemand på udbyderens vegne. Ansvaret for, at oplysningerne logges, påhviler dog stadig den udbyder, der har outsourcet forpligtelsen. Dette stiller derfor krav til indholdet af den aftale, som udbyderen skal indgå med leverandøren.
En aftale mellem udbyderen og den virksomhed, der logger oplysningerne, bør altid indgås skriftligt og bør blandt andet omfatte følgende forhold:
– Installation af lognings-programmel hos udbyderen og omfanget af pligten til at logge oplysninger
– pligt til opbevaring af oplysninger og samarbejde med politiet om udlevering
sikkerhedsgodkendelser og døgnbemanding
– licens til benyttelse af logningsprogrammel
– sikkerhed i relation til hosting af oplysninger
– overholdelse af persondataloven
– servicemål f.eks. i forbindelse med vedligeholdelse af udstyr eller fejlrettelser og logning i disse tilfælde,
– ansvar for parternes manglende opfyldelse af aftalen, herunder eventuelt erstatningsbegrænsning
– assistance fra logningsvirksomheden i forbindelse med overdragelse af dataene til en ny leverandør
Persondataretlige forhold
Såfremt pligten til at logge oplysningerne outsources, skal den virksomhed, som logger oplysningerne være anmeldt til Datatilsynet som edb-servicebureau, idet der på kommercielt grundlag opbevares personoplysninger på vegne af udbyderen. Endvidere skal udbyderen sikre og løbende kontrollere at leverandøren – som databehandler for udbyderen – lever op til persondatalovens regler om sikkerhed m.v.
Denne artikel bringes af Forum Advokater – Lovorientering som led i et samarbejde med advokatfirmaet Bender von Haller Dragsted. Bender von Haller Dragsted leverer juridiske nyheder om it-ret til Lovorientering.