Betænkning afgivet af canadisk parlamentsudvalg anbefaler forbedringer af privacy


Canada_flag

Det canadiske House of Commons stående udvalg for informationsadgang, privacy og etik, har d. 10. juni udgivet en betænkning, som fokuserer på udvalgets svar på 12 anbefalinger af den canadiske privacy kommissær til en reform af Privacy Act.

Den canadiske privacy lov fra 1983  beskytter den enkeltes personlige information ved at fastsætte regler for hvorledes data indsamles, opbevares og bruges. Loven fastsætter endvidere en ret til at få oplyst offentlig information om én selv samt institutionaliserer en såkaldt privacy kommissær (kan dels sammenlignes med det danske datatilsyn). Loven er imidlertid ikke blevet revideret i 26 år.  

“ Privacy Act  er en vigtig del af kvasi-forfatningsmæssig lovgivning, som beskytter canadiernes privacy-rettigheder. I en tidsalder med en rivende teknologisk udvikling, skal en reform af loven nøje undersøges og overvejes. Med betænkningen starter udvalget nu en dialog med den ansvarlige minister om den lovgivning, som vi håber vil få høj prioritet” udtaler udvalgets formand Paul Szabo fra Liberal Party of Canada.

Udvalget støtter således, at den nuværende lov skal udvides til at omfatte nye teknologier, som f.eks. live-overvågning af kamera-feeds samt DNA prøver af mistænkte. Den nuværende lov dækker nemlig kun indhentet og registreret information, som f.eks. dokumenter, magnetbånd samt computerfiler. 

Endvidere bakker udvalget op om forslaget om, at privacy kommissæren påtager sig en uddannelsesfunktion og at offentlige myndigheder skal aflægge rapport til parlamentet om deres privacy. 

Derudover støtter udvalget ideen om, en ny regel, som pålægger myndigheder at beskytte personlig information med passende forholdsregler.

Men udvalget dels underkender dels afstår fra at tage stilling til flere af de øvrige 12 anbefalinger, som privacy kommissæren betragter som ”quick fixes” af Privacy Act her og nu. Privacy kommisæren ønsker imidlertid en helt gennemgribende revision af loven, men erkender at dette ikke er muligt i den nuværende situation.

For eksempel prioriterer parlamentsudvalget ikke, at der er et behov for at indføre såkaldte privacy konsekvensanalyser (PIA´s) af love og systemer ligesom et forslag om, at indføre en såkaldt ”nødvendighedstest”, som myndighederne skal gennemføre for at demonstrere behovet for at indsamle personlig information, heller ikke fandt lydhørhed.

Betænkningen anbefaler i øvrigt, at loven revideres hver 5. år.

I et høringssvar til udvalget påpeger det canadiske advokatsamfund (Canadian Bar Association), at loven i sin tid trådte i kraft før fremkomsten af teknologier som elektronisk data match, biometriske identifikatorer som fingeraftryk og iris scanning, afkodning af gener samt satellitovervågning (GPS).

Betænkningen er endnu en i rækken af bidrag, som for tiden ser dagens lys. Canada betragtes af mange som et foregangsland med hensyn til privacybeskyttelse, men loven fra 1983 er ikke fulgt med tiden, som det påpeges af et af parlamementsmedlemmerne.
Selvfølgelig kan man ikke direkte sammenligne canadiske retsforhold med danske, men det interessante er at hæfte sig ved de principielle overvejelser, der er oppe i tiden og disse principper følger en international trend om større privacy bevågenhed, som også Danmark bør forholde sig mere konsekvent til.

Betænkningen kan downloades her.

Reklamer

Betænkning afgivet af det franske senat anbefaler en styrkelse af privacy


franskflag

Det franske Senats retsudvalg har d. 27. maj 2009 udgivet en betænkning med titlen ‘La vie privée à l’heure des mémoires numériques’ (ret til privacy i en digital tidsalder).

Betænkningen indleder med at fastslå, at privacy er et af det moderne samfunds grundlæggende værdier og omfatter både et menneskes ret til intimitet og autonomi.

Betænkningen påpeger, at fremkomsten af nye teknologier som GPS, Bluetooth, RFID, nanoteknologi mv. giver mulighed for at spore personer over tid og rum. Endvidere fremhæves den ubegrænsede kapacitet til datalagring og  ‘den nye digitale hukommelse ‘ herunder opbygning af databaser om specifikke forbrugsmønstre (consumer behavioral targeting).  Herudover understreges det også at der blandt den unge generation er en sociologisk trend for ”eksponering og selvregulering” og en mindre opmærksomhed på de risici som blogs og sociale netværk udgør for ens privacy.

Betænkningen understreger også, at Europa og USA har en forskellig tilgang til beskyttelse af personoplysninger, hvilket bl.a .er kommet til udtryk i striden om, hvorlænge visse søgemaskiner bør opbevare indsamlede persondata. Derfor anbefales det også at arbejde for internationale standarder, som dog forudses at blive vanskelig, fordi hensynet til beskyttelse af privacy, herunder retten til at få slettet persondata og retten til anonymisering af dataforbindelsen konflikter med beskyttelsen af ophavsret, edb-programmer, databaser og intellektuel ejendomsret.

Også set i lyset af 11. September 2001, som har medført en øget tolerance for overvågning og kontrol, er der ifølge betænkningen behov for en ny balance mellem sikkerhed og frihed, hvilket alt i alt stiller nye krav til privacy.

For at sikre privacy i nutidens digitale tidsalder og styrke offentlighedens tillid til informationssamfundet har en nedsat arbejdsgruppe formuleret 15 rekommmendationer, hvoraf de væsentligste er:

  • Styrke kendskabet  til privacy og beskyttelse af personoplysninger i skoleforløbet
  • At iværksætte en informationskampagne med henblik på at øge bevidstheden om privacy og databeskyttelse på internettet samt informere om den enkelte borgers rettigheder

Med henblik på at styrke kapaciteten og legitimiteten af CNIL (det franske datatilsyn) :

  • Opkræve et gebyr af større offentlige og private organisationer, der beskæftiger sig med persondata
  • At oprette regionale enheder under CNIL
  • Styrke CNIL´s ekspertise og kontrol
  • At gøre det obligatorisk for alle offentlige og private organisationer, at udpege en databeskyttelsesansvarlig person (correspondant informatique et libertés)

Med hensyn til yderligere lovgivning:

  • Støtte udvikling med henblik på at definere internationale standarder for beskyttelse af personoplysninger
  • At bekræfte, at IP-adressen anses som en personoplysning
  • At indføre et minimum for databrudsnotifikation
  • Privacy skal indskrives i forfatningen

Anbefalingerne, hvoraf flere fremgår af CNIL´s årlige rapport fra 13. Maj 2009, demonstrerer det franske senats og CNIL´s vilje til at styrke retten til privacy både nationalt og internationalt og tage hånd om de aktuelle privacy udfordringer. Borgerens bekymring for brud på privacy tages alvorligt og det anerkendes faktisk, at security og privacy ikke er hinandens modsætninger, men derimod hinandens forudsætninger for et trygt samfund.  Betænkningen er visionær. Anbefalingerne ligger desuden på linje med flere af de forslag, som den nyligt offentliggjorte rapport fra Rand Europe, har fremført.

Det er især interessant at fremhæve anbefalingen om at fastslå ved lov, at IP adressen, som identificerer en computer, er at betragte som persondata. En sådan bestemmelse vil få betydning for hvorledes søgemaskiner lagrer data og det er da også grunden til, at bla. Google stritter imod, idet de gør gældende, at IP adressen alene lokaliserer en computer og ikke hvem personen er. Artikel 29 arbejdsgruppen har iøvrigt fremkommet med en tilsvarende anbefaling i 2008.

Der er også grund til at hæfte sig ved anbefalingen om, at  indføre en pligt til at udpege en dataansvarlig person (i udlandet også benævnt Data Protection Officer)  for både offentlige og private organisationer med minimum 50 ansatte. Det er en ide, som jeg selv ved en tidligere lejlighed har anbefalet, at indføre i Danmark. Også  forslaget om at indskrive privacy i den franske forfatning, er principiel sympatisk.

Betænkningen gør det endnu mere påkrævet, at der fra dansk side formuleres en decideret privacy policy baseret på lignende anbefalinger, således at vi ikke kun kommer på omgangshøjde med de øvrige EU lande og EU, men meget gerne lægger os i førerfeltet.    

Den omfattende betænkning, som er på fransk, kan downloades her.

EU konference sætter fokus på databeskyttelse


eulogo

Den 19-20 maj 2009 organiserede EU Kommissionen en konferecne med titlen “Personal data – more use, more protection?” for at se på nye udfordringer for privacy.

Hvordan bør persondata beskyttes i en globalioseret verden med stigende mobilitet og i kølvandet på moderne kommunikation, informationsteknologier og ny policies ? Hvilke data har myndigheder og private virksomheder adgang til ? Hvor godt er det nuværende regelsæt med hensyn til international dataoverførsel i en tid med “cloud computing” ? Hvad er borgerens, virksomhedernes og samfundets forventninger.

Det er nogle af de temaer som konferencen har sat under lup. En lang række førende eksperter har deltaget med indlæg på konferencen, som er en del af EU Kommissionens åbne rådslagning om hvordan den fundamentale ret til beskyttelse af personlige informationer kan udvikles yderligere og beskyttes effektivt, især indenfor området for retfærdighed, frihed og sikkerhed. 

Konferencen blev åbnet af Jacques Barrot, vicepræsident for EU Kommissionen og kommissær for retfærdighed, frihed og sikkerhed. Barrot understregede, at hans ansvarsområde er at forene formålet at bekæmpe terror og sikre databeskyhttelse. Han påpegede også fordelene ved ny teknologi til bekæmpelse af vold og terror, men også teknologiernes potentielle risici. Dette tilsyneladende paradoks må løses ved at finde den rette balance for beskyttelse af borgerens sikkerhed og privacy og hensynet til udveksling af fri information med en hensigtsmæssig lovramme.

Der er behov for bl.a. at skabe større opmærksomhed om beskyttelse af privacy samt løbende at evaluere policy-reglerne.  

Alex Türk, formand  for artikel 29 arbejdsgruppen samt formand for det franske datatilsyn (CNIL) fastslog, at EU´s datadirektiv stadig er et godt instrument, som man bør blive ved med at implementere her og nu, f.eks. i forbindelse med udmyntning af fastlæggelse best practice og udarbejdelse af adfærdskodeks (code of conduct).

Endvidere pointerere Alex Türk, at internationale standarder bør suppplere end helt erstatte datadirektivet.

En anden indlægsholder, Jacob Kohnstamm, formand for det hollandske datatilsyn omtalte en undersøgelse, som viste, at de borgere som kunne tilslutte sig udsagnet om, at de intet har at skjule, alligevel blev overrasket over en lemfældig databehandling. De udspurgte synes at akceptere det uungåelige. En holdning der bygger på resignation snarere en tillid er farlig for samfundet, udtalte Kohnstamm. 

Jacob Kohnstamm sagde også i sin tale, at det at kunne udøve sine rettigheder for at kunne korrigere og/eller slette fejldispositioner, forudsætter gennemsigtighed. Det er også vigtigt med en let klageadgang og en bedre retshåndhævelse ikke alene i forhold til den enkelte borger, men for samfundet som sådan. Datatilsyn bør agere ex ante og ikke ex post.

Ovennævnte korte referater er udvalgt helt tilfældigt. De mange ekspertindlæg giver et ganske glimrende øjebliksbillede af databeskyttelsen i Europa set ud fra forskellige perspektiver. Konferencen, der må anses som årets største begivenhed om databeskyttelse, er opdelt i 3 sessioner med titler fra kendte ABBA sange:

“Knowing you, knowing me” – New Purposes, New challenges
“Does your Mother know” – No, but could she?
“Take a chance on Me” – Towards a New Data Protection Culture in Europe?  

 Hele programmet kan downloades her. Indlæg i PPT og PDF format kan downloades her. Klik her for et webcast af hele konferencen.