Er adfærdskodeks vejen frem til beskyttelse af privatlivets fred ?


I den løbende debat om regelsættet for persondata- og privacybeskyttelsen er et af stridspunkterne, hvorvidt selvregulering i modsætning til offentlig regulering mere eller mindre kan træde i stedet for egentlig lovregulering.

Det essentielle ved selvregulering er, at den regulerende og de regulerede er en og samme organisation og at de regler der styrer organisationens adfærd er vedtaget frivilligt. Senest er spørgsmålet om detail-udmøntning ved selvregulering (eller udarbejdelse af adfærdskodeks) blevet aktuelt i forbindelse med cookie-direktivet og det danske udkast til bekendtgørelse, der træder i kraft 25. maj 2011. I sin kerne udvider bekendtgørelsen begrebet privatsfære udover hvad der følger af den gældende persondatalov. Af andre tiltag i IT-branchen i de senere år kan i øvrigt henvises til branchekodeks om håndtering af ulovlig adfærd på internettet, jfr. IT- og Telestyrelsens rapport fra september 2005 og branchekodeks fra IT-Brancheforeningen og Telekommunikationsindustrien i Danmark.

Selvregulering (sædvaner, kutymer, adfærdskodeks og uformel ret) eller decentral retsdannelse er et kendetegn for velfærdsstatens regulering i nyere tid og spiller en stor og tilsyneladende større og større rolle i forhold til Folketinget. Vi ser også denne udvikling afspejlet ved den øgede indflydelse som Menneskerettighedsdomstolen i Strasbourg og EF-domstolen i Luxemborg har opnået i de seneste årtier. Det påpeges fra flere sider, at nationalstatens rolle som ramme for og udsteder af reguleringen er under forandring og at det ikke længere kun er jurister, som vedtager hvad der skal være lov og ret i samfundet.

Man kan med rette stille det spørgsmål om brancheinitiativer til selvregulering blot er staffage for at tækkes offentligheden og undgå offentlig regulering eller om baren faktisk sættes tilstrækkelig højt og i realiteten opfylder lovgivers krav og samfundets forventninger ?

Svaret afhænger naturligvis af en konkret vurdering.

For så vidt angår “cookie-loven” er der ikke nogen tvivl om, at branchen har lobbyet EU-Kommissionen med det formål at undgå en omfattende offentlig regulering, men EU-Kommissionen har også klart og utvetydigt tilkendegivet, at såfremt branchen ikke ved selvregulering lever op til intentionerne i direktivet, så vil EU-Kommissionen ikke tøve med en efterfølgende yderligere regulering. Denne trussel vil uden tvivl medvirke til at fremme innovationer indenfor privatlivsfremmende teknologier og services.

For en selvregulering i alt fald i første omgang taler følgende:

  • høj kvalitet og innovation i de teknologiske løsninger forudsætter en viden, som branchen og ikke myndighederne ligger inde med
  • omkostninger til formidling og gennmførelse samt monitorering er mindre ved selvregulering
  • usikkerhed ved en offentlig regulerings indvirkning især på et marked, der skifter hurtigt og som ikke tidligere har været reguleret
  • Selvreguleringsarrangementer er mindre rigide og kan hurtigere tilpasses markedsændringer, ny teknologi og forbrugernes krav og ønsker

På minussiden for en selvregulering kan anføres:

  • der synes at være en stor uoverensstemmelse mellem leverandørernes og forbrugernes interesser
  • der er tale om en situation med asymmetrisk information mellem leverandør og forbruger med hensyn til de kvalitative og adækvate løsninger
  • monitorering og retshåndhævelse er mindre effektiv
  • risiko for konkurrenceforvridning

Disse negative aspekter af selvregulering kan imidlertid helt eller delvist elimineres ved, at

  • selvreguleringen skal overholde det rammeværk, som fremgår af direktivet og eventuelt supplerende administrativt fastsatte bestemmelser
  • informations- og gennemsigtighedsniveaet skal være meget højt
  • forbrugeren sikres reel indflydelse på regelsættets udformning, herunder at der etableres et forbrugerankenævn
  • de teknologiske løsninger skal understøtte regelsættets krav samt overholdelsen af disse krav (kontrol af compliance)
  • en kodeks omfatter den overvejende del af branchens udbydere

Det første punkt synes at være eller undervejs til at blive opfyldt, mens de fire andre punkter endnu for tiden er uafklaret.

Det siger sig selv at en adfærdskodeks bør baseres på de grundlæggende principper i persondataloven og virksomhedernes samfundsansvar (CSR) samt garantere et højt troværdighedsniveau og forbrugertillid. Selvreguleringens effektivitet og gennemslagskraft vil forudsætte at et af branchen nedsat permanent dialogforum og forbrugerankenævn har en bred repræsentation og at den selvregulerende mekanisme nøje tilgodeser brugernes behov samt er åben overfor alle relevante aktører.

Der findes ingen reel sikkerhed eller privatlivsbeskyttelse og dermed ingen mirakelkur. Det centrale vil altid være kontinuerligt at identificere, vurdere, begrænse og håndtere bestemte privacy-risici, jfr. definitionen af privacy-begrebet. Netop derfor vil – efter min personlige opfattelse – selve processen med inddragelse af relevante interessenter være et imperativ for “bæredygtige” løsninger, fordi den er lige så værdifuld som selve resultatet.

Der er ikke nogen grund til at skjule at der indholdsmæssigt er meget på spil for branchen i og med at de såkaldte cookies er en meget vigtig bestanddel af mediebranchens internetomsætning. Det vil nok ikke være forkert at hævde, at branchen ikke har ønsket nogen regulering overhovedet, for selve målet med en regulering er at få folk til at gøre noget andet, end de ellers ville have gjort. Efter at udkast til bekendtgørelse er offentliggjort har debatten herefter for det meste kredset omkring fortolkningen af “et informeret samtykke” og om en eller anden form for proaktiv handling fra brugerens side er nødvendig, se f.eks. Cookies og regler: Er et klik nødvendigt?. Man kan ikke betænke branchen i, at arbejde for, at status quo bevares så meget som muligt og at regelsættet bliver så lidt indgribende i branchens virke som muligt. Der er imidlertid nok ikke nogen tvivl om, at et forudgående udtrykkeligt samtykke af forbrugeren vil være en betingelse. Hvilken form dette samtykke skal have samt hvor mange gange dette samtykke skal gives og i hvor lang tid og i hvilken sammenhæng et samtykke er gældende er et andet spørgsmål, der i høj grad er betinget af tekniske og praktiske omstændigheder. Det står givetvis klart for alle, at balancegangen mellem hvad der er strengt nødvendigt for at opfylde bekendtgørelsens bestemmelser og hvad der kan lade sig gøre i praksis er “cookie-loven”s ganske særlige udfordring.

Det skal blive spændende at se, hvorledes branchen formår at leve op til sit sociale og etiske ansvar og evner at vise at den godt kan selv og ikke mindst er i stand til at sikre disciplin og selvjustits blandt de tilsluttede virksomheder til gavn for forbrugerne. Et første skridt på europæisk plan er taget med IAB Europe´s udgivelse af retningslinjer for en mærkningsordning for online-annoncører, der bl.a. bakkes op af FDIM.

Reklamer

Retten til privatlivets fred og virksomhedens samfundsansvar


opad

I 2001 anklagede en rapport fra organisationen Rights & Democracy den Canadiske telegigant Nortel Networks for at bidrage til menneskeretskrænkelser i Kina. De kinesiske politi- og sikkerhedsmyndigheder brugte teknologien til at forbedre identifikationen og undertrykkelsen af politiske dissidenter. Rapporten gav videre en oversigt over Nortel’s langvarige engagement i at udvikle overvågningsteknologier både i Canada og i udlandet. I 2005 istemte Flere menneskerettigheds organisationer kritikken og anklagede, udover Nortel Networks, USA’s højteknologiske giganter som Cisco Systems, Sun Microsystems, Google, Yahoo, og 3Com firma for at have hjulpet Kina med at opbygge og mestre den mest raffinerede overvågningsinfrastruktur i verden.
 
Google ansatte sidst i 2005 en anerkendt specialist i menneskerettigheder og erhverv som direktør med ansvar for ’Public Affairs’. Som svar på den stigende nationale censurering af Internettet lancerede internet-giganten i 2007 et nyt initiativ for at modgå denne tendens og bad Amerikanske handelsinstanser om at behandle internetrestriktioner på lige fod med andre internationale handelsbarrierer, såsom tariffer. Samtidig tog kritikken til i 2007 da en kinesisk systemkritikers viv bekendtgjorde, at hun ville sagsøge Yahoo, der har base i U.S.A. fordi virksomheden har hjulpet de kinesiske myndigheder til at få hendes mand fængslet, efter at han havde offentliggjort artikler på Internettet. Manden blev i 2003 idømt ti års fængsel på grund af de ”undergravende” artikler. Siden har også Yahoo! ansat en menneskeretsspecialist.

Med udgangspunkt i den internationale principbaserede tilgang til CSR, hvor UN Global Compact principperne udgør kernen, er der i dag ikke tvivl om at virksomheder skal vurdere, i hvilket omfang de krænker eller medvirker til krænkelse af de basale menneskerettigheder, og hvordan de bedst kan bidrage til samme.

I den uendelige krig mod terror, da den ene part aldrig vil kunne kapitulere, bliver privatlivets fred sat over styr over hele verden. Virksomheder bliver ofte brugt som leverandører eller mellemmænd i denne tendens. Særligt teknologi virksomheder må træffe deres forholdsregler, men alle virksomheder kan potentielt krænke alle rettigheder. CSR stiller således krav til enhver virksomhed, at den også sikrer, at den ikke krænker privatlivets fred. Lige fra det basale krav om at virksomheden respekterer medarbejdernes ret til privatlivets fred i relation til overvågning af medarbejdere, brug og opbevaring af personlige informationer, til en vurdering af, hvordan virksomhedens produkter og services kan krænke eller bidrage til at krænke rettigheden er nødvendig.

Først når virksomhederne har fuldt overblik over påvirkningen og opfyldelsen og menneskerettighederne kan de kalde sig samfundsansvarlige. De internationale menneskerettigheder er den nødvendige forudsætning for social bæredygtighed. Alle virksomheder påvirker retten til privatlivets fred, men kun et fåtal har undersøgt om påvirkningen er krænkende, endsige taget initiativ til at reducere deres negative indflydelse og optimere deres positive.

Sune Skadegaard Thorsen er månedens klummeskribent


pen1

Sune Skadegaard Thorsen er Dansk Privacy Netværk´s marts måneds klummeskribent.

Sune Skadegaard Thorsen driver konsulentvirksomheden Global CSR – www.global-csr.com – og er partner i Corporate Responsibility Ltd. i London. Hans virksomheder er specialiserede i Corporate Social Responsibility (CSR) og rådgiver med udgangspunkt i menneskerettighederne en række multinationale virksomheder, regeringer og organisationer. Han er ekspert rådgiver for Business Leaders Initiative on Human Rights, samt bestyrelsesformand i Institut for Menneskerettigheder, i International Commission of Jurists, Dansk Sektion, og i Fredsfonden. Han er bestyrelsesmedlem i Dansk Center for Internationale Studier og Menneskerettigheder.