LBK nr 681 af 16/06/2025
Digitaliseringsministeriet
Teleloven § 8a
(Ophævet)
Forarbejder til Teleloven § 8a
RetsinformationDen foreslåede bestemmelse afløser den gældende lovs § 14.
Den foreslåede bestemmelse implementerer artikel 13a og 13b i rammedirektivet, som er ændret ved direktiv 2009/140/EF af 25. november 2009, samt artikel 4, artikel 6, artikel 7, stk. 1, og artikel 8-11 i e-databeskyttelsesdirektivet, som er ændret ved direktiv 2009/136/EF af 25. november 2009.
Den foreslåede bestemmelse har til formål at sikre gennemførelsen af krav til informationssikkerheden i regi af udbydere af elektroniske kommunikationsnet eller -tjenester, herunder krav til persondatasikkerheden. Dette skal bidrage til at sikre en pålidelig og sikker formidling af oplysninger via elektroniske kommunikationsnet og en robust elektronisk infrastruktur.
Regler, der fastsættes i medfør af den foreslåede bestemmelse, er sektorspecifik regulering, for så vidt den supplerer de generelle regler om persondatabeskyttelse. Dette følger af, at e-databeskyttelsesdirektivet specificerer og supplerer de generelle regler om persondatabeskyttelse i direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet). Begreber fastlagt i medfør af dette direktiv og i lov om behandling af personoplysninger vil blive lagt til grund ved gennemførelsen af denne bestemmelse.
Der kan fastsættes regler i medfør af denne bestemmelse til gennemførelse af eventuelle henstillinger, retningslinjer og lignende udstedt af Europa-Kommissionen i henhold til artikel 13, stk. 4, i rammedirektivet og artikel 4, stk. 5, i e-databeskyttelsesdirektivet.
Til stk. 2
Det fremgår af artikel 13a i rammedirektivet, at medlemsstaterne skal sikre, at udbydere af offentlige elektroniske kommunikationsnet eller -tjenester gennemfører alle passende tekniske og organisatoriske foranstaltninger for at styre risici for sikkerheden i deres net og tjenester og sikre nettenes integritet. Foranstaltninger til styring af risici for sikkerheden i net og tjenester har til formål at forhindre og minimere virkningen af sikkerhedshændelser for brugerne og for andre net, med hvilke det berørte net er sammenkoblet. Foranstaltningerne skal sikre et sikkerhedsniveau, der står i forhold til risici, dog under hensyn til teknologiens aktuelle stade. Direktivet angiver endvidere, at formålet med foranstaltninger, der sikrer integriteten af offentlige elektroniske kommunikationsnet, er at sikre kontinuitet i leveringen af de tjenester, der udbydes via disse net. Pligt til at gennemføre foranstaltninger til sikring af net og tjenester fremgår ligeledes af e-databeskyttelsesdirektivet.
Som noget nyt kan der stilles krav til udbydere af offentlige elektroniske kommunikationsnet eller -tjenester om en underretningspligt ved brud på sikkerheden i deres net og tjenester. En udbyder vil skulle underrette IT- og Telestyrelsen som den kompetente nationale tilsynsmyndighed ved brud på sikkerheden eller tab af integritet, der har haft væsentlige følger for driften af net og tjenester. Der kan endvidere fastsættes regler om, at IT- og Telestyrelsen kan underrette offentligheden eller kræve, at udbyderen gør det, hvis IT- og Telestyrelsen godtgør, at det er i offentlighedens interesse, at et brud på sikkerheden offentliggøres. Der er desuden en særlig pligt til uden unødig forsinkelse at underrette IT- og Telestyrelsen, når der sker et brud på persondatasikkerheden. Når et sådan brud kan forventes at krænke persondata eller privatlivets fred for en abonnent eller en fysisk person, underretter udbyderen også abonnenten eller den fysiske person om bruddet uden unødig forsinkelse.
»Brud på persondatasikkerheden« defineres i artikel 2, litra h, i e-databeskyttelsesdirektivet som: Et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af offentligt tilgængelige kommunikationstjenester i Fællesskabet.
Til stk. 3
Den foreslåede bestemmelses stk. 3 er en uændret videreførelse af den gældende lovs § 14, stk. 2.
Den foreslåede bestemmelse implementer artikel 6, artikel 7, stk. 1 og artikel 8-11 i e-databeskyttelsesdirektivet.
I medfør af den foreslåede bestemmelse kan ministeren for videnskab, teknologi og udvikling blandt andet fastsætte regler om opbevaring og behandling af trafikdata og lokaliseringsdata.
Trafikdata defineres i direktivet som: »data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf«, mens lokaliseringsdata er defineret som: »data, som behandles i et elektronisk kommunikationsnet og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender«.
Lokaliseringsdata kan omhandle angivelse af den geografiske placering af brugerens terminaludstyr i bredde, længde og højde, rejseretningen, nøjagtigheden af lokaliseringsoplysningerne, identifikation af den celle inden for nettet, hvor terminaludstyret er lokaliseret på et bestemt tidspunkt, samt det tidspunkt hvor lokaliseringsoplysningerne er registreret. Desuden kan trafikdata blandt andet bestå af data om en kommunikations rutning, varighed, tid eller omfang, om den anvendte protokol, om lokaliseringen af afsenders eller modtagers terminaludstyr, om det net, som kommunikationen udgår fra eller ender i, om en forbindelses begyndelse, afslutning eller varighed. Trafikdata kan ligeledes bestå af det format, hvori kommunikationen overføres via nettet.
I regler udstedt i medfør af den foreslåede bestemmelse kan det blandt andet fastsættes, at udbyderne alene må registrere lokaliseringsdata, når de er gjort anonyme, eller når abonnenten eller brugeren har afgivet samtykke hertil.
Endvidere vil der kunne fastsættes bestemmelser om, at abonnenten på forhånd skal gives oplysning om, hvilken type lokaliseringsdata der registreres, hvor lang tid registreringen varer, om de overdrages til andre med videre.
Enhver fravigelse af den direktivbaserede beskyttelse af oplysninger, der er omfattet af denne bestemmelse, skal ske under behørig hensyntagen til de afvejninger og formål, der er nævnt i e-databeskyttelsesdirektivets artikel 15, medmindre andet følger af lovgivning eller direktiv.
Eksempelvis bemærkes det, at der ved siden af de generelle regler om persondatabeskyttelse og de specifikke regler om elektronisk kommunikation er fastsat regler om visse udbydere af elektroniske kommunikationstjenesters pligt til opbevaring og behandling af oplysninger omfattet af denne bestemmelse i retsplejelovens regler og regler fastsat i medfør heraf (logning). Det sker blandt andet med afsæt i direktiv 2006/24/EF af 15. marts 2006 (logningsdirektivet). Sigtet med retsplejelovens bestemmelser på området er kriminalitetsbekæmpelse og strafforfølgelse.
Til stk. 4
Den foreslåede bestemmelse medfører, at IT- og Telestyrelsen kan føre tilsyn med overholdelsen af regler, der fastsættes i medfør af bestemmelsens stk. 1-2.
Den foreslåede bestemmelse implementerer rammedirektivets artikel 13b.
Med den foreslåede bestemmelse bemyndiges ministeren for videnskab, teknologi og udvikling til at udstede nærmere regler om dette tilsyn. Det følger af direktivet, at tilsynsmyndigheden kan træffe afgørelser, der pålægger virksomheder, som udbyder offentlige elektroniske kommunikationsnet eller -tjenester, at iagttage gennemførelsesfrister og oplysningspligter. Tilsynsmyndigheden skal desuden kunne udøve egentlig kontrol med de trufne foranstaltninger til sikring af informations- og persondatasikkerheden.