EU-rapport understøtter behovet for mere information om brug af personlige oplysninger


Rapporten, der netop er blevet  udgivet af Eurobarometer, er resultatet af den hidtil største undersøgelse om den enkelte EU-borgers adfærd og holdning til bgrugeradministration (identity management), databeskyttelse samt privacy.

Det konkluderes i rapporten: “I lyset af den stadigt stigende rolle digitale teknologier har spillet i samfundet i løbet af det sidste årti og den hidtil usete store indsamling, opbevaring og behandling af personoplysninger, er formålet med undersøgelsen, at få indsigt i europæernes videregivelse af personlige oplysninger, med særlig fokus på Internettet. Mere specifikt, omhandler rapporten europæernes faktiske offentliggørelse af personlig information, deres forståelse af og opfattelse af kontrol over deres personlige data, deres måder at beskytte personoplysninger på og hvorledes de gerne ser databeskyttelsen udformet. Indsigt i disse spørgsmål kan være en hjælp til at udvikle reguleringen og skræddersy den til europæernes særlige behov og sårbarheder med hensyn til beskyttelse af personoplysninger.”

Nogle af hovedresultaterne af undersøgelsen viser, at

  • 74 % af europæerne anser afsløring af personlige oplysninger som en stigende del af det moderne liv
  • oplysninger først og fremmest betragtes som personlige, når der er tale om finansielle oplysninger (75 %), medicinske oplysninger (74 %), nationale ID-numre eller kort samt pas (73 %)
  • et klart flertal af europæerne (75 %) ønsker at slette personlige oplysninger på en hjemmeside, når de beslutter sig for det (princippet om “retten til at blive glemt”)
  • Selvom et flertal af europæiske internetbrugere selv føler sig ansvarlige for håndtering af deres egne personlige oplysninger, går næsten alle europæere ind for ens databeskyttelsesregler i hele EU (90 %)
  • et flertal mener, at deres personlige oplysninger vil være bedre beskyttet i store virksomheder, såfremt disse virksomheder er forpligtet til at have en databeskyttelsesansvarlig person (88 %)
  • Europæernes meninger er delte med hensyn til de omstændigheder, hvorunder politiet skal have adgang til personlige data. Til gengæld er næsten alle enige om, at mindreårige bør beskyttes mod (95%) og advares om videregivelse af personoplysninger (96%), og et stort flertal er for en særlig beskyttelse af genetiske data (88%).

De adspurgte i undersøgelsen kan kategoriseres i to grupper af såkaldt digitale eksperter, som viser markante forskelle i besvarelserne. Den første gruppe betegnes som “digital natives”, som vel nærmest kan oversættes som “børn af den digitale tidsalder” dvs. unge mennesker i alderen 15-24 år, som er studenter og født under og efter introduktionen af den digitale teknologi. Den anden gruppe benævnes i rapporten som “digital initiates”, som kan oversættes til “personer med tillærte erfaringer”. De er ikke unge per definition og har fået deres viden om med den digitale teknologi gennem f.eks. uddannelse eller arbejde og har andre synspunkter end “børn af den digitale tidsalder”.

Eksempelvis deles synspunktet om, at afsløring af personlige oplysninger ikke er et stort problem af 43 % i den første gruppe (EU 33 %). Endvidere fremgår det, at der i denne gruppe er 48 % som ikke har noget imod at afsløre personlig information til gengæld for fri online servicees , f..eks. en gratis e-mail adresse (EU 29 %) og at 41 % føler sig forpligtet til at afsløre personlige oplysninger på internettet (EU 28 %).

Med hensyn til den anden gruppe, så er det tydeligt, at de er mindst tilbøjelige til at føle kontrol over personlige data, f.eks. mulighed for at slette, rette eller ændre disse oplysninger i forbindelse med online shopping eller når de benytter sociale netværkssteder. Og i modsætning til den første gruppe er de mest tilbøjelige til at beskytte deres identitet i det daglige og på nettet og er som ofte bekymret med hensyn til oplysninger om dem selv, som opbevares af virksomheder.

For så vidt angår Danmark er der anledning til at fremhæve nogle tal fra rapporten. Eksempelvis betragter 91 % af de adspurgte danskere, finansielle oplysninnger som løn, bank- og kreditkortoplysninger for at være personlige. Det er også interessant at bemærke, at de lande, hvor Internetbrugere er mere tilbøjelige til at mene, at finansielle oplysninger er personlige også har en højere andel af respondenter, der handler online. Således køber 81 % af internetbrugerne i Danmark online. Danmark scorer også højt i vurderingen af at medicindata (87 %) og at CPR-nummer og pasnr. (89 %) er personlige oplysninger. Derimod rangeres f.eks. navn (23 %) og adresse (36 %) lavt som en personlig oplysning. Den højeste procent af svar, som siger, at afsløring af personlige oplysninger ikke er et problem er fra Danmark (51 %). På spørgsmålet om man føler sig forpligtet til at afsløre personlinge oplysninger på internettet viser undersøgelsen, at de danske svar topper med 47 % mod 44%, der er uenig. Danmark ligger i toppen sammen med 3 andre nordiske lande med 72 %-besvarelser, der giver udtryk for ikke at være bekymret for at ens adfærd vil blive registreret på et privat sted som f.eks. restaurant, bar, klubber eller kontorer. Ligeledes afspejler de danske svar, at 78 % er ubekymret for at deres adfærd bliver registreret i det offentlige rum, hvilken procent ligger på linje med EU-gennemsnittet. Med hensyn til placering af de strategier de enkelte borger vælger til at beskytte sin identitet i det daglige viser, at 78 % af danskerne, hvilket e i top, foretrækker at give et minimum af forlangte oplysninger og ikke afslører bankoplysninger eller PIN-kode.

Nederlandene, Luxembourg og Danmark skiller sig ud som de EU-lande, der har det største antal af internetbrugere, som benytter en vifte af forskellige strategier til beskyttelse af deres identitet på nettet. Danmark scorer ikke uventet meget højt på tilid til at f.eks. sundhed- og skattesmyndigheder samt finansielle institutioner beskytter personlig information. I modsætning hertil ligger lande som Grækenland, Rumænien og Polen med den laveste tillidsniveau.
Om den er begrundet er en anden sag.

En tankevækkende iagttagelse er det forhold, at den højeste procentdel, der siger, at de gerne vil slette deres data, når de stopper med at benytte en service (princippet om retten til at blive glemt), er at finde i Danmark (50%), Sverige (48%) og Nederlandene (43%).

Et specielt tema i forhold til undersøgelsen vil lige blive berørt, fordi det for tiden er aktuelt i den danske offentlige debat. Det drejer sig om identitetstyveri. Af undersøgelsen fremgår det, at der er en udbredt opmærksomhed om identitetstyveri og datatab i EU omend den personlige erfaring forbliver marginal. 44 % af alle europæere har svaret at de hverken har hørt eller oplevet omstændigheder I forbindelse med datatab og id-tyveri. En sociodemografisk analyse påpeger, at det er aldersgruppen 55+ (50 %), den mindst uddannede (54 %) og som aldrig bruger internettet (53 %), der er dem som mest sandsynligt ikke har hørt om eller er blevet konfronteret med forhold om datatab og identitetstyveri.

I de lande hvor respondenterne højst sansynligt har hørt om (via fjernsyn, radio, aviser eller internettet) eller haft erfaring med forhold i forbindelse med datatab eller identitetstyveri, er de lande med den laveste procentdel, der siger nej, nemlig Letland (26%), Sverige (27%), Irland (28%), Danmark (29%), Finland (31%) og Storbritannien (34%).

JyllandsPosten har i en dybdeboende og omfattende temaserie sat identitetstyveri på dagsordenen med en række konkrete sager, som klart illustrerer problemets sociale og økonomiske konsekvenser. Det er Dansk Privacy Netværks opfattelse, at det netop er et sådant initiativ, der kan være med til at skabe større forståelse for et ellers kompliceret emne. Dansk Privacy Netværk og flere af dets medlemmer og samarbejdspartnere har i øvrigt bidraget med input til artikelserien samt i forbindelse med en opfølgning i bl.a. DR Update og TV AVISEN.

Mere om identitetstyveri og hvad den enkelte borger kan gøre for at undgå at miste kontrol med egne data kan findes her: Identitetstyveri – også i Danmark? Det understreges af Datatilsynet, at mere information til både borgerne, virksomheder og myndigheder om forsvarlig brug af personoplysninger, er nødvendig. Sidstnævnte er også rapportens generelle anbefaling.

Eurobarometer har bedrevet et glimrende stykke analysearbejde om EU-borgernes holding til databeskyttelse og elektronisk identitet som viser nogle interessante resultater, herunder at der tegner sig et broget indtryk af danskernes forståelse for persondatabeskyttelse.

Afslutningsvis glæder det mig, at undersøgelsen fastslår at et flertal af de adspurgte mener det vil forbedre beskyttelsen af personoplysninger, såfremt virksomheder af en vis størrelse udpeger en databeskyttelsesansvarlig person (Data Protection Officer), fordi det netop har været et hovedønske, der er blevet fremført af bl.a. mig selv i forbindelse med revisionen af persondatadirektivet. Positionen må ikke forveksles med den dataansvarlige eller databehandleren, som i henhold til den nugældende lovgivning både kan være en person eller myndighed. Så mon ikke det bliver en af flere nye bestemmelser i det reviderede persondatadirektiv, der vist forventes i 2014. ?

Rapporten “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union” (330 sider) kan downloades her.

Reklamer

Er overvågning et gode for det enkelte menneske ?


Ja, det kan det være, men kun helt undtagelsesvist og forudsætningen er, at enhver overvågning eller observation skal have hjemmel i loven,. Om hvilke regler der gælder ved tv-overvågning henvises til pjece udgivet af Justitsministeriet og Datatilsynet. Om retsvirkningerne mellem de to hovedlove på området henvises til artiklen: Persondataloven og lov om tv-overvågning – gennemtænkt samspil?. For så vidt angår betragtninger om overvågningens rækkevidde kan f.eks. henvises til Forbrugerrådets høringssvar: Tv-overvågningsloven og lov om personoplysninger i forbindelse med det seneste forslag til lovændring, Afvejninger mellem overvågning og databeskyttelse og privacy fremgår eksempelvis af det afsluttende communique fra den 28. Internationale databeskyttelses- og privacykonference i London i 2006.

Enhver lovregulering bør helt grundlæggende være baseret på en nøje afvejning af proportionalitet og nødvendighed.

Hovedreglen i et demokratisk samfund som anerkender de universelle friheds- og menneskerettigheder, er, at det enkelte individ har fuldstændig kontrol og gennemsigtighed med en hvilken som helst overvågning. Derfor bør al overvågning som udgangspunkt være ikke-personhenførbar. Der gælder selvsagt undtagelser i forbindelse med en konkret politimæssig efterforskning, som imidlertid også skal kunne domstolsprøves efterfølgende.

En reel persondatabeskyttelse kan kun lade sig gøre, såfremt den digitale identitet opbygges som en del af et globalt tillidsskabende it-rammeværk (trusted framework). Et sådant rammeværk, der faktisk er et system af systemer (privacy-rammeværk, identitets-rammeværk, kontrol-rammeværk, notifikations-rammeværk osv.) kan defineres som et netværk af binære tillidsrelationer mellem alle parter (eksempelvis helt op til 10 parter med skiftende roller) i en transaktion og som forholder sig til de forsikringer, som er nødvendige for at hver af partnerne kan stole på de andre relevante parter med hensyn til hvert enkelt tillidselement. Flere internationale private organisationer arbejder med forskellige modeller. Processen er kompliceret, omfattende og tidskrævende.

Et af de mere interessante initiativer er taget af Kantara Initiative, der er en sammenslutning af en lang række internationale  virksomheder og organisationer samt nationale myndigheder, der forpligter sig til åbne standarder og at systemer eller processer har  mulighed for at samvirke med hinanden med henblik på at online-netværk bliver mere privacy beskyttende og med indbyggede tillidsskabende elementer i it-miljøerne.

Rammeværket skal naturligvis baseres på egentlige retsgarantier for den enkelte (datasubjektet). Spørgsmålet vil om føje år blive højaktuelt i forbindelse med den større og større udbredelse af pervasive computing, eller ”IT i alting”, dvs. et altomfattende netværk af ”ting” (tøj, biler, smartphones osv.), der er koblet sammen via trådløse forbindelser (RFID, NFC, WiFi, 4G osv.) Et spændende bidrag til hvorledes en effektiv lovgivning kan forenes med den teknologiske udvikling er leveret af professor Mireille Hildebrandt fra Erasmus University i Rotterdam. Hun påpeger med begrebet Ambient Law, at demokratiet er i fare, medmindre  vi finder nye måder på at formulere de retlige rammer for demokratiet og retsstaten som en integreret del af den teknologiske arkitektur, som det er formålet at regulere. Jeg forstår visionen således, at borgerens retsbeskyttelse skal designes direkte ind i teknologi- og computerkoderne.

En meget sigende og vil mange mene skræmmende illustration af overvågning er det af filmkunstneren Chris Oakley producerede videoklip “The Catalogue” fra 2004 som udkrystalliserer en vision om “os set af dem” ved at simulere RFID og CCTV. “The Catalogue” viser hvordan virksomheder kodificerer mennekser. Ved hjælp af manipulation af dagligdagens detailhandel placeres beskueren I en position som et eksternt og lidenskabsløst organ, der observerer menneskeheden som en serie af enheder, hvis værdi er defineret ud fra deres forbrugskapacitet og fremtidige behov.

Skjult overvågning og profilering med henblik på målrettet markedsføring kan ikke accepteres. Selvom der på forhånd er indhentet samtykke af forbrugeren bør beslutningsgrundlaget være meget højt, især fordi business intelligence systemer idag er så avancerede, at man er i stand til at profilere en forbruger mere og mere ud fra færre og færre oplysninger. Mange vil sikkert spørge: “jamen, hvori ligger problemet ?” Problemet er, at der er en stor risiko for, at mange forbrugere ubevidst bliver påtvunget køb, som de, når det kommer til stykket, slet ikke er interesseret i og som i værste fald kan bringe forbrugeren i økonomisk uføre. Cookie-direktivet er bl.a. baseret på disse bevæggrunde. Det bemærkes, at selvom økonomisk kategorisering kan opleves som en uretfærdig stigmatisering af bestemte befolkningsgrupper, så er der ikke umiddelbart tale om diskrimination i lovens forstand, sålænge forskelsbehandlingen ikke relaterer sig til alder, handicap, køn, etnicitet, tro, seksuel orientering, social oprindelse eller en anden specifik diskriminationsgrund.

Samtykke eller ej, så er det efter min opfattelse  heller ikke i orden, at eksempelvis et forsikringsselskab kan tilbyde sine kunder en rabat på bilforsikringen, såfremt bilen bliver forsynet med en GPS, der overfor forsikringsselskabet kan bekræfte, om bilen har været brugt i højrisikosituationer, som f.eks. i forbindelse med pendlertrafik. Udover at forsikringsselskabet betinger sig en total overvågning af forsikringstagerens bilkørsel, så kan man i øvrigt anføre, at forsikringspræmier bør baseres på så objektive kriterier som muligt. Det er til fordel for forbrugeren og vil tjene den samlede forsikringsbranche bedst i længden. Jeg mener ikke, at et sådant forsikringsvilkår  bør kunne  aftales overhovedet.

Men der skal ikke herske nogen tvivl om, at privacy ikke er økonomisk omkostningsfrit i snæver forstand. Hvis der var 100 % overvågning døgnet rundt ude og hjemme vil det sikkert eksempelvis reducere raten af indbrudstyverier og røverier. Mindre bekvemmelighed, færre rabatter og sociale ydelser er den pris vi betaler for større privacy og den pris er værd at betale i længden. Det bør som nævnt kun ved lov og effektiv demokratisk kontrol kunne bestemmes at indskrænke privatlivsbeskyttelsen eller privatsfæren i betydningen det fysiske rum.

Privacy International: Privatlivsbeskyttelsen halter i Danmark som i resten af Europa


Den engelske vagthunds-organisation Privacy International (PI)  har med egne ord  i over 20 år været en kraftig fortaler for beskyttelsen af det enkelte menneskes privatliv i forhold til regeringer og virksomheder. PI betragtes af mange som verdens mest markante og kompetente privacy NGO.

Privacy International har netop taget temperaturen på Europas privacy med udgivelsen  på databeskyttelsesdagen 28. januar af  en omfattende rapport under titlen “European Privacy and Human Rights (EPHR) 2010”. Rapporten, støttet af EU-Kommissionen, undersøger det europæiske landskab for de enkelte landes love og regler for privacy og databeskyttelse samt eventuelle andre love eller den seneste faktiske udvikling, der har haft indvirkning på privatlivets fred i de seneste to år. Udover  analyserne land for land indeholder undersøgelsen også en komparativ analyse af vigtige privacy emner samt et afsnit med alle større ændringer land for land. En privacy-rangfølge viser i  fugleperspektiv den væsentligste udvikling og opsummerer med en klassificering af privacy-status i hver enkelt land, fra dem, der “konsekvent beskytter menneskerettighedsnormerne” (bedste klassificering) til dem, hvor “endemisk overvågning” {i betydningen omfattende overvågning} hersker (laveste klassificering). Her imellem ligger lande, der  har “tilstrækkelige garantier mod misbrug” (tilfredsstillende klsssificering), præsterer en “systemisk svigt i at  efterleve sikkerhedskontrol” (utilstrækkelig klassificering) eller viser tegn på “en omfattende overvågning” (meget dårlig klassificering).

Nøgleresultaterne viser derefter de enkelte lande på en karakterskala, som de “gode” (“europæiske demokratier (…) der besidder et godt helbred “, med et” flertal af lande, der har en forfatningsmæssig beskyttelse”), eller dem, hvor  der har fundet en “heroisk ” advokering, kampagner eller protester sted, der har forsinket eller forhindret indskrænkning af privatlivet eller overvågning fra statens side.

Som Privacy International fastslår, så er Europa i front i verden med hensyn til privacy beskyttelse, men fremadrettet bekymrer denne førerposition Privacy International. PI´s synspunkt er selvsagt, at dukserollen forpligter.

I  sammenfatningen af rapportens nøgleresultater fremgår det, at til trods for at databeskyttelsesdirektivet er implementeret i EU-landene og andre europæiske lande, så er regelsættet ikke harmoniseret. Undtagelser og smuthuller under dække af “national sikkerhed” hæmmer privacy praksis, minimerer privacy beskyttelsen og forhindrer et effektivt tilsyn med privacy.

Hovedkonklusionen er, at situationen er uensartet og det er ifølge Privacy International uholdbart og ikke overbevisende.

Herefter omtaler undersøgelsen en række begivenheder, som har fået privacy-barometrets kviksand til enten at stige eller falde. Hvad der blandt andet betegnes som godt i rapporten er, at flertallet af de europæiske lande har en forfatningsmæssig beskyttelse af privacy og at de europæiske tilsynsmyndigheder får flere og flere klager, hvilket PI tager som et tegn på øget bevidsthed om privacy og tilsynsmyndighedernes opgaver. At 34.000 borgere i Tyskland indgav en klage for forfatningsdomstolen mod datalogning og at en NGO-kampagne har medført at den nye regering i Storbritannien har ophævet indførelsen af ID-kort, det biometriske pas 2.0, DNA-praksis og store databaser, bliver endog udråbt som heroisk.

Derimod benævnes det som akavet, at eksempelvis implementering af biometriske pas og datalogning er fragmenteret og at indgreb uden dommerkendelse stadig eksisterer i alt for mange lande, f.eks. i Irland, Malta, og Storbritannien. Endvidere er det dårligt, at f.eks. Tyskland, og Schweiz har beføjelser til at foretage hemmelig ransagning af computere og at e-sundhedssystemer har sikkerhedsproblemer og/eller centrale databaser i Frankrig, Tyskland, Italien, Nederlandene. Af deciderede grimme ting fremdrages bl.a. manglende evne til revision og evaluering af  efterretningstjenesters aktiviteter   f.eks.  i Litauen, Kroatien, Estland, Ungarn, Sverige samt etableringen af medicinske databaser med centrale registre i  Kroatien, Tjekkiet, Danmark, Sverige, Norge og Storbritannien.

I henhold til rapporten placeres Danmark samlet set i kategorien “systemisk svigt i at  efterleve sikkerhedskontrol” og opnår dermed en utilstrækkelig klassificering. Det skyldes først og fremmest den gældende logningsbekendtgørelse, de centrale sundhedsregistre, efterretningstjenesternes dataadgang samt andre EU-medlemsstaters elektroniske adgang omend begrænset til de danske dna- og fingeraftryksregistre. Danmark deler hermed skæbne med størstedelen af de europæiske lande. En ringe trøst vil mange mene. Kun Grækenland og Cypern har en bedre rating, men intet europæisk land opnår  forventelig nok en topplacering, mens derimod Tyrkiet, som det eneste land betragtes som et udpræget overvågningssamfund.

Souschef Christoffer Badse, Institut for Menneskerettigheder og advokat Michael Hopp, Plesner advokatfirma, har medvirket ved udarbejdelsen af den danske undersøgelse, hvortil der her henvises til den engelske version, da den danske oversættelse sine steder er mangelfuld.  Der  er en ganske glimrende oversigt over love samt administrativ- og retspraksis på området, som er nyttig for enhver der beskæftiger sig med privacy og persondatabeskyttelse. Rapporten vil uden tvivl bidrage til større forståelse for privacy i den løbende danske debat. At rapporten bl.a. roser den almindelige tyskers  kritiske engagement og  bevågenhed, der dog til dels kan begrundes i Tysklands forhistorie, er velvalgt. Man kan kun håbe at det også i Danmark på sigt vil være muligt at arrangere demonstrationer og kampagner med en mediedækning i selv den bedste tv-sendetid. Således er det sikkert, at næsten 250.000 tyskeres krav om pixelering af deres ejendom i Google´s Street View service, vil få indflydelse på Google´s forretningsmodel ikke alene i Tyskland men også i resten af Europa.

Rapporten er helt sikkert det mest omfattende dokumentationsmateriale om privacy- og databeskyttelse i verden til dato. Det er en rigtig god ide at sætte privacy og databeskyttelse i en referenceramme for menneskerettigheder og er faktisk selvindlysende efter at den Europæiske Menneskerettighedskonvention (EMRK) med Lissabontraktaten er blevet en del af  EU`s charter om grundlæggende rettigheder, og dermed har direkte  retsvirkning i EU medlemslandene. Danmarks placering er der sådan set ikke noget at sige til. Den overrasker ikke og kan ikke blive bedre, men heller ikke værre. Det er dog værd at hæfte sig ved, at en række privacyforbedrende tiltag i EU-regi er på vej og de vil uden tvivl blive gennemført i Danmark så vel som i de andre EU-lande. Der tænkes her først og fremmest på en forventelig styrkelse af den generelle persondatabeskyttelse med revisionen af EU´s persondatadirektiv så vel som en begrænsning af indsamlingen af trafikdata i henhold til logningsdirektivet.

Nedenfor anføres links til selve rapporten samt yderligere ressourcer.

The European Privacy & Human Rights 2010 (EPHR).

Introduktionsvideo “EPHR” projektet samt en kort præsentation af undersøgelsen.

Den internationale databeskyttelsesdag 28. januar 2011


Den europæiske konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (også kaldet konvention nr. 108) blev udfærdiget 28. Januar 1981 og i øvrigt ratificeret af Danmark 6. oktober 1989.

Eftersom konventionen er en hjørnesten i europæisk databeskyttelse og privacy og forløberen for EU´s databeskyttelsesdirektiv fra 1995 markerer Europarådet hvert år siden 2007 på netop 28. januar den såkaldte databeskyttelsesdag. Formålet er at fremme databeskyttelse som en grundlæggende rettighed og at skabe større forståelse for privatlivsbeskyttelse blandt Europarådets 47 medlemslande. Udenfor Europa gennemføres dagen som Data Privacy Day, bl.a. i USA. På dagen arrangerer Europarådet i samarbejde med EU-Kommissionen i år en konference i Brussels med titlen “Everyone has the right to the protection of personal data concerning him or her” for at festligholde konventionens 30 års jubilæum. Europarådet opfordrer hvert år de enkelte medlemslande til at gennemføre passende aktiviteter på databeskyttelsesdagen.

Når Europarådet og EU forener kræfterne for at skabe større opmærksomhed om databeskyttelse og privacy, så sker det ud fra en klar erkendelse af, at der er en nøje sammmenhæng mellem at sikre de fundamentale menneskerettigheder (informationssikkerhed/privatlivsbeskyttelse) og befolkningernes velfærd og tryghed i Europa.

Når det kommer til stykket, så kerer vi os faktisk om vort privatliv og personlige oplysninger. Men er der egentlig grund til at fejre noget som helst i 2011, når man ser tilbage på de skærpede terrorlove efter 11. september 2001, logningsbekendtgørelsens ikrafttræden, indførelsen af det biometriske pas, udpræget sporing af internetvaner, udbredelsen af sociale netværk, den generelle teknologiske udvikling osv. ?

Ja, det er der bestemt efter min opfattelse. Lad mig nævne nogle dugfriske eksempler på privacystyrkende tiltag i flæng. Den danske regering finder ifølge en redegørelse i efteråret 2010 ingen anledning til en yderligere skærpelse af anti-terrorpakkerne. De nye regler om swift/udveksling af data samt passagerdata (PNR) mellem USA og EU sikrer en bedre persondatabeskyttelse. En ny dansk bekendtgørelse baseret på EU-regulering er på vej, som regulerer brug af cookies på nettet med udvidet forbrugersamtykke og bedre information. En revision af EU´s logningsdirektiv forventes at indføre en større harmonisering, herunder en ensartet opbevaringsfrist. Efter de udmeldinger der indtil nu er fremkommet, kan man se frem til, at EU´s persondatadirektiv vil blive opdateret med bl.a. klarere regler for ansvarsfordeling samt præcisering af teknologiske principper for privacy by design. For nylig har IT- og Telestyrelsen præsenteret et diskussionsoplæg til nye digitale sikkerhedsmodeller med et hidtil uset fokus på et privacydesign.

Men fremfor alt er det mit indtryk, at flere og flere virksomheder, myndigheder, organisationer, udbydere af onlinetjenester samt forskningen er blevet mere interesseret og bevidt om privatlivsbeskyttelse og udvikling af produkter og løsninger, som beskytter borgerens persondata.

Andre steder på bloggen kan man læse mere om bl.a. EU´s tilgang til persondatabekyttelse og forskellige internationale forskningsrapporter om privacy. Under ressource center findes i øvrigt vel nok Danmarks største samling af alsidig og tværfaglig information om privacy.

Den offentlige debat har uden tvivl haft sin positive indflydelse på lovgiverne og andre opinionsdannere. Man kan sagtens mene, at det slet ikke er nok og at vi stadig lever i et decideret overvågningssamfund, hvor der står meget tilbage at ønske. Fremfor alt sløses der alt for meget med personlige oplysninger overalt, så en holdningsændring er grundlæggende nødvendig. Men det er dog skridt i den rigtige retning og der er god anledning til at rose f.eks. IT- og Telestyrelsen for fremsyn og også tidligere videnskabsminister Hele Sander, som i 2006 tog initiativ til at nedsætte det såkaldte Privacy Forum. I bund og grund er det vel egentlig bedst at være optimistisk af natur.

Som en kærkommen lejlighed vil jeg gerne opfordre alle til at sætte persondata- og privatlivsbeskyttelse på dagsordenen 28. januar. Afsæt f.eks. en halv time på jeres arbejdplads, på cafeen eller derhjemme ved middagsbordet med hele familien til at diskuttere hvordan I hver især oplever den beskyttelse og behandling, der er knyttet til jeres helt personlige oplysninger i forhold til f. eks. jeres arbejdsgiver, når I handler i en butik eller køber ind online , rejser, benytter sundhedsvæsenet eller når I surfer på nettet eller bruger Facebook. Nogle spørgsmål man kan stille sig i debatten kan f.eks. være: Har jeres arbejdsgiver udarbejdet retningslinjer for brug af sociale netværk i arbejdstiden ? Er der nogen der har været udsat for identitetstyveri eller krænkelse af privatsfæren ? Snager medierne for meget i personers privatliv ? Oplever I videoovervågning som et problem eller er synspunktet om at “jeg ikke har noget at skjule” godt nok ? Skal man som bruger have effektiv kontrol med hvad man lægger ud på internettet og  mulighed for at korrigere, tilbagekalde eller slette det (retten til at blive glemt på nettet) ?

For at lave konkret branding af temadagen har Dansk Privacy Netværk fået lavet et logo som hermed stilles til fri rådighed og som kan benyttes af enhver der afvikler en relevant aktivitet eller begivenhed på databeskyttelsesdagen nu og fremover. Tjek nærmere regler for brug af logo og download logoet her.

Datatilsynet gennemfører i dagens anledning en række spændende events. For nærmere oplysning henvises til tilsynets hjemmeside. Læs også EU-Kommissionens pressemeddelse Databeskyttelsesdag: garantier for beskyttelsen af privatlivets fred.

Dansk Privacy Netværk ønsker alle en rigtig god og udbytterig databeskyttelsesdag !

EU-Kommissionen opstiller strategi til styrkelse af EU´s databeskyttelsesregler


At vi hver især kan kontrollere og få adgang til samt ændre eller slette vore egne personlige data er grundlæggende rettigheder, som skal garanteres i nutidens digitale verden. Brugergennemsigtighed eller oplysning om, hvad der sker med ens personlige data, hvordan det sker og hvem der forestår behandlingen, går naturligt hånd i hånd med brugerkontrol.

Med henblik på at løse disse problemer har EU-Kommissionen for nylig opstillet en strategi for hvordan den enkeltes personlige data kan beskyttes indenfor alle policy-områder, herunder retshåndhævelsen, og samtidig reducere erhvervslivets administrative byrder og garantere informationsfriheden i Europa. Denne revision af politikområdet vil blive anvendt af Kommissionen sammen med resultaterne af den offentlige høring af EU’s databeskyttelsesdirektiv fra 1995. Kommissionen vil derefter fremsætte forslag til lovgivning i 2011. Desuden vil Kommissionen undersøge andre foranstaltninger, såsom fremme af oplysningskampagner om databeskyttelsesrettigheder og mulige selvregulerende initiativer fra industrien (adfærdskodeks).

“Beskyttelsen af personoplysninger er en fundamental rettighed,” udtaler Viviane Reding, kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab. “For at garantere denne ret, har vi brug for klare og sammenhængende databeskyttelsesregler. Vi er også nødt til at bringe vore love ajour med de udfordringer, som er en følge af nye teknologier og globaliseringen.”

I pressemeddelelsen fremhæves 5 forslag til hvordan EU´s rammeværk for databeskyttelse kan moderniseres ved hjælp af nogle centrale målsætninger:

  • Styrkelse af de individuelle rettigheder (dataminimering, information og gennemsigtighed, brugersamtykke, “retten til at blive glemt”)
  • Styrkelse af EU´s indre marked (begrænsning af virksomhedernes administrative byrder, lige markedsvilkår)
  • Revision af databeskyttelsesreglerne i forhold til politisamarbejde og strafferet (sammenhængende regelsæt i henhold til Lissabontraktaten, datalogningsdirektivet)
  • Sikring af et højt beskyttelsesniveau for overførsel af persondata til lande uden for EU ( strømlining af procedurer og global standarder)
  • En mere effektiv retshåndhævelse (harmonisering af myndighedernes beføjelser, bedre samarbejde og koordinering i hele det indre marked)

Udmeldingen fra Kommissionen om en generel styrkelse af privacy er yderst prisværdig og den seneste i en perlerække af erklæringer, konferenceindlæg og rapporter udsendt respektive afgivet af ikke alene EU-Kommissionen og EU-Parlamentet, men også en række EU-organer, som f.eks. Den Europæiske Tilsynsførende for Databeskyttelse og WG-29 arbejdsgruppen samt Europarådet. Men man tør roligt sige, at det er en stor udfordring at få det hele til at gå op i en højere enhed.

Monique Goyens, generaldirektør for Den Europæiske Forbrugerorganisation, kendt under den franske forkortelse, BEUC udtaler i forbindelse med pressemeddelelsen følgende: “Kommissionen har plantet et flag der viser, at forbrugernes ret til privatlivets fred ikke bør undermineres blot fordi det er blevet nemmere og mere rentabelt at bryde den i den virtuelle verden”.

Derimod fastslår advokat Wim Nauwelaerts fra Hunton & Williams, Bruxelles, der besidder betydelig international ekspertise i privacy og databeskyttelse : “Det ser ud til, at Europa-Kommissionen ikke forventer en større revision af de eksisterende databeskyttelsesregler, men den har ret i behovet for en harmonisering”.

Bemærkningen skal tilsyneladende ses i lyset af, at Kommissionens meddelelse ikke er særlig konkret og bl.a. ikke allerede nu præciserer, hvorvidt internetvirksomheder skal have brugerens udtrykkelige tilladelse før de gør brug af eller deler vedkommendes personlige oplysninger.

Om der skal være et krav om tilvalg eller fravalg for forbrugeren af information og/eller onlinetjenester, der indebærer indsamling og behandling af personoplysninger, er et traditionelt kernestridspunkt i forholdet mellem privacy-fortalere på den ene side og internetvirksomheder på den anden side. Industrien gør gældende, at en regel om tilvalg af onlinereklamer vil hæmme udviklingen af tjenester, der tilpasser online-annoncering med webbrugerens personlige interesser, som afspejlet i de websteder han eller hun besøger eller de præferencer han eller hun giver udtryk for i sociale netværk og andre online fora. Ud fra et markedføringssmæssigt synspunkt kan det være med til at udvande en af internettets absolutte fordele i forhold til de gammelkendte reklamemedier. Det hævdes, at annoncører foretrækker et fravalg for forbrugeren, fordi denne option simpelt hen ikke forventes at ville blive benyttet. Sidstnævnte hænger uden tvivl sammen med, at forbrugerne i stort omgang ikke er klar over, at de bliver sporet.

Sikkert under indtryk af, at reklamebranchen er en af de brancher, der booster hurtigst efter finanskrisen og under indtryk af at for restriktive privacy-regler kan hæmme amerikanske virksomheders vækst og innovation, har FTC i følge en rapport fra 2009 godkendt en løsning baseret på en branchekodeks med en form for fremtrædende online advarsel og opt-out-valg til forbrugeren som tilstrækkelig indtil videre.

Det er ikke til at sige hvordan de europæiske regler på dette punkt i sidste ende vil blive, men mon ikke databeskyttelsen for den europæiske forbruger vil blive styrket og bedre i forhold til det amerikanske regelsæt. Når det er sagt, synes en almengyldig, obligatorisk og ufleksibel tilvalgsregel efter min opfattelse næppe at være gennemførlig simpelt hen fordi den vil være teknisk umulig at implementere og retshåndhæve effektivt. Meget kunne imidlertid tale for at det regelsæt for krav til tilvalg/fravalg, som den canadiske privacy kommissær generelt  har fastsat, er et udmærket udgangspunkt for et europæisk reglement, der vil kunne bestå af  dels retlige minimumskrav og dels selvregulerende brancheadfærdskodekser samt en forbrugermærkningsordning og anvendelse af privatlivsfremmende teknologier, tilpasset specielt til internettet.

Det er min klare opfattelse, at det i det lange løb vil tjene den seriøse del af reklamebranchen og internetvirksomhederne, herunder sociale netværkstjenester som Facebook, bedst at medvirke til at respektere privatsfæren og garantere forbrugeren en sikker og tryg oplevelse ved at gå på internettet og at anerkende en åben og ærlig kommunikation/introduktion af branchegodkendte privacyikoner over for potentielle kunder og brugere i stedet for at forsøge at “manipulere sig til” et salg af varer og tjenesteydelser, for nu at sige det lige ud.

Et andet emne, som synes at være i alles interesse er ens regler for databeskyttelse i hele EU. Mange forskellige fortolkninger af eksisterende lovgivning på tværs af EU-landene er til skade for det indre marked og hæmmer udviklingen af cloud computing-tjenester, hvor personoplysninger krydser nationale grænser.

At der er behov for et samlet regulatorisk rammeværk for privacy og databeskyttelse i Europa, der fastsætter klare regler for ansvar og forpligtelser, har i gennem længere tid været efterlyst af især globale virksomheder. Senest har Microsofts koncernchef Steve Ballmer fremsat bemærkninger herom under en rundbordssamtale ved Government Leaders Forum, en event sponsoreret af Microsoft og som fandt sted i London 4.11. 2010.

Sidst men ikke mindst er det værd at fremhæve strategimålsætningen med hensyn til en ny udformning af logningsdirektivet som den danske logningsbekendtgørelse hviler på. Det synes nærliggende at antage at persondatabeskyttelsen vil blive styrket med hensyn til f.eks. hvor og hvordan teledata opbevares, samtidig med at der sker en større EU-harmonisering, herunder hvor længe teledata skal opbevares.

Link til pressemeddelelsen her.

OECD´s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger fylder 30 år i år


23. september 1980 blev OECD’s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) vedtaget. I den forbindelse er der 10. marts 2010, som en første af tre arrangementer til festligholdelse af jubilæet, afholdt en konference i Paris med titlen “30 år efter: konsekvenserne af OECD`s privacy retningslinjer”.

Allerede tilbage i begyndelsen af 1970´erne var man i OECD klar over, at en større og større forskel i nationale love udgjorde en risiko for den frie udveksling af oplysninger mellem landene (trans border data flow i det følgende benævnt TBDF). I 1978 gik man i gang med at udarbejde fælles retningslinjer i tæt samarbejde med Europarådet, som var ved at forberede konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Ved at sikre visse minimumsstandarder for beskyttelse af privacy og de individuelle frihedsrettigheder med hensyn til personlige data, var det håbet at mindske behovet for regulering af eksport af persondata samt minimere problemer i forbindelse med lovkonflikter.

En række internationale eksperter har givet deres bud de historiske udfordringer og de spørgsmål, der motiverede udviklingen af retningslinjerne. Af særlig interesse kan fremhæves en keynote af The Hon. Michael Kirby AC CMG, der i din tid var formand for OECD Expert Group on Transborder Data Barriers and Privacy Protection. Michael Kirby fratrådte som højesteretsdømmer i Australien i 2009, men er stadig en meget aktiv fortaler for menneskerettigheder og privacy. Han modtog tidligere i år Electronic Privacy Information Centers Privacy Champion Award som anerkendelse for sine meritter.

Michael Kirby fremhæver indledningsvis, at det var interessen for den fri udveksling af data som drivkraft for  økonomisk effektivitet og dermed for demokrati og god regeringsførelse og den fri markedsøkonomi, der i første omgang tiltrak OECD´s opmærksomhed.  OECD´s analyse var, at europæiske regeringers og institutioners bekymring for privacy ville indebære en retslig og økonomisk hindring for en fri grænseoverskridende informationsudveksling, som i høj grad blev promoveret af USA. I Europa var brud på privacy ikke blot en teoretisk fare med erfaringer under 2. verdensskrig om misbrug af persondata fra myndighedernes side stadig i 1978 i stærk erindring. På den anden side anså mange ikke-europæiske lande, at traktatvejen til beskyttelse af privacy var bureaukratisk, dyr at gennemføre, hæmmende for TBDF samt muligvis udtryk for protektionisme. Løsningen på dette dilemma blev, at man i stedet for at udarbejde en traktat, ville opstille generelle principper, som basis for national lovgivning med det håb, at disse principper vil bidrage til en reduktion af  hindringer for gennemførelsen af OECD´s formål.    

Kirby gør det klart, at det ikke har været ekspertudvalgets opgave at “opfinde den dybe tallerken igen”, men at bygge videre på tidligere bidrag af Nordisk Råd, Europarådet, EU samt akademia  og indarbejde de fra denne kontekst nye principper i en interkontinental applikation, der omfatter andre af OECD´s medlemslande, som f.eks. USA, Canada, Storbritannien, Japan, Australian og New Zealand.

Resultaterne af OECD´s retningslinjer falder ifølge Michael Kirby i 4 kategorier:

  • de bygger oven på tidligere arbejde
  • merværdi tilført af OECD, f.eks. teknologineutralitet og klar ansvarstildeling
  • fleksibel implementering
  • deres overlevelse   

Til sidst stiller Michael Kirby spørgsmålet: “hvad med fremtiden?” Skal retningslinjerne fortsat have relevans og betydning, så lægger Kirby vægt på, at man skal være realistisk. Samtidig med at man bør anerkende den objektive værdi af TBDF, skal man være bevidst om, at ” fordelene ved informationsteknologien selvfølgelig kan nå et omfang som forringer det enkelte menneskes mulighed for at kontrollere sin  egen penumbra [læs: sfære] af information.” Et spørgsmål man i relation til OECD bl.a. kan stille er: “Vil den marginale nytteværdi af at forsøge at hindre TBDF, med henblik på at beskytte privacy, opveje de marginale omkostninger ved en sådan indblanding i driften af  TBDF ?”. Det er nødvendigt at forholde sig oprigtigt til dette dilemma og diskutere det åbent, så beslutninger kan træffes i fuld åbenhed. Selvom det må erkendes, at der er visse begrænsninger i den personlige kontrol over data og privacy, så er det vigtigt ikke at opgive beskyttelsen af privacy, “som er en værdi, der dybt rodfæstet i mennesket og som påvirker dets værdighed og integritet”. Betydningen af empiri fremhæves også, fordi retningslinjerne og øvrig lovgivning og rutiner kun kan være effektive, såfremt de    baseres på en præcis og grundig forståelse af den relevante teknologis operation. Derudover er der  spørgsmål om rekonceptualisering. Hermed menes, at OECD påtager sig en rolle med at sikre, at den løbende tilgang til specielle problemer som spam, cybercrime, malware osv. er i harmoni med hinanden og være på vagt overfor en fragmenteret tilgang til hvad der dybest set er integrerede sociale og etiske problemer.  Endelig peges der på nye udfordringer i forhold til masseovervågning, biometri, RFID tags, krop scannere osv. og at privacy-fortalere hele tiden bør være på udkig efter PET-løsninger (privacy enhancing technologies). Som de sidste 3 punkter omtales værdien af det grænseoverskridende samarbejde,  nødvendigheden af slutbruger læring og uddannelse for at opretholde samfundets bevidsthed om værdien af privacy samt spørgsmålet om hvad OECD bør gøre for at inkludere repræsentative holdninger om privacy  fra verdens udviklingslande ?

Afslutningsvis roser Michael Kirby NGO`ere, offentlige institutioner, forskere og enkeltpersoner der arbejder med privacy og informationssikkerhed, fordi graden af  kontrol over den enkeltes personoplysninger i fremtiden vil afhænge af deres indsats.

Download hele talen her.

Jeg er meget enig i Michael Kirby´s synspunkter og fremtidsvurderinger både i forhold til OECD´s position og i forhold til beskyttelse af privacy i almindelighed. OECD er et magtfuldt organ og den måde man har håndteret privacy på er prisværdigt og visionært. Det er uomtvisteligt, at retningslinjerne, der med start i 2011 vil blive gået efter i sømmene i henhold til den såkaldte Seoul Declaration fra 2008, har haft og vil få stor central betydning for privacy og persondatabeskyttelse i fremtiden, forudsat at man betræder erfaringens sti og ikke mister sine  pejlemærker.  

Skal vi have en privacy-ombudsmand ?


En ombudsmand er oprindelig en svensk opfindelse, der går helt tilbage til 1810. Sidenhen er embedet i forskellige udgaver ligesom selve ordet blevet kopieret i omkring 120 lande verden over. I Danmark blev Folketingets ombudsmandsinstitution, der er en kontrolinstans i forhold til den offentlige forvaltning, oprettet i 1954 og den første ombudsmand var den navnkundige professor dr. jur. Stephan Hurwitz.

Forbrugerombudsmanden blev introduceret i 1975 og fører bl.a. tilsyn med at markedsføringsloven overholdes.

Af andre ombudsmandsinstitutioner kan fremhæves Den Europæiske Ombudsmand, der behandler klager over fejl og forsømmelser i Den Europæiske Unions institutioner og organer. Hvis man er statsborger i en af Unionens medlemsstater eller har fast bopæl i en medlemsstat, kan man indgive klage til Den Europæiske Ombudsmand. Virksomheder, foreninger og andre organer med hjemsted i Unionen kan også klage til ombudsmanden.

Konkret i relation til privacy og persondatabeskyttelse har EU i 2001 endvidere oprettet en  stilling som europæisk tilsynsførende for databeskyttelse. Den europæiske tilsynsførende for databeskyttelse skal sikre, at alle EU-institutioner og organer overholder reglerne om beskyttelse af personer i forbindelse med behandling af personoplysninger. Den europæiske tilsynsførende for databeskyttelse arbejder sammen med de databeskyttelsesansvarlige i de enkelte EU-institutioner eller organer for at sikre, at reglerne om privatlivets fred anvendes.

Ideen om at en uafhængig embedsmand, med kompetence til at undersøge klager fra almindelige borgere, kan kritisere ulovlig, unfair eller forkert myndighedsudøvelse og fremkomme med anbefalinger, er ikke ukendt i andre lande. Således har man f. eks. i det islamiske retssystem fra gammel tid kendt til de såkaldte “Diwan al Mazalim”-institutioner, hvis funktion var at undersøge klager indbragt af borgere mod embedsmænd.

Oprettelsen af ombudsmandsinstitutioner, som især tog fart i 2. halvår af 1900 skyldes tilsyneladende 2 omstændigheder. Dels et behov for retssikkerhed i forhold til en stadig stigende offentlig administration, dels udbredelsen af nye demokratier og menneskerettigheder.

Formålet med en ombudsmand er kort og godt, at fremme retssikkerheden, menneskerettigheder samt god offentlig sagsbehandling. Karakteristisk for en ombudsmand er, at embedet er personligt (eller udgøres af en gruppe personer) og at denne person er udpeget af et parlament for at understrege, at hans autoritet udspringer af folkets repræsentanter. En ombudsmand skal nyde stor respekt og integritet og derfor varetages hvervet som regel af personer med en dommer- eller juraprofessorbaggrund.

Med henblik på at varetage sin primære arbejdsopgave at beskytte rettighederne for den, der mener at være udsat for en ulovlig eller uretfærdig behandling af det offentlige, så er det vigtigt at enhver person kan kontakte ombudsmanden direkte uden formaliteter og uden omkostninger af betydning. Ombudsmanden kan også på eget initiativ tage en sag op og det skal sikres, at institutionen har vide beføjelser til at gennemføre en undersøgelse.

Ombudsmanden betragtes af mange som “den lille mands advokat”, men det er ikke helt korrekt for så vidt angår den danske ombudsmand, der foretager en klassisk domstolslignende sagsgennemgang. Stephan Hurwitz udtrykte det på den måde, at enhver sag har to parter, en klager og én der klages over, og begge parter har krav på en ordentlig og fair behandling.

Det er dog værd at fremhæve, at en af ombudsmanden udtrykt kritik og især hvordan en sag burde være håndteret, kan have stor betydning for den enkelte borger. I andre lande afgør ombudsmanden en egentlig tvist og kan her komme med et forslag til en mindelig løsning mellem borgeren og den offentlige myndighed. I disse tilfælde fungerer ombudsmanden mere som repræsentant for den enkelte borger end som uafhængig dommer. Men under alle omstændigheder er ombudsmandens afgørelse kun at betragte som en anbefaling, som den pågældende myndighed bør følge, men ikke er forpligtet til, som hvis det havde været en domsafgørelse. Værdien i ombudsmandens afgørelse hviler derfor alene på de gode argumenter og den respekt ombudsmandsinstitutionen nyder. Fordi det ofte vil være forbundet med store omkostninger og tidskrævende at anlægge en retssag, betragtes ombudsmanden som et udmærket supplerende retsligt alternativ. Erfaringen synes at vise, at en ombudsmandsinstitution bidrager til stabiliteten i samfundet.

Fra tid til anden fremkommer der forslag om at udnævne en sagsspecifik ombudsmand, f.eks. en børneombudsmand eller ældreombudsmand. Bevæggrunden er at styrke retsstillingen for samfundsgrupper, som opleves at blive overhørt af beslutningstagere og myndigheder.

Op til det seneste valg til Europa-Parlamentet i juni 2009 præsenterede det socialdemokratiske medlem, Christel Schaldemose, et forslag om at oprette en europæisk privacy ombudsmand. Ideen er udsprunget af behovet for en større privacy-beskyttelse i forbindelse med de sociale netværk, som f.eks. Facebook og som ifølge EU-parlamentsmedlemmet kræver EU-lovgivning. Et tilsvarende forslag er anbefalet af Karin Riis-Jørgensen, forkvinde for European Privacy Association, i forbindelse med It-sikkerhedskomitéens konference ”Privatliv på profilen” i november 2008.

Efter min opfattelse er betegnelsen “ombudsmand” ikke beskyttet og der eksisterer heller ikke en entydig definition af en “ombudsmand”s beføjelser og funktioner. Så vidt jeg har kunnet konstatere, findes der ikke et embede i verden med generelle kompetencer, der benævnes som privacy-ombudsmand. Dog er der flere steder indført en privacy-ombudsmand indenfor specifikke sagsområder. Således har Norsk samfunnsvitenskapelig datatjeneste en såkaldt personvernombudet for forskning, der på engelsk benævnes privacy ombudsman og som har fået uddelegeret kompetance fra det norske datatilsyn i forbindelse med spørgsmål om persondata i forskningsprojekter. I henhold til The Bankruptcy Abuse Prevention and Consumer Protection Act of 2005, kan en amerikansk domstol udmelde en såkaldt consumer privacy ombudsman i konkurssager, hvor der kan blive tale om at sælge eller udlåne personlige oplysninger.

Derudover kan det konstateres, at der eksisterer organer rundt omkring i verden, som har beføjelser og funktioner, der i større eller mindre grad udmærket kan sammenlignes med en klassisk ombudsmandsinstitution, men blot hedder noget andet. Eksempelvis har Office of the Privacy Commissioner of Canada et mandat og en mission der i store træk minder om de arbejdsopgaver der traditionelt er knyttet til  en ombudsmand med tyngde på advokat-rollen blot i relation til privacy. Der er dog den interessante forskel, at kommissionæren, der er ansat af parlamentet og rapporterer til de to folkevalgte kamre, kan anlægge sag ved de almindelige domstole i sager, som ikke er blevet løst. De enkelte canadiske provinser har hver deres egne institutioner for privacy fastsat i henhold til lov, der i det væsentligste minder om embedet for Office of the Privacy Commissioner of Canada. Dog med mindre undtagelser. Eksempelvis kan afgørelser af Office of the Information and Privacy Commissioner of Ontario, der for tiden beklædes af den højt respekterede  Ann Cavoukian, i visse tilfælde indbringes for de almindelige domstole. At kommissionæren i almindelighed kan træffe bindende afgørelser, der er inappellable, kan derfor snarere sammenlignes med de kompetencer Datatilsynet besider. I Yukon, en anden canadisk provins, har man valgt en ordning, hvorefter embederne, som både Ombudsman (der svarer til en traditionel ombudsmand) og Information & Privacy Commissioner, der er reguleret i henhold til forskellige love, varetages af én og samme person.

Henset til den førnævnte beskrivelse af ombudsmandsinstitutionen, så kan jeg udmærket godt forstå hvorfor ideen om en privacy-ombudsmand lanceres. Ombudsmanden er et stærkt brand. Men spørgsmålet er, om der reelt er brug for en europæisk eller dansk privacy-ombudsmand ?

Der er ikke nogen tvivl om at privacy som en menneskeret er under stigende pres både nationalt som globalt og at en international regulering efterlyses. Det er også uomtvisteligt, at privacy- og persondatabeskyttelsen er kompliceret at håndhæve især i forbindelse med introduktionen af flere og flere digitale tjenester og teknologier. Der er, som det er nævnt i et tidligere indlæg her på bloggen, derfor behov for en opdatering af persondatadirektivet og eventuelt anden særlovgivning både indholdsnæssigt og med hensyn til fuldbyrdelsesinstrumenter.

Ved implementeringen af persondatadirektivet er det op til hvert enkelt EU-land at organisere tilsynsmyndigheden. Nogle lande, herunder Tyskland, har ligesom Canada valgt en konstruktion med udnævnelse af en kommissær for databeskyttelse og informationsfrihed dels for hele Tyskland og dels for hver af de 16 tyske delstater, jfr. f.eks.  Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Det tyske embede er klart inspireret af den klassiske ombudsmandsinstitution, idet kommissæren er personligt udpeget af den tyske forbundsregering respektive de enkelte delstaters regeringer og valgt af henholdsvis det tyske Forbundsparlament respektive de enkelte delstaters parlamenter.

The Information Commissioner’s Office i Storbritanien, der er organiseret som en “non-departmental public body” (svarer til en dansk styrelse) under justitsministeriet, rapporterer direkte til parlamentet, og kan stort set sammenlignes med Datatilsynets opbygning, rolle og ansvar.

En fortegnelse over de nationale organer for databeskyttelse i EU, EFTA, EU-kandidatlande og visse tredjelande kan findes her.

I Danmark er Datatilsynet (indtil 2002 benævnt Registertilsynet) at betragte som en uafhængig statslig myndighed, der har til opgave at føre tilsyn med, at reglerne i persondataloven, der gennemfører EU-direktivet, overholdes. Datatilsynets opgaver består i at rådgive, vejlede samt behandle klager (også fra almindelige borgere) og foretage inspektioner hos myndigheder og virksomheder. Selvom Datatilsynet organisatorisk  henhører under Justitsministeriet, så har ministeriet ingen instruktionsbeføjelse over myndigheden. Der er således alene tale om en formel forskel i strukturen og ikke en reel forskel i substansen (persondatadirektivet) i forhold til eksempelvis den tyske ordning og det er trods alt det som man bør hæfte sig ved i hele denne her diskussion.

Funktionerne kunne således i princippet sagtens blive varetaget af en ombudsmand, men nu ligger de faktisk hos Datatilsynet og det vil derfor umiddelbart være mere hensigtsmæssigt at styrke Datatilsynets organisation på en række punkter. Som jeg andetsteds har opfordret til, så bør Datatilsynet både have tilført flere økonomiske midler og flere faglige kompetencer og det er også muligt at Datatilsynet skal have flere sagskompetencer og bedre retshåndhævelsesmidler samt en pligt til at indgå i et mere formaliseret samarbejde med relevante samarbejdspartnere.

For så vidt angår en europæisk privacy-ombudsmand, så kan en sådan kun fungere effektivt og i overensstemmelse med institutionens intention, såfremt der tilføres eksorbitante midler, men der er desuagtet alvorlig risiko for, at en fælles-europæisk institution vil drukne i bureaukrati, især henset til at lovgivningsindhold og lovgivningspraksis ikke er ens i EU. Sidstnævnte forsøger de nationale datatilsyn at koordinere via WG-29 arbejdsgruppen. Det er muligt at denne konstruktion kan forbedres, men det må afvente den revision af EU´s juridiske referenceramme om databeskyttelse, der omfatter persondatadirektivet, e-privacy direktivet samt Rådets rammeafgørelse 2008/977 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager og som tidligst forventes afsluttet primo 2011. Man kan med en vis ret hævde, at når alt kommer til alt, så er det snarere en mere effektiv EU-regulering og sikrende retsmidler baseret på nærhedsprincippet, der er brug for, end at en europæisk privacy-ombudsmand afgiver rekommandationer, der ikke kan fuldbyrdes.

En dansk privacy-ombudsmand synes heller ikke at være gangbar, fordi det ikke vil være hensigtsmæssigt endsige nødvendigt at nedlægge Datatilsynet for at opbygge en ny institution, hvor stort set kun indpakningen er forskellig, medmindre man ønsker, at embedet alene skal fremkomme med anbefalinger og ikke, som det er i dag, hvor Datatilsynets afgørelser har umiddelbar retsvirkning. Det har den konsekvens, at overtrædelse kan medføre straf- eller erstatningsansvar og at Datatilsynets  afgørelser efter persondataloven ikke kan indbringes for anden administrativ myndighed, men selvfølgelig altid kan prøves ved en domstol. Denne sagsbehandling kunne godt gøres mere smidig uden nødvendigvis at ændre på Datatilsynets retskompetence, idet en rolle som mediatoradvokat næppe vil være valid. Derimod kan argumentet om, at selve udnævnelsesproceduren har en yderligere tillidsskabende virkning, muligvis overvejes nærmere samt i forlængelse heraf eventuelt at lægge tilsynet direkte under Folktetinget, for at sikre en yderligere uafhængighed i forhold til regeringen.

Det vil ikke gøre nogen forskel, såfremt en privacy-ombudsmand skulle fungere ved siden af Datatilsynet med nye funktioner, idet det uundværligt vil føre til kompetencestridigheder. Der har i øvrigt allerede rodfæstet sig en forvaltningspraksis, hvorefter persondataspørgsmål henvises til Datatilsynet. Det gælder således også i relation til spørgsmål om f.eks. forbrugerbeskyttelse og målrettet reklame, som ellers umiddelbart kunne tænkes at høre under Forbrugerombudsmandens ressortområde.

Selvom det lyder besnærende, så skal man nøje og nøgternt overveje behovet for en ny ombudsmandsinstitution og ikke lade sig rive med af et ellers prisværdigt engagement og en øjeblikkelig omend velbegrundet stemning for at styrke en bestemt befolkningsgruppes interesser eller et specifikt rets- eller principområde. Privacy er kun en af 30 menneskerettigheder , der er fastsat i FN’s menneskerettighedserklæring og Den Europæiske Menneskerettighedskonvention. De er alle ligeværdige og staterne kan ikke vælge nogen rettigheder ud som mere beskyttelsesværdige eller respektable end andre. Et perspektiv med 30 sagsspecifikke ombudsmænd ved siden af Folketingets ombudsmand forekommer omsonst, især når der allerede findes organer, både nationalt som internationalt,  der mere eller mindre tager sig af de berørte problemstillinger.

Der synes derfor ikke efter min opfattelse at være vægtige grunde, der taler for at oprette en privacy-ombudsmandsinstitution.