"Ministeren bedes kommentere vedlagte artikel fra Jyllands-Posten den 22. marts 2002: "E-mails åbne som en bog", herunder redegøre for, om det er lovligt for teleselskaber og internetudbydere at opbevare indholdet af e-mails, sådan som det er beskrevet i artiklen. Hvis opbevaringen er ulovlig, hvad agter ministeren at foretage sig for at teleselskaberne og internetudbyderne overholder loven og for at Datatilsynet kan kontrollere det?

"Ifølge artiklen opbevarer internetudbyderne elektroniske breve (e-mails) på deres mailservere, indtil modtagerne henter brevene ned på deres computere. Internetudbyderne tager imidlertid en kopi af uafhentede breve. Kopierne skal bruges, hvis en mailserver pludselig bryder sammen og skal genetableres, så intet forsvinder.

Efter Datatilsynets opfattelse er det ikke i strid med lov om behandling af personoplysninger (persondataloven), at internetudbydere opbevarer kundernes e-mails på deres mailservere samt foretager sikkerhedskopiering til opfyldelse af deres forpligtelser over for kunderne. Spørgsmålet om opbevaringsfrist afhænger således først og fremmest af, hvad der er aftalt mellem den enkelte udbyder og kunderne.

Hvis en internetudbyder herudover opbevarer eller kopierer e-mails, vil dette efter omstændighederne være behandling af personoplysninger omfattet af persondataloven. En sådan behandling skal bl.a. leve op til de grundlæggende principper i persondatalovens § 5, som i stk. 5 indeholder en regel om, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Det ikke muligt generelt at beskrive, for hvilke tidsrum opbevaring af personoplysninger vil kunne ske. Dette må afgøres i en konkret sag med en høring af de involverede parter. Datatilsynet har endnu ikke modtaget nogen klager over internetudbyderes behandling af e-mails og kan derfor ikke udtale sig konkret om, hvor længe opbevaring af kopier af e-mails kan finde sted.

Endvidere skal der efter persondatalovens § 41, stk. 3, træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Datatilsynet er ikke besiddelse af oplysninger, der giver tilsynet grund til at antage, at internetudbyderne ikke lever op til persondatalovens sikkerhedskrav.

I øvrigt bemærkes, at der ved transmission af oplysninger over det åbne internet generelt er en risiko for, at oplysningerne undervejs læses af uvedkommende. Datatilsynet har derfor i forskellige sammenhænge anbefalet, at der foretages kryptering, når fortrolige oplysninger transmitteres via internet."