OECD´s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger fylder 30 år i år


23. september 1980 blev OECD’s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) vedtaget. I den forbindelse er der 10. marts 2010, som en første af tre arrangementer til festligholdelse af jubilæet, afholdt en konference i Paris med titlen “30 år efter: konsekvenserne af OECD`s privacy retningslinjer”.

Allerede tilbage i begyndelsen af 1970´erne var man i OECD klar over, at en større og større forskel i nationale love udgjorde en risiko for den frie udveksling af oplysninger mellem landene (trans border data flow i det følgende benævnt TBDF). I 1978 gik man i gang med at udarbejde fælles retningslinjer i tæt samarbejde med Europarådet, som var ved at forberede konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Ved at sikre visse minimumsstandarder for beskyttelse af privacy og de individuelle frihedsrettigheder med hensyn til personlige data, var det håbet at mindske behovet for regulering af eksport af persondata samt minimere problemer i forbindelse med lovkonflikter.

En række internationale eksperter har givet deres bud de historiske udfordringer og de spørgsmål, der motiverede udviklingen af retningslinjerne. Af særlig interesse kan fremhæves en keynote af The Hon. Michael Kirby AC CMG, der i din tid var formand for OECD Expert Group on Transborder Data Barriers and Privacy Protection. Michael Kirby fratrådte som højesteretsdømmer i Australien i 2009, men er stadig en meget aktiv fortaler for menneskerettigheder og privacy. Han modtog tidligere i år Electronic Privacy Information Centers Privacy Champion Award som anerkendelse for sine meritter.

Michael Kirby fremhæver indledningsvis, at det var interessen for den fri udveksling af data som drivkraft for  økonomisk effektivitet og dermed for demokrati og god regeringsførelse og den fri markedsøkonomi, der i første omgang tiltrak OECD´s opmærksomhed.  OECD´s analyse var, at europæiske regeringers og institutioners bekymring for privacy ville indebære en retslig og økonomisk hindring for en fri grænseoverskridende informationsudveksling, som i høj grad blev promoveret af USA. I Europa var brud på privacy ikke blot en teoretisk fare med erfaringer under 2. verdensskrig om misbrug af persondata fra myndighedernes side stadig i 1978 i stærk erindring. På den anden side anså mange ikke-europæiske lande, at traktatvejen til beskyttelse af privacy var bureaukratisk, dyr at gennemføre, hæmmende for TBDF samt muligvis udtryk for protektionisme. Løsningen på dette dilemma blev, at man i stedet for at udarbejde en traktat, ville opstille generelle principper, som basis for national lovgivning med det håb, at disse principper vil bidrage til en reduktion af  hindringer for gennemførelsen af OECD´s formål.    

Kirby gør det klart, at det ikke har været ekspertudvalgets opgave at “opfinde den dybe tallerken igen”, men at bygge videre på tidligere bidrag af Nordisk Råd, Europarådet, EU samt akademia  og indarbejde de fra denne kontekst nye principper i en interkontinental applikation, der omfatter andre af OECD´s medlemslande, som f.eks. USA, Canada, Storbritannien, Japan, Australian og New Zealand.

Resultaterne af OECD´s retningslinjer falder ifølge Michael Kirby i 4 kategorier:

  • de bygger oven på tidligere arbejde
  • merværdi tilført af OECD, f.eks. teknologineutralitet og klar ansvarstildeling
  • fleksibel implementering
  • deres overlevelse   

Til sidst stiller Michael Kirby spørgsmålet: “hvad med fremtiden?” Skal retningslinjerne fortsat have relevans og betydning, så lægger Kirby vægt på, at man skal være realistisk. Samtidig med at man bør anerkende den objektive værdi af TBDF, skal man være bevidst om, at ” fordelene ved informationsteknologien selvfølgelig kan nå et omfang som forringer det enkelte menneskes mulighed for at kontrollere sin  egen penumbra [læs: sfære] af information.” Et spørgsmål man i relation til OECD bl.a. kan stille er: “Vil den marginale nytteværdi af at forsøge at hindre TBDF, med henblik på at beskytte privacy, opveje de marginale omkostninger ved en sådan indblanding i driften af  TBDF ?”. Det er nødvendigt at forholde sig oprigtigt til dette dilemma og diskutere det åbent, så beslutninger kan træffes i fuld åbenhed. Selvom det må erkendes, at der er visse begrænsninger i den personlige kontrol over data og privacy, så er det vigtigt ikke at opgive beskyttelsen af privacy, “som er en værdi, der dybt rodfæstet i mennesket og som påvirker dets værdighed og integritet”. Betydningen af empiri fremhæves også, fordi retningslinjerne og øvrig lovgivning og rutiner kun kan være effektive, såfremt de    baseres på en præcis og grundig forståelse af den relevante teknologis operation. Derudover er der  spørgsmål om rekonceptualisering. Hermed menes, at OECD påtager sig en rolle med at sikre, at den løbende tilgang til specielle problemer som spam, cybercrime, malware osv. er i harmoni med hinanden og være på vagt overfor en fragmenteret tilgang til hvad der dybest set er integrerede sociale og etiske problemer.  Endelig peges der på nye udfordringer i forhold til masseovervågning, biometri, RFID tags, krop scannere osv. og at privacy-fortalere hele tiden bør være på udkig efter PET-løsninger (privacy enhancing technologies). Som de sidste 3 punkter omtales værdien af det grænseoverskridende samarbejde,  nødvendigheden af slutbruger læring og uddannelse for at opretholde samfundets bevidsthed om værdien af privacy samt spørgsmålet om hvad OECD bør gøre for at inkludere repræsentative holdninger om privacy  fra verdens udviklingslande ?

Afslutningsvis roser Michael Kirby NGO`ere, offentlige institutioner, forskere og enkeltpersoner der arbejder med privacy og informationssikkerhed, fordi graden af  kontrol over den enkeltes personoplysninger i fremtiden vil afhænge af deres indsats.

Download hele talen her.

Jeg er meget enig i Michael Kirby´s synspunkter og fremtidsvurderinger både i forhold til OECD´s position og i forhold til beskyttelse af privacy i almindelighed. OECD er et magtfuldt organ og den måde man har håndteret privacy på er prisværdigt og visionært. Det er uomtvisteligt, at retningslinjerne, der med start i 2011 vil blive gået efter i sømmene i henhold til den såkaldte Seoul Declaration fra 2008, har haft og vil få stor central betydning for privacy og persondatabeskyttelse i fremtiden, forudsat at man betræder erfaringens sti og ikke mister sine  pejlemærker.  

Reklamer

Skal vi have en privacy-ombudsmand ?


En ombudsmand er oprindelig en svensk opfindelse, der går helt tilbage til 1810. Sidenhen er embedet i forskellige udgaver ligesom selve ordet blevet kopieret i omkring 120 lande verden over. I Danmark blev Folketingets ombudsmandsinstitution, der er en kontrolinstans i forhold til den offentlige forvaltning, oprettet i 1954 og den første ombudsmand var den navnkundige professor dr. jur. Stephan Hurwitz.

Forbrugerombudsmanden blev introduceret i 1975 og fører bl.a. tilsyn med at markedsføringsloven overholdes.

Af andre ombudsmandsinstitutioner kan fremhæves Den Europæiske Ombudsmand, der behandler klager over fejl og forsømmelser i Den Europæiske Unions institutioner og organer. Hvis man er statsborger i en af Unionens medlemsstater eller har fast bopæl i en medlemsstat, kan man indgive klage til Den Europæiske Ombudsmand. Virksomheder, foreninger og andre organer med hjemsted i Unionen kan også klage til ombudsmanden.

Konkret i relation til privacy og persondatabeskyttelse har EU i 2001 endvidere oprettet en  stilling som europæisk tilsynsførende for databeskyttelse. Den europæiske tilsynsførende for databeskyttelse skal sikre, at alle EU-institutioner og organer overholder reglerne om beskyttelse af personer i forbindelse med behandling af personoplysninger. Den europæiske tilsynsførende for databeskyttelse arbejder sammen med de databeskyttelsesansvarlige i de enkelte EU-institutioner eller organer for at sikre, at reglerne om privatlivets fred anvendes.

Ideen om at en uafhængig embedsmand, med kompetence til at undersøge klager fra almindelige borgere, kan kritisere ulovlig, unfair eller forkert myndighedsudøvelse og fremkomme med anbefalinger, er ikke ukendt i andre lande. Således har man f. eks. i det islamiske retssystem fra gammel tid kendt til de såkaldte “Diwan al Mazalim”-institutioner, hvis funktion var at undersøge klager indbragt af borgere mod embedsmænd.

Oprettelsen af ombudsmandsinstitutioner, som især tog fart i 2. halvår af 1900 skyldes tilsyneladende 2 omstændigheder. Dels et behov for retssikkerhed i forhold til en stadig stigende offentlig administration, dels udbredelsen af nye demokratier og menneskerettigheder.

Formålet med en ombudsmand er kort og godt, at fremme retssikkerheden, menneskerettigheder samt god offentlig sagsbehandling. Karakteristisk for en ombudsmand er, at embedet er personligt (eller udgøres af en gruppe personer) og at denne person er udpeget af et parlament for at understrege, at hans autoritet udspringer af folkets repræsentanter. En ombudsmand skal nyde stor respekt og integritet og derfor varetages hvervet som regel af personer med en dommer- eller juraprofessorbaggrund.

Med henblik på at varetage sin primære arbejdsopgave at beskytte rettighederne for den, der mener at være udsat for en ulovlig eller uretfærdig behandling af det offentlige, så er det vigtigt at enhver person kan kontakte ombudsmanden direkte uden formaliteter og uden omkostninger af betydning. Ombudsmanden kan også på eget initiativ tage en sag op og det skal sikres, at institutionen har vide beføjelser til at gennemføre en undersøgelse.

Ombudsmanden betragtes af mange som “den lille mands advokat”, men det er ikke helt korrekt for så vidt angår den danske ombudsmand, der foretager en klassisk domstolslignende sagsgennemgang. Stephan Hurwitz udtrykte det på den måde, at enhver sag har to parter, en klager og én der klages over, og begge parter har krav på en ordentlig og fair behandling.

Det er dog værd at fremhæve, at en af ombudsmanden udtrykt kritik og især hvordan en sag burde være håndteret, kan have stor betydning for den enkelte borger. I andre lande afgør ombudsmanden en egentlig tvist og kan her komme med et forslag til en mindelig løsning mellem borgeren og den offentlige myndighed. I disse tilfælde fungerer ombudsmanden mere som repræsentant for den enkelte borger end som uafhængig dommer. Men under alle omstændigheder er ombudsmandens afgørelse kun at betragte som en anbefaling, som den pågældende myndighed bør følge, men ikke er forpligtet til, som hvis det havde været en domsafgørelse. Værdien i ombudsmandens afgørelse hviler derfor alene på de gode argumenter og den respekt ombudsmandsinstitutionen nyder. Fordi det ofte vil være forbundet med store omkostninger og tidskrævende at anlægge en retssag, betragtes ombudsmanden som et udmærket supplerende retsligt alternativ. Erfaringen synes at vise, at en ombudsmandsinstitution bidrager til stabiliteten i samfundet.

Fra tid til anden fremkommer der forslag om at udnævne en sagsspecifik ombudsmand, f.eks. en børneombudsmand eller ældreombudsmand. Bevæggrunden er at styrke retsstillingen for samfundsgrupper, som opleves at blive overhørt af beslutningstagere og myndigheder.

Op til det seneste valg til Europa-Parlamentet i juni 2009 præsenterede det socialdemokratiske medlem, Christel Schaldemose, et forslag om at oprette en europæisk privacy ombudsmand. Ideen er udsprunget af behovet for en større privacy-beskyttelse i forbindelse med de sociale netværk, som f.eks. Facebook og som ifølge EU-parlamentsmedlemmet kræver EU-lovgivning. Et tilsvarende forslag er anbefalet af Karin Riis-Jørgensen, forkvinde for European Privacy Association, i forbindelse med It-sikkerhedskomitéens konference ”Privatliv på profilen” i november 2008.

Efter min opfattelse er betegnelsen “ombudsmand” ikke beskyttet og der eksisterer heller ikke en entydig definition af en “ombudsmand”s beføjelser og funktioner. Så vidt jeg har kunnet konstatere, findes der ikke et embede i verden med generelle kompetencer, der benævnes som privacy-ombudsmand. Dog er der flere steder indført en privacy-ombudsmand indenfor specifikke sagsområder. Således har Norsk samfunnsvitenskapelig datatjeneste en såkaldt personvernombudet for forskning, der på engelsk benævnes privacy ombudsman og som har fået uddelegeret kompetance fra det norske datatilsyn i forbindelse med spørgsmål om persondata i forskningsprojekter. I henhold til The Bankruptcy Abuse Prevention and Consumer Protection Act of 2005, kan en amerikansk domstol udmelde en såkaldt consumer privacy ombudsman i konkurssager, hvor der kan blive tale om at sælge eller udlåne personlige oplysninger.

Derudover kan det konstateres, at der eksisterer organer rundt omkring i verden, som har beføjelser og funktioner, der i større eller mindre grad udmærket kan sammenlignes med en klassisk ombudsmandsinstitution, men blot hedder noget andet. Eksempelvis har Office of the Privacy Commissioner of Canada et mandat og en mission der i store træk minder om de arbejdsopgaver der traditionelt er knyttet til  en ombudsmand med tyngde på advokat-rollen blot i relation til privacy. Der er dog den interessante forskel, at kommissionæren, der er ansat af parlamentet og rapporterer til de to folkevalgte kamre, kan anlægge sag ved de almindelige domstole i sager, som ikke er blevet løst. De enkelte canadiske provinser har hver deres egne institutioner for privacy fastsat i henhold til lov, der i det væsentligste minder om embedet for Office of the Privacy Commissioner of Canada. Dog med mindre undtagelser. Eksempelvis kan afgørelser af Office of the Information and Privacy Commissioner of Ontario, der for tiden beklædes af den højt respekterede  Ann Cavoukian, i visse tilfælde indbringes for de almindelige domstole. At kommissionæren i almindelighed kan træffe bindende afgørelser, der er inappellable, kan derfor snarere sammenlignes med de kompetencer Datatilsynet besider. I Yukon, en anden canadisk provins, har man valgt en ordning, hvorefter embederne, som både Ombudsman (der svarer til en traditionel ombudsmand) og Information & Privacy Commissioner, der er reguleret i henhold til forskellige love, varetages af én og samme person.

Henset til den førnævnte beskrivelse af ombudsmandsinstitutionen, så kan jeg udmærket godt forstå hvorfor ideen om en privacy-ombudsmand lanceres. Ombudsmanden er et stærkt brand. Men spørgsmålet er, om der reelt er brug for en europæisk eller dansk privacy-ombudsmand ?

Der er ikke nogen tvivl om at privacy som en menneskeret er under stigende pres både nationalt som globalt og at en international regulering efterlyses. Det er også uomtvisteligt, at privacy- og persondatabeskyttelsen er kompliceret at håndhæve især i forbindelse med introduktionen af flere og flere digitale tjenester og teknologier. Der er, som det er nævnt i et tidligere indlæg her på bloggen, derfor behov for en opdatering af persondatadirektivet og eventuelt anden særlovgivning både indholdsnæssigt og med hensyn til fuldbyrdelsesinstrumenter.

Ved implementeringen af persondatadirektivet er det op til hvert enkelt EU-land at organisere tilsynsmyndigheden. Nogle lande, herunder Tyskland, har ligesom Canada valgt en konstruktion med udnævnelse af en kommissær for databeskyttelse og informationsfrihed dels for hele Tyskland og dels for hver af de 16 tyske delstater, jfr. f.eks.  Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Det tyske embede er klart inspireret af den klassiske ombudsmandsinstitution, idet kommissæren er personligt udpeget af den tyske forbundsregering respektive de enkelte delstaters regeringer og valgt af henholdsvis det tyske Forbundsparlament respektive de enkelte delstaters parlamenter.

The Information Commissioner’s Office i Storbritanien, der er organiseret som en “non-departmental public body” (svarer til en dansk styrelse) under justitsministeriet, rapporterer direkte til parlamentet, og kan stort set sammenlignes med Datatilsynets opbygning, rolle og ansvar.

En fortegnelse over de nationale organer for databeskyttelse i EU, EFTA, EU-kandidatlande og visse tredjelande kan findes her.

I Danmark er Datatilsynet (indtil 2002 benævnt Registertilsynet) at betragte som en uafhængig statslig myndighed, der har til opgave at føre tilsyn med, at reglerne i persondataloven, der gennemfører EU-direktivet, overholdes. Datatilsynets opgaver består i at rådgive, vejlede samt behandle klager (også fra almindelige borgere) og foretage inspektioner hos myndigheder og virksomheder. Selvom Datatilsynet organisatorisk  henhører under Justitsministeriet, så har ministeriet ingen instruktionsbeføjelse over myndigheden. Der er således alene tale om en formel forskel i strukturen og ikke en reel forskel i substansen (persondatadirektivet) i forhold til eksempelvis den tyske ordning og det er trods alt det som man bør hæfte sig ved i hele denne her diskussion.

Funktionerne kunne således i princippet sagtens blive varetaget af en ombudsmand, men nu ligger de faktisk hos Datatilsynet og det vil derfor umiddelbart være mere hensigtsmæssigt at styrke Datatilsynets organisation på en række punkter. Som jeg andetsteds har opfordret til, så bør Datatilsynet både have tilført flere økonomiske midler og flere faglige kompetencer og det er også muligt at Datatilsynet skal have flere sagskompetencer og bedre retshåndhævelsesmidler samt en pligt til at indgå i et mere formaliseret samarbejde med relevante samarbejdspartnere.

For så vidt angår en europæisk privacy-ombudsmand, så kan en sådan kun fungere effektivt og i overensstemmelse med institutionens intention, såfremt der tilføres eksorbitante midler, men der er desuagtet alvorlig risiko for, at en fælles-europæisk institution vil drukne i bureaukrati, især henset til at lovgivningsindhold og lovgivningspraksis ikke er ens i EU. Sidstnævnte forsøger de nationale datatilsyn at koordinere via WG-29 arbejdsgruppen. Det er muligt at denne konstruktion kan forbedres, men det må afvente den revision af EU´s juridiske referenceramme om databeskyttelse, der omfatter persondatadirektivet, e-privacy direktivet samt Rådets rammeafgørelse 2008/977 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager og som tidligst forventes afsluttet primo 2011. Man kan med en vis ret hævde, at når alt kommer til alt, så er det snarere en mere effektiv EU-regulering og sikrende retsmidler baseret på nærhedsprincippet, der er brug for, end at en europæisk privacy-ombudsmand afgiver rekommandationer, der ikke kan fuldbyrdes.

En dansk privacy-ombudsmand synes heller ikke at være gangbar, fordi det ikke vil være hensigtsmæssigt endsige nødvendigt at nedlægge Datatilsynet for at opbygge en ny institution, hvor stort set kun indpakningen er forskellig, medmindre man ønsker, at embedet alene skal fremkomme med anbefalinger og ikke, som det er i dag, hvor Datatilsynets afgørelser har umiddelbar retsvirkning. Det har den konsekvens, at overtrædelse kan medføre straf- eller erstatningsansvar og at Datatilsynets  afgørelser efter persondataloven ikke kan indbringes for anden administrativ myndighed, men selvfølgelig altid kan prøves ved en domstol. Denne sagsbehandling kunne godt gøres mere smidig uden nødvendigvis at ændre på Datatilsynets retskompetence, idet en rolle som mediatoradvokat næppe vil være valid. Derimod kan argumentet om, at selve udnævnelsesproceduren har en yderligere tillidsskabende virkning, muligvis overvejes nærmere samt i forlængelse heraf eventuelt at lægge tilsynet direkte under Folktetinget, for at sikre en yderligere uafhængighed i forhold til regeringen.

Det vil ikke gøre nogen forskel, såfremt en privacy-ombudsmand skulle fungere ved siden af Datatilsynet med nye funktioner, idet det uundværligt vil føre til kompetencestridigheder. Der har i øvrigt allerede rodfæstet sig en forvaltningspraksis, hvorefter persondataspørgsmål henvises til Datatilsynet. Det gælder således også i relation til spørgsmål om f.eks. forbrugerbeskyttelse og målrettet reklame, som ellers umiddelbart kunne tænkes at høre under Forbrugerombudsmandens ressortområde.

Selvom det lyder besnærende, så skal man nøje og nøgternt overveje behovet for en ny ombudsmandsinstitution og ikke lade sig rive med af et ellers prisværdigt engagement og en øjeblikkelig omend velbegrundet stemning for at styrke en bestemt befolkningsgruppes interesser eller et specifikt rets- eller principområde. Privacy er kun en af 30 menneskerettigheder , der er fastsat i FN’s menneskerettighedserklæring og Den Europæiske Menneskerettighedskonvention. De er alle ligeværdige og staterne kan ikke vælge nogen rettigheder ud som mere beskyttelsesværdige eller respektable end andre. Et perspektiv med 30 sagsspecifikke ombudsmænd ved siden af Folketingets ombudsmand forekommer omsonst, især når der allerede findes organer, både nationalt som internationalt,  der mere eller mindre tager sig af de berørte problemstillinger.

Der synes derfor ikke efter min opfattelse at være vægtige grunde, der taler for at oprette en privacy-ombudsmandsinstitution.