Telenors Myanmar-virksomhet skal, ifølge nyhetsbyrået Reuters, overtas av libanesiske M1 Group og lokale Shwe Byain Phyu Group – et bensinstasjon- og gruveselskap med tette bånd til juntaen.

Myanmar:

Klager Telenor inn til Datatilsynet: Frykter persondata vil bli misbrukt

Snart kan juntaen få tilgang til 18 millioner burmeseres mobildata, ifølge en klage til Datatilsynet. – Klageren frykter at personopplysninger havner hos regimet, sier den burmesiske klagerens norske advokat. Telenor avviser at et salg til M1 Group vil være brudd på personvernlovgivning.

Publisert Oppdatert

Aktivister og demokratiforkjempere i Myanmar frykter nå datoen 15. februar – da Telenors salg av datterselskapet vil være fullført, ifølge Myanmar Now.

Nyhetsbyrået Reuters meldte nylig at Telenor skal ha fått militærjuntaens velsignelse til å selge Myanmar-virksomheten til M1 Group, et omstridt libanesisk selskap som har inngått samarbeid med burmesiske Shwe Byain Phyu Group.

Myanmar Now har sett interne dokumenter fra Myanmars direktorat for post- og telekommunikasjon som indikerer at kjøperen av Telenor Myanmar blir Investcom, et Singapore-registrert selskap hvor det burmesiske selskapet har 49 prosent eierandel.

Nettstedet mener dokumentene viser at det er gruve- og bensinstasjonsselskapet Shwe Byain Phyu Group – med tette bånd til militæret – som vil bli majoritetseier av Telenor Myanmar, gjennom Investcom.

Telenor har ikke ønsket å svare på spørsmål om hvem M1 Group samarbeider med i Myanmar, men ifølge Myanmar Now, selger altså den norske mobilgiganten til en selskapskonstruksjon med tette bånd til juntaen. Ifølge nettstedets kilder mottar to medlemmer av militærrådet, juntaens øverste organ, inntekter fra det burmesiske gruve- og bensinselskapet gjennom Myanmar Economic Holdings Limited (MEHL).

En av direktørene i selskapet har også en eierandel i et selskap som står på EUs sanksjonsliste, ifølge Justice for Myanmar.

FAKTA: GDPR

GDPR har som formål å styrke personvernet i forbindelse med behandling av personopplysninger. Loven gir et sett med bestemmelser om beskyttelse av personopplysninger som gjelder i alle EU-/EØS-land, og skal gi alle EU-borgere en bedre forståelse for hvordan personopplysningene deres blir brukt.

Telenor skal allerede i neste uke overføre mobilkundenes brukerdata til de nye eierne, Ifølge Myanmar Now. Det dreier seg om hele 18 millioner kunder.

Telenor har ikke bekreftet datoen eller de nye eiernes bånd til juntaen, men advokatfirmaet Sands, som spesialiserer seg på datasikkerhet, har nå sendt en klage til Datatilsynet for det som omtales som Telenors brudd på personvernlover, de såkalte GDPR-bestemmelsene i EU/EØS.

– Telenor har reell innflytelse

Advokat Ketil Sellæg Ramberg har sendt klagen på vegne av en anonym Telenor-kunde, som også er menneskerettighetsaktivist i Myanmar.

– Telenor avviser å være underlagt GDPR-lovgivning i forbindelse med salget av Telenor Myanmar. Hvorfor mener dere det feil?

– Telenor i Norge har reell innflytelse på de handlingene datterselskapet i Myanmar gjør, og dermed er også Telenor Group ansvarlig for disse handlingene. Det er riktig at datterselskapet Telenor Myanmar også er det man kan kalle behandlingsansvarlig for personopplysninger, men etter GDPR-lovgivningen kan det også være såkalt delt behandlingsansvar. Så vår oppfatning er at GDPR- og personopplysningsloven får anvendelse ved Telenors handlinger i Myanmar. Og dersom Telenor gjennomfører dette salget, slik vi er kjent med det, vil det være i brudd med enkelte bestemmelser i GDPR, sier Ketil Sellæg Ramberg i advokatfirmaet Sands til Bistandsaktuelt.

Advokaten påpeker at det var Telenor Group som i 2014 bestemte seg for å satse i Myanmar, og sier GDPR kan komme til anvendelse også for personopplysninger som befinner seg utenfor EU/EØS, så lenge et selskap etablert i EU/EØS bestemmer hvordan opplysningene behandles.

– Dette er tilfellet når Telenor Group velger å selge sitt datterselskap Telenor Myanmar, inkludert kundenes personopplysninger.

Han påpeker at informasjon om salget er sparsommelig, med lite tilgjengelig informasjon om hvem Telenor faktisk selger til.

– At Telenor avviser at GDPR gjelder i Myanmar er ikke overraskende, ettersom det ville medføre at salget, slik det er beskrevet, ikke kan gjennomføres, sier Sellæg Ramberg.

Advokaten forteller at når personopplysninger behandles av noen med helt andre intensjoner enn utgangspunktet, er det en endring som vil komme i strid med artikkel 5 i GDPR.

– Artikkel fem handler om at man skal være rettferdig og åpen om hvordan man behandler personopplysninger. Dette salget, der regimet i Myanmar sannsynligvis vil få tilgang til kundedata, vil åpenbart bryte med prinsippet om en rettferdig og åpen behandling av personopplysninger kundene har gitt fra seg. Litt tabloid kan man si; «jeg har gitt fra meg personopplysninger under forutsetning om at du behandler disse pent, også selger du disse til noen med helt andre intensjoner, for eksempel til overvåking, så er det en endring som vil stride mot GDPR». Dette er våre argumenter, så er det opp til Datatilsynet og se om de er enige med oss, sier Sellæg Ramberg.

Frykter for familien

Aktivisten som klager Telenor inn til Datatilsynet lever i dag i skjul for militærstyret. Han frykter regimet vil gå etter hans nærmeste familie dersom de får tilgang til brukerdata – informasjon om hvem han har hatt dialog med etter kuppet i februar i fjor. Det vil i så fall bety brudd på personopplysningssikkerheten, ifølge EUs GDPR-lovgivning.

– Han har sagt at hvis de tar noen av hans familiemedlemmer, blir han nødt til å melde seg, sier Joseph Wilde-Ramsing, seniorrådgiver i OECD-watch og organisasjonen SOMO.

Det er SOMO som, har engasjert den norske advokaten til å skrive klagen til Datatilsynet på vegne av aktivisten i Myanmar. Joseph Wilde-Ramsing mener en overlevering av brukerdata til et selskap tett på militæret, ikke bare er uetisk, men også ulovlig.

– GDPR-lovgivningen handler om å beskytte borgeres data. Her snakker vi om liv og død for potensielt 18 millioner mennesker. Vi vet at mange aktivister har benyttet Telenor fordi de har lovet at de ikke bidrar til rettighetsbrudd, sier Wilde-Ramsing til Danwatch.

Telenor opplyste i fjor sommer at Telenor Myanmar skal selges for om lag 100 millioner dollar. Wilde-Ramsing mener penger burde være uviktig for Telenor nå.

– Telenor burde ikke være opptatt av å tjene penger på salget. De bør prioritere de ansatte og kundenes sikkerhet. Telenor burde slette alle brukerdata og selge resten av selskapet for en symbolsk sum, sier Wilde-Ramsing.

Danwatch har tidligere avslørt at mobilovervåkning er blant metodene juntaen har benyttet seg av for å slå ned på regimekritikere. Og som Bistandsaktuelt tidligere har omtalt, er Telenor tvunget til å dele brukerdata, samtidig som de har motstått press fra regimet om å dele direkte-overvåkning av telefonsamtaler. Som følge av regimets krav, annonserte Telenor i fjor sommer at de selger virksomheten til libanesiske M1 Group, men myndighetene har så langt ikke villet godkjenne salget.

Ikke før nå – når M1 Group, ifølge Reuters, har inngått en avtale med burmesiske Shwe Byain Phyu, et forretningskonglomerat som altså skal ha tette bånd til regimet.

Ifølge Myanmar Now er en gjennomføring av salget svært nært forestående. Bistandsaktuelt spør derfor advokat Sellæg Ramberg hva han forventer skal komme ut av klagen til Datatilsynet.

– Datatilsynet kan sette salget på vent, og de kan også stille vesentlige spørsmål til Telenor om hvorvidt integriteten til personopplysningene blir opprettholdt? Vil Telenor slette data før salget, eller vil de overlevere alt? Hvilke risikovurderinger har Telenor egentlig gjort? Har enkeltpersoner fått anledning til å slette sine personopplysninger?, sier han.

Sellæg Ramberg understreker at det dreier seg om personopplysningene til 18 millioner kunder i Myanmar - og hvordan de vil bli behandlet etter et salg.

– Også er det vårt håp at Telenor vil tenke seg om på ny dersom Datatilsynet stiller disse spørsmålene. Aktivister og menneskerettighetsforkjempere må behandles på en måte som ikke setter dem eller deres familie, eller hele demokratikampen i Myanmar, i fare. Den nasjonale lovgivningen Telenor føler seg forpliktet til å overholde i Myanmar, er en forpliktelse til en lovgivning som tilhører et diktatur, etter et militærkupp. Man kunne jo tenkt seg at lover og regler som er nedsatt av et diktatorstyre, ikke er lover og regler Telenor burde føle seg forpliktet til å overholde, sier Sellæg Ramberg.

Telenor Myanmar avviste å slette brukerdata

Kort tid etter at Telenor annonserte salget av Myanmar-virksomheten i fjor, ba aktivisten som nå klager selskapet inn til Datatilsynet Telenor Myanmar om å slette alle hans brukerdata. Aktivisten gjorde dette med henvisning til en rekke paragrafer i GDPR-lovgivning.

«Vennligst informér meg også om eventuelle tredjeparts-mottakere av mine persondata», skrev han til Telenor i Myanmar.

I et svar fra Telenor, som Bistandsaktuelt har lest, avvises anmodningen med henvisning til at alle Telenor-kunder i Myanmar har akseptert Telenor Myanmars bruksvilkår:

«Ifølge brukervilkårene vil Telenor i Myanmar behandle dine personlige data i henhold til Myanmars lov for telekommunikasjon og andre relevante lover og regler i Myanmar», skrev Telenor Myanmars Customer Care Team i svaret.

«Loven i Myanmar krever at operatører oppbevarer anropsdata i minimum fem år», het det fra Telenor som i brevet også avviser at GDPR-lovgivning gjelder i Myanmar. Advokat Ketil Sellæg Ramberg sier hans klient frykter regimets brutalitet, dersom salget gjennomføres slik det nå er beskrevet i offentligheten.

– Han frykter at hans eller andres personopplysninger kommer på avveie og i hendene på det nåværende regimet. At regimet skal få tilgang til dialog, få konkrete bevis på hvem som er regimekritikere. Han frykter alle mulige forferdelige virkemidler et regime som det i Myanmar kan iverksette for å holde motstemmer borte, for å kneble all regimemotstand, sier Sellæg Ramberg.

– Men kan du bekrefte at et selskap med tette bånd til militærregimet nå står klare til å kjøpe Telenor Myanmar sammen med M1 Group, slik Reuters og Myanmar Now har rapportert?

– Nei. Det vet vi ikke. Men det vi vet, er at salget ble stanset eller satt på vent, inntil dette lokale selskapet kom inn. Det kan jo tyde på at myndighetene i Myanmar ønsket at et lokalt selskap skulle være på eiersiden, at det skulle gi regimet kontroll. Som vår klient sier; du kan ikke sette opp en markedsbod i Myanmar uten at regimet er involvert, sier Sellæg Ramberg.

Telenor Group: – Ingen enkle løsninger

Når Bistandsaktuelt tar kontakt med Telenor i Oslo, er budskapet fortsatt at man venter «på regulatorisk godkjenning fra myndighetene i Myanmar på søknad om salg av virksomheten til M1, og kan ikke kommentere på spekulasjoner i markedet».

Det er det samme budskapet selskapet har delt ved en rekke anledninger det siste halvåret. Men Gry Rohde Nordhus, kommunikasjonsdirektør i Telenor Group, avviser at det forestående salget vil bryte med GDPR-lovgivning.

Kundedataene i Telenor Myanmar håndteres lokalt av Telenor Myanmar, i tråd med det lokale lovverket og lisenskrav. Telenor Group bestemmer således ikke hvordan kundedata behandles i Telenor Myanmar. Ingen kundedata fra Telenor Myanmars kunder behandles i Norge eller EU, og GDPR gjelder ikke for behandlingen av denne kundedataen, sier Rohde Nordhus.

– Telenor er klaget inn til Datatilsynet av en burmesisk mobilkunde for brudd på GDPR-lovgivning. Vil kunder i Myanmar, aktivister og demokratiforkjempere, settes i fare som følge av salget?

I en så vanskelig sikkerhetssituasjon som den vi opplever i Myanmar nå, er det ingen enkle løsninger. Vi må balansere en rekke vanskelige hensyn og har kommet til at salg er den minst ufordelaktige løsningen for våre ansatte, kunder og samfunnet rundt. I salgsprosessen har vurderinger rundt menneskerettigheter, personvern og sikkerheten til våre ansatte stått sentralt.

– Hva er din kommentar til at Telenor har delt sensitiv persondata med juntaen?

Telenor Myanmar har forsøkt å være så åpen som mulig om direktivene vi har mottatt, og i begynnelsen publiserte vi alle direktivene fra myndighetene på en egen nettside. På grunn av sikkerhetsrisikoen for ansatte og samarbeidspartnere, kunne vi fra februar 2021 ikke lenger opplyse om direktivene. Å bryte eller ikke etterleve de ordrene vi får i Myanmar, vil ha svært alvorlige og fullstendig uakseptable konsekvenser for våre ansatte. Dette kan vi ikke stå inne for som arbeidsgiver. Slik situasjonen har utviklet seg, står vi i en konflikt mellom lokale lover på den ene siden og våre verdier, internasjonal lov og menneskerettighetsprinsipper på den andre siden. Dette gjør det umulig for Telenor å fortsette å være i Myanmar, sier Rohde Nordhus.

Powered by Labrador CMS