Kritikken mot Telenor hardner til etter salget av virksomheten i Myanmar.

Opposisjonelle i Myanmar frykter at kundenes brukerdata – særlig anropshistorikk om hvem de har ringt og fra hvor – vil kunne utnyttes av militærregimet. Telenor Myanmar har over 16 millioner kunder.

Telenor annonserte 8. juli at det selger selskapets mobilvirksomhet i Myanmar for 105 millioner dollar, tilsvarende rundt 900 millioner kroner.

Salget kom som en direkte konsekvens av at militæret kuppet makten i februar. Militærjuntaen har blant annet pålagt Telenor og andre mobiloperatører å stenge ned nettverk.

I en pressemelding onsdag kveld skriver Telenor blant annet at Telenor Myanmar siden oppstarten har drevet kommunikasjonstjenester i samsvar med gjeldende forskrifts- og lisensforpliktelser. Det omfatter også lagring av anropshistorikk.

– Telenor Myanmar lagrer disse dataene i samsvar med lokale lover og lisensforpliktelser. Disse historiske dataene inneholder ingen informasjon om innholdet i kommunikasjonen, og hverken Telenor Myanmar eller Telenor Group har noen oversikt over hva som er blitt sagt i en samtale eller skrevet eller mottatt i meldinger eller eposter, står det i pressemeldingen.

Mener salg er beste løsning

Telenor viser videre til at data som genereres ved bruk av telekomtjenester er en forutsetning for alle mobiloperatører, og at dataene blant annet brukes til fakturering av kunder.

Menneskerettigheter, personvern og ansattes sikkerhet har vært viktige hensyn i forbindelse med beslutningen om å selge Telenor Myanmar, ifølge selskapet.

– Vi har grundig vurdert alle alternativer og mener at salg av selskapet er den beste mulige løsningen i denne situasjonen, står det.

Informasjonssjef Tormod Sandstø i Telenor viser til at selskapet er ansvarlig for driften frem til transaksjonen er fullført. Etter det vil den nye eieren ta over eierskapet, driften og kundeforholdene til selskapet.

Telenor vil hverken bekrefte eller avkrefte om selskapet har gitt militærregimet tilgang til kundenes brukerdata, eller direkte tilgang til overvåkning av brukere.

– Vi ønsker å være så åpne som mulig om våre operasjoner i Myanmar, men gitt den vanskelige situasjonen i dag har vi dessverre ikke mulighet til å kommentere spesifikke direktiver fra myndighetene av hensyn til sikkerheten til våre ansatte, sier Sandstø.

Denne uken mottok OECD (Organisasjonen for økonomisk samarbeid og utvikling) en klage over Telenor-salget fra 474 sivilrettslige organisasjoner i Myanmar. De mener i hovedsak at salget ble gjennomført på en uansvarlig måte uten eksempelvis en tilfredsstillende risikogjennomgang av den kontroversielle kjøperen, libanesiske M1 Group.

– Telenor ASA har mottatt informasjon fra OECDs nasjonale kontaktpunkt (NCP) i Norge om at det har mottatt en klage. Vi kommer til å følge NCP sine retningslinjer for å svare på klagen, som tilsier at saksbehandlingen vil være konfidensiell. Telenor støtter og holder fast ved OECDs retningslinjer og FNs veiledende prinsipper for næringsliv og menneskerettigheter, sier Sandstø.

Tror Telenor kan komme til å slite

Nyhetsbyrået Myanmar Now publiserte mandag en artikkel der det problematiserer hvorvidt europeisk personvernlover kan stikke kjepper i hjulene for Telenors adgang til å overføre kundeopplysninger til ny eier.

– GDPR er ikke gjeldende i behandlingen av kundedata i forbindelse med overføringen av aksjer i Telenor Myanmar til M1 Group, sier Sandstø i Telenor.

Lee Andrew Bygrave, professor ved senter for rettsinformatikk på Universitetet i Oslo, er uenig med Telenor.

– EU-domstolen har slått fast at behandlingsansvar for persondata skal tolkes vidt. Det kan derfor tenkes at det ikke skal mye til for at et morselskap blir ansett som delansvarlig for behandling av persondata som utføres av et datterselskap, i dette tilfelle Telenor Myanmar. Dersom morselskapet i Norge er med på å bestemme over formål og midler for databehandling i Myanmar, er morselskapet også en behandlingsansvarlig enhet, sier Bygrave, professor ved senter for rettsinformatikk på Universitetet i Oslo.

Han viser til artikkel 3 i GDPR og paragraf 4 i loven om behandling av personopplysninger.

Disse åpner for at loven også gjelder utenfor EU/EØS, dersom behandlingen av personopplysninger foregår «i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler», som er etablert innenfor EU/EØS.

Lee Andrew Bygrave, professor ved senter for rettsinformatikk på Universitetet i Oslo.
Lee Andrew Bygrave, professor ved senter for rettsinformatikk på Universitetet i Oslo. (Foto: Privat)

– Opplysningene behøver ikke å relatere seg til europeere og behandlingen trenger ikke å foregå i Europa. Vi har ikke rettspraksis som berører situasjoner som denne saken med Telenor i Myanmar. Dette er upløyd mark, rent juridisk. Det hadde derfor vært interessant om denne saken ble tatt videre i rettsapparatet.

– Dersom GDPR skulle gjelde for Telenor i Myanmar, kan den overprøve lokale lover i landet?

– Jeg vet ikke nok om Myanmars lover til å gi et fullgodt svar. I utgangspunktet kan ikke Telenor lett sette til side GDPRs regler ved å henvise til Myanmars lover. Jeg vil anta at det er en kollisjon mellom lokale krav i Myanmar og GDPRs grunnleggende prinsipper. Sistnevnte forutsetter jo eksistensen av et demokrati med en velfungerende rettsstat, svarer Bygrave og legger til:

– Dette er en veldig kinkig situasjon for Telenor, og potensielt mange andre konsern med morselskaper i Europa og datterselskap utenfor Europa.

Telenor ønsker ikke å kommentere disse uttalelsene.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.