Logning – høringssvar fra TI
- Teleindustrien
25. oktober 2021
TI har den 25. oktober 2021 indsendt sit høringssvar til Justitsministeriets høring vedr. lovforslag om nye logningsregler.
Se høringssvaret her + bilag her
Telebranchen har forståelse for behovet for effektivt at kunne forebygge, bekæmpe og retsforfølge grov kriminalitet og trusler mod statens sikkerhed. EU-domstolen har slået fast, at registrering og lagring ikke må overskride det strengt nødvendige, og det skal være velbegrundet og proportionalt. Borgere og virksomheder i Danmark skal kunne have tillid til, at deres teleselskab ikke skal gemme mere data end højst nødvendigt.
Generelt er de foreslåede regler meget komplekse, og der levnes ingen tid for teleselskaberne til at tilpasse deres it-systemer, forretningsgange eller administration til de nye regler. Teleselskaberne kan med reglerne stilles til ansvar for implementeringen, hvilket umuligt kan ske med de foreslåede frister. Der er derfor behov for en udskydelse af reglernes ikrafttrædelsestidspunkt.
Endvidere er der stort behov for at sikre mere klare og entydige regler, der kan gennemskues og implementeres i praksis, og der bør ske en afklaring af, hvorvidt de nye regler overholder EU-retten, således at reglerne ikke skal ændres i flere omgange. Med de foreslåede regler om logning er der tale om dansk enegang i EU. I ingen andre EU-lande er der etableret tilsvarende lovgivning.
Idet krav om logning alene stilles for at tjene samfundets interesse og styrke politiets og myndigheders muligheder for bekæmpelse af grov kriminalitet og terror, bør der etableres lovhjemmel til at sikre omkostningsdækning af teleselskabernes udgifter til at indrette systemer og håndtere logning.
På følgende fem punkter er det helt nødvendigt, at reglerne justeres, så der skabes større klarhed og reduktion af de administrative og økonomiske byrder – uden at det svækker politiets muligheder for at bekæmpe grov kriminalitet og trusler mod statens sikkerhed.
Kravet om cpr-indberetning til 118-databasen er unødvendigt og unødvendigt dyrt for selskaberne. De nye krav om at selskaberne skal registrere og verificere identiteten på abonnenter med cpr kan implementeres i selskabernes forretningssystemer, men gøres unødvendigt dyrt, når der også indføres pligt til, at mere end 90 selskaber skal etablere nye it-systemer til at indberette cpr-nummeret til 118-databasen. Det er den dyreste enkeltændring i forslaget. Selskaberne kan med de eksisterende systemer indberette verificerede oplysninger om abonnentens navn og adresse til 118-databasen. Politiet kan med en allerede eksisterende standardfunktion i cpr-databasen selv koble abonnenten med cpr-nummeret i deres systemer. Det vil reducere de økonomiske byrder for erhvervslivet betragteligt, det vil begrænse behandlingen og udvekslingen af fortrolige oplysninger mellem selskaber og myndigheder (dataminimering), og det vil ikke begrænse politiets muligheder for at iværksætte målrettet logning.
Målrettet logning skal iværksættes på baggrund af 8-cifret abonnentnummer. Teleselskabernes it-systemer og dirigeringen af trafikken sker med udgangspunkt i abonnentnummeret (telefonnummeret). Netselskaber, som dirigerer opkald og registrerer trafikdata, kender abonnentnummeret, men har i mange tilfælde hverken navn eller cpr på abonnenten og vil ikke have overblik over, hvilke abonnementer en person har på tværs af selskaber. Det vil derfor ikke være muligt for teleselskaberne at iværksætte personmålrettet logning på baggrund af et cpr-nummer. Politiet vil derfor skulle levere et abonnentnummer, som grundlag for iværksættelse af personmålrettet logning. Dette bør præciseres i loven for at sikre klare rammer.
Geografisk målrettet logning kan ikke omfatte fastnettelefoniabonnenter. Der findes i dag ikke systemer, der kan identificere abonnementer på fastnet og IP-telefoni i geografiske områder på 3×3 km eller ”særligt sikringskritiske områder” som fx Nørreport, og der vil udgøre en stor økonomisk byrde for selskaber at etablere nye it-systemer til dette formål (ikke byrdeestimeret i lovforslaget). Fastnettelefoni udgør kun ca. 8 pct af alle abonnementer (mobil og fastnet) og er fortsat faldende. Det har derved begrænset efterforskningsmæssig værdi, er vanskeligt rent teknisk og er ikke proportionalt at lade geografisk målrettet logning omfatte fastnettelefoni og IP-telefoni. Efterforskningsmæssigt vil politiet ud fra adresseregistreringerne i 118 kunne oplyse de fastnetnumre, som i 118 er registreret i området, og ønskes omfattet af logningspligten (og dermed omfattet af den personmålrettede logning).
Kriminalitetskravet for udlevering af trafikdata bør fastsættes ens for alle typer trafikdata. Lovforslaget medfører, at logningspligtige oplysninger alene skal udleveres til brug i sager om grov kriminalitet (en strafferamme på minimum 3 år), hvorimod de ikke-logningspligtige data skal udleveres i alle sager – uden krav om strafferamme på minimum 3 år. I praksis er logningspligtige data og ikke-logningspligtige data lige indgribende og følsomme i forhold til at kunne udlede konklusioner om abonnentens lokation, og det er derfor ikke proportionalt – og potentielt EU-retsstridig – at der ikke gælder samme krav om grov kriminalitet. Til sammenligning kan nævnes, at der gælder et generelt kriminalitetskrav på 6 år for politiets adgang til at overtage tv-overvågning fra andre myndigheder og private (jf. ændring af retsplejeloven fra juni 2020). Ved at fastsætte samme kriminalitetskrav for udlevering af logningspligtige data og ikke-logningspligtige data vil man politisk understrege pointen om, at data skal anvendes til bekæmpelse af grov kriminalitet, og man vil samtidig fjerne en meget stor økonomisk byrde for teleselskaberne til at etablere nye it-systemer til filtrering og håndtering af udlevering af data efter forskellige regler med en kompleksitet, der også medfører en væsentlig forhøjet risiko for fejl.
Udlevering af trafikdata bør kun ske efter forudgående dommerkendelse. Med lovforslagets nye § 804 b lægges der op (uddybet i bemærkningerne side 199 i lovudkastet) til, at politiet uden kendelse kan få adgang til oplysninger om, hvilke mobiltelefoner, der har været anvendt til et mobilabonnement og hvilke abonnementer, der har været knyttet til en bestemt mobiltelefon (såkaldt “IMEI-oplysning”). Der er tale om oplysninger, som teleselskaber kan finde frem til baseret på trafikdata. Men hvor teleselskaberne i andre tilfælde alene kan udlevere trafikdata baseret på en kendelse, så lægges der her op til at disse oplysninger skal udleveres uden kendelse. Det er en udfordring i forhold til retssikkerheden og er potentielt i strid med EU-retten.