EU-ekspertrapport anbefaler en grundlæggende tilgang til databeskyttelse


Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed har netop offentliggjort en ekspert-rapport der på ny understreger, at en revision af EU´s persondatadirektiv skal leve op kravene i henhold til den europæiske menneskerettighedskonvention og medlemsstaternes forfatninger. Det fremhæves i rapportens resumé, at persondatadirektivets principper, bestemmelser og kriterier er en del af de grundlæggende menneskerettigheder, og at de har bestået sin prøve, selvom de i visse henseender har et behov for at blive styrket.

Rapporten fremhæver også det i den løbende debat tidligere fremførte argument, at persondatadirektivet til trods herfor  ikke har været tilstrækkelig implementeret og håndhævet og det er den teknologiske udvikling, der er årsag hertil,omend visse nye teknologier kan medvirke til en bedre gennemførelse af direktivet.

Eksperterne mener, at databeskyttelseslovgivningen i EU derfor fortsat bør være baseret på principperne i direktivet og at implementeringen af disse bredt formulerede standarder skal præciseres, hvorimod der ikke er behov for en egentlig revision. Tværtimod udtrykker rapporten, “at direktivet reflekterer europæiske og nationale standarder for forfatnings- og menneskerettigheder, som der er et tvingende behov for at få genbekræftet”. Herefter opstilles en række anbefalinger som følger:

  • Databeskyttelsesprincipperne bør umiddelbart udstrækkes til alle områder, som før har været omfattet af de forskellige EU søjler, herunder søjle 3 aktiviteter [kriminalitetsbekæmpelse]
  • Standardindstillingerne for sociale netværkstjenester bør være privacyvenlige
  • Klarere regler for hvad der er gældende lovgivning for virksomheder inden for og uden for EU/EEA
  • Mere harmonisering baseret på fortolkninger og formulering af “best practice” af WP29 i konsultation med EU-Kommisisonen
  • Mere samarbejde med ikke-EU-lande
  •  Behov for at sikre en langt større overensstemmelse med eksisterende lovgivning ved hjælp af PIA´s, privacy audits eller privacy seals
  • Behov for at styrke individets rettigheder og retshåndhævelsesmidler (muligvis sammen med eller gennem relevante  NGO´ere) og
  • Behov for at videreudvikle supplerende og alternative foranstaltninger (og samtidig forstå indbyggede begrænsninger og praktiske restriktioner for sådanne foranstaltninger) på baggrund af realistiske og tekniske undersøgelser

Hovedbidragene til rapporten er forfattet af  Dr. Ian Brown, University College London og professor Douwe Korff, London Metropolitan University. Specielle ekspertbidrag er bl.a. professor Chris Hoofnagle, University of California og professor Peter Blume fra Københavns Universitet.  Professor Ross Anderson, University of Cambridge og privacy strategist Caspar Bowden, Microsoft har blandt andre fungeret som rådgivere.

Rapporten er et vægtigt stykke arbejde, hvis anbefalinger er i harmoni med tidligere bidrag fra andre eksperter og som efter min personlige opfattelse fuldt ud kan tiltrædes.  Rapportens perspektivering i relation til de europæiske forfatnings- og menneskerettigheder er god og væsentlig.

Af rapportens mange interessante temaer og vurderinger vil jeg alene knytte nogle yderligere kommentarer til teknologiaspektet, netop fordi rapportens forfattere fremhæver, at   spørgsmålet om datasikkerhed også hænger sammen med spørgsmålet om de såkaldte privacy enhancing technologies (privatlivsfremmende teknologier). Disse databeskyttelsesværktøjer bør klart være en lovmæssig integreret del af  defaults for opsætning af parametre til internet brug.

Rapporten fremhæver eksempelvis, at det franske datatilsyn, CNIL i lang tid har anbefalet indførelsen af privacy enhancing technologies og har et tæt samarbejde med erhvervslivet. Ifølge fransk lovgivning har CNIL nu mulighed for at fremkomme med en udtalelse om en bestemt PET-løsning overholder gældende lov og yder reel beskyttelse. På denne måde kan CNIL “blåstemple” bestemte produkter (eller tilbageholde en sådan godkendelse).

Det er en udmærket ide at overveje nedsættelsen af et særligt organ af databeskyttelsesmyndigheder i EU/EEA (European Economic Area) i tæt samarbejde med artikel 29- arbejdsgruppen og EU-Kommissionen vedrørende spørgsmål om European Privacy Seal, europæiske adfærdskodeks og de såkaldte Binding Corporate Rules (BCR). ekspertholdet har her ladet sig inspirere af den praksis der har udviklet sig i den tyske delstat Schleswig-Holstein, hvor det anerkendte Unabhängiges Landeszentrum für Datenschutz (ULD) er koordinator på EuroPriSe Project  (The European Privacy Seal). Der er endnu ikke blevet certificeret eksperter (teknisk/juridisk) fra Danmark.

Rapportens undersøgelse af de potentielle fordele og begrænsninger og konstateringen af det manglende markedsgennembrud for PETs er yderst relevant. Løsningsforslagene er et centralt punkt i rapporten. Jeg er helt enig i, at yderligere lovgivning, f.eks. et krav om notifikation og straf ved databrud [der foreløbig er på vej i EU gældende for telekommunikationsbranchen], helt sikkert vil medvirke til at gøre det økonomisk attraktivt at beskytte privacy. Ligeledes er det sund fornuft at fremme PETs i forbindelse med offentlige udbudskrav, udstedelse af privacy-certificeringer (privacy seals) samt indførelsen af en regel om, at bevisbyrden for databeskyttelse placeres hos den, der bedst er i stand til at sikre databeskyttelsen i stedet for at sende regningen videre til forbrugeren.

Desuden vil jeg gerne fremhæve, at standardiseringsarbejdet indenfor privacy forceres og udbygges. For så vidt angår en lov om notifikation ved databrud er det min personlige opfattelse, at en sådan regel skal være obligatorisk for alle ( virksomheder, organisationer og myndigheder) og at man bør vægte notifikationspligten højere end de pønale hensyn.  En kombination af nye lovkrav, selv- eller medregulering og supplerende mekanismer synes at være vejen frem.

Det står efterhånden klart, at det danske datatilsyn bør have tilført yderligere ressourcer og teknisk ekspertise til en mere aktiv rolle. I den forbindelse har jeg selv ved flere lejligheder foreslået et nærmere samarbejde mellem en række aktører og Datatilsynet, præcis som ekspertrapporten plæderer for (på linje med Rand-rapporten fra sidste år).  På dette sted giver det også mening på ny at opfordre relevante private organisationer og erhvervslivet til aktivt at arbejde for udbredelsen af diverse adfærdskodeks, som persondataloven åbner mulighed for.

Download den endelige rapport her. Som bilag til rapporten er udfærdiget 2 arbejdsdokumenter, henholdsvis  The challenges to European data protection laws and principles og  Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. Rapporten omfatter også en række landestudier, herunder af Danmark, som professor Blume har stået for.  Der findes også et sammendrag af rapporten.

Skal vi have en privacy-ombudsmand ?


En ombudsmand er oprindelig en svensk opfindelse, der går helt tilbage til 1810. Sidenhen er embedet i forskellige udgaver ligesom selve ordet blevet kopieret i omkring 120 lande verden over. I Danmark blev Folketingets ombudsmandsinstitution, der er en kontrolinstans i forhold til den offentlige forvaltning, oprettet i 1954 og den første ombudsmand var den navnkundige professor dr. jur. Stephan Hurwitz.

Forbrugerombudsmanden blev introduceret i 1975 og fører bl.a. tilsyn med at markedsføringsloven overholdes.

Af andre ombudsmandsinstitutioner kan fremhæves Den Europæiske Ombudsmand, der behandler klager over fejl og forsømmelser i Den Europæiske Unions institutioner og organer. Hvis man er statsborger i en af Unionens medlemsstater eller har fast bopæl i en medlemsstat, kan man indgive klage til Den Europæiske Ombudsmand. Virksomheder, foreninger og andre organer med hjemsted i Unionen kan også klage til ombudsmanden.

Konkret i relation til privacy og persondatabeskyttelse har EU i 2001 endvidere oprettet en  stilling som europæisk tilsynsførende for databeskyttelse. Den europæiske tilsynsførende for databeskyttelse skal sikre, at alle EU-institutioner og organer overholder reglerne om beskyttelse af personer i forbindelse med behandling af personoplysninger. Den europæiske tilsynsførende for databeskyttelse arbejder sammen med de databeskyttelsesansvarlige i de enkelte EU-institutioner eller organer for at sikre, at reglerne om privatlivets fred anvendes.

Ideen om at en uafhængig embedsmand, med kompetence til at undersøge klager fra almindelige borgere, kan kritisere ulovlig, unfair eller forkert myndighedsudøvelse og fremkomme med anbefalinger, er ikke ukendt i andre lande. Således har man f. eks. i det islamiske retssystem fra gammel tid kendt til de såkaldte “Diwan al Mazalim”-institutioner, hvis funktion var at undersøge klager indbragt af borgere mod embedsmænd.

Oprettelsen af ombudsmandsinstitutioner, som især tog fart i 2. halvår af 1900 skyldes tilsyneladende 2 omstændigheder. Dels et behov for retssikkerhed i forhold til en stadig stigende offentlig administration, dels udbredelsen af nye demokratier og menneskerettigheder.

Formålet med en ombudsmand er kort og godt, at fremme retssikkerheden, menneskerettigheder samt god offentlig sagsbehandling. Karakteristisk for en ombudsmand er, at embedet er personligt (eller udgøres af en gruppe personer) og at denne person er udpeget af et parlament for at understrege, at hans autoritet udspringer af folkets repræsentanter. En ombudsmand skal nyde stor respekt og integritet og derfor varetages hvervet som regel af personer med en dommer- eller juraprofessorbaggrund.

Med henblik på at varetage sin primære arbejdsopgave at beskytte rettighederne for den, der mener at være udsat for en ulovlig eller uretfærdig behandling af det offentlige, så er det vigtigt at enhver person kan kontakte ombudsmanden direkte uden formaliteter og uden omkostninger af betydning. Ombudsmanden kan også på eget initiativ tage en sag op og det skal sikres, at institutionen har vide beføjelser til at gennemføre en undersøgelse.

Ombudsmanden betragtes af mange som “den lille mands advokat”, men det er ikke helt korrekt for så vidt angår den danske ombudsmand, der foretager en klassisk domstolslignende sagsgennemgang. Stephan Hurwitz udtrykte det på den måde, at enhver sag har to parter, en klager og én der klages over, og begge parter har krav på en ordentlig og fair behandling.

Det er dog værd at fremhæve, at en af ombudsmanden udtrykt kritik og især hvordan en sag burde være håndteret, kan have stor betydning for den enkelte borger. I andre lande afgør ombudsmanden en egentlig tvist og kan her komme med et forslag til en mindelig løsning mellem borgeren og den offentlige myndighed. I disse tilfælde fungerer ombudsmanden mere som repræsentant for den enkelte borger end som uafhængig dommer. Men under alle omstændigheder er ombudsmandens afgørelse kun at betragte som en anbefaling, som den pågældende myndighed bør følge, men ikke er forpligtet til, som hvis det havde været en domsafgørelse. Værdien i ombudsmandens afgørelse hviler derfor alene på de gode argumenter og den respekt ombudsmandsinstitutionen nyder. Fordi det ofte vil være forbundet med store omkostninger og tidskrævende at anlægge en retssag, betragtes ombudsmanden som et udmærket supplerende retsligt alternativ. Erfaringen synes at vise, at en ombudsmandsinstitution bidrager til stabiliteten i samfundet.

Fra tid til anden fremkommer der forslag om at udnævne en sagsspecifik ombudsmand, f.eks. en børneombudsmand eller ældreombudsmand. Bevæggrunden er at styrke retsstillingen for samfundsgrupper, som opleves at blive overhørt af beslutningstagere og myndigheder.

Op til det seneste valg til Europa-Parlamentet i juni 2009 præsenterede det socialdemokratiske medlem, Christel Schaldemose, et forslag om at oprette en europæisk privacy ombudsmand. Ideen er udsprunget af behovet for en større privacy-beskyttelse i forbindelse med de sociale netværk, som f.eks. Facebook og som ifølge EU-parlamentsmedlemmet kræver EU-lovgivning. Et tilsvarende forslag er anbefalet af Karin Riis-Jørgensen, forkvinde for European Privacy Association, i forbindelse med It-sikkerhedskomitéens konference ”Privatliv på profilen” i november 2008.

Efter min opfattelse er betegnelsen “ombudsmand” ikke beskyttet og der eksisterer heller ikke en entydig definition af en “ombudsmand”s beføjelser og funktioner. Så vidt jeg har kunnet konstatere, findes der ikke et embede i verden med generelle kompetencer, der benævnes som privacy-ombudsmand. Dog er der flere steder indført en privacy-ombudsmand indenfor specifikke sagsområder. Således har Norsk samfunnsvitenskapelig datatjeneste en såkaldt personvernombudet for forskning, der på engelsk benævnes privacy ombudsman og som har fået uddelegeret kompetance fra det norske datatilsyn i forbindelse med spørgsmål om persondata i forskningsprojekter. I henhold til The Bankruptcy Abuse Prevention and Consumer Protection Act of 2005, kan en amerikansk domstol udmelde en såkaldt consumer privacy ombudsman i konkurssager, hvor der kan blive tale om at sælge eller udlåne personlige oplysninger.

Derudover kan det konstateres, at der eksisterer organer rundt omkring i verden, som har beføjelser og funktioner, der i større eller mindre grad udmærket kan sammenlignes med en klassisk ombudsmandsinstitution, men blot hedder noget andet. Eksempelvis har Office of the Privacy Commissioner of Canada et mandat og en mission der i store træk minder om de arbejdsopgaver der traditionelt er knyttet til  en ombudsmand med tyngde på advokat-rollen blot i relation til privacy. Der er dog den interessante forskel, at kommissionæren, der er ansat af parlamentet og rapporterer til de to folkevalgte kamre, kan anlægge sag ved de almindelige domstole i sager, som ikke er blevet løst. De enkelte canadiske provinser har hver deres egne institutioner for privacy fastsat i henhold til lov, der i det væsentligste minder om embedet for Office of the Privacy Commissioner of Canada. Dog med mindre undtagelser. Eksempelvis kan afgørelser af Office of the Information and Privacy Commissioner of Ontario, der for tiden beklædes af den højt respekterede  Ann Cavoukian, i visse tilfælde indbringes for de almindelige domstole. At kommissionæren i almindelighed kan træffe bindende afgørelser, der er inappellable, kan derfor snarere sammenlignes med de kompetencer Datatilsynet besider. I Yukon, en anden canadisk provins, har man valgt en ordning, hvorefter embederne, som både Ombudsman (der svarer til en traditionel ombudsmand) og Information & Privacy Commissioner, der er reguleret i henhold til forskellige love, varetages af én og samme person.

Henset til den førnævnte beskrivelse af ombudsmandsinstitutionen, så kan jeg udmærket godt forstå hvorfor ideen om en privacy-ombudsmand lanceres. Ombudsmanden er et stærkt brand. Men spørgsmålet er, om der reelt er brug for en europæisk eller dansk privacy-ombudsmand ?

Der er ikke nogen tvivl om at privacy som en menneskeret er under stigende pres både nationalt som globalt og at en international regulering efterlyses. Det er også uomtvisteligt, at privacy- og persondatabeskyttelsen er kompliceret at håndhæve især i forbindelse med introduktionen af flere og flere digitale tjenester og teknologier. Der er, som det er nævnt i et tidligere indlæg her på bloggen, derfor behov for en opdatering af persondatadirektivet og eventuelt anden særlovgivning både indholdsnæssigt og med hensyn til fuldbyrdelsesinstrumenter.

Ved implementeringen af persondatadirektivet er det op til hvert enkelt EU-land at organisere tilsynsmyndigheden. Nogle lande, herunder Tyskland, har ligesom Canada valgt en konstruktion med udnævnelse af en kommissær for databeskyttelse og informationsfrihed dels for hele Tyskland og dels for hver af de 16 tyske delstater, jfr. f.eks.  Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Det tyske embede er klart inspireret af den klassiske ombudsmandsinstitution, idet kommissæren er personligt udpeget af den tyske forbundsregering respektive de enkelte delstaters regeringer og valgt af henholdsvis det tyske Forbundsparlament respektive de enkelte delstaters parlamenter.

The Information Commissioner’s Office i Storbritanien, der er organiseret som en “non-departmental public body” (svarer til en dansk styrelse) under justitsministeriet, rapporterer direkte til parlamentet, og kan stort set sammenlignes med Datatilsynets opbygning, rolle og ansvar.

En fortegnelse over de nationale organer for databeskyttelse i EU, EFTA, EU-kandidatlande og visse tredjelande kan findes her.

I Danmark er Datatilsynet (indtil 2002 benævnt Registertilsynet) at betragte som en uafhængig statslig myndighed, der har til opgave at føre tilsyn med, at reglerne i persondataloven, der gennemfører EU-direktivet, overholdes. Datatilsynets opgaver består i at rådgive, vejlede samt behandle klager (også fra almindelige borgere) og foretage inspektioner hos myndigheder og virksomheder. Selvom Datatilsynet organisatorisk  henhører under Justitsministeriet, så har ministeriet ingen instruktionsbeføjelse over myndigheden. Der er således alene tale om en formel forskel i strukturen og ikke en reel forskel i substansen (persondatadirektivet) i forhold til eksempelvis den tyske ordning og det er trods alt det som man bør hæfte sig ved i hele denne her diskussion.

Funktionerne kunne således i princippet sagtens blive varetaget af en ombudsmand, men nu ligger de faktisk hos Datatilsynet og det vil derfor umiddelbart være mere hensigtsmæssigt at styrke Datatilsynets organisation på en række punkter. Som jeg andetsteds har opfordret til, så bør Datatilsynet både have tilført flere økonomiske midler og flere faglige kompetencer og det er også muligt at Datatilsynet skal have flere sagskompetencer og bedre retshåndhævelsesmidler samt en pligt til at indgå i et mere formaliseret samarbejde med relevante samarbejdspartnere.

For så vidt angår en europæisk privacy-ombudsmand, så kan en sådan kun fungere effektivt og i overensstemmelse med institutionens intention, såfremt der tilføres eksorbitante midler, men der er desuagtet alvorlig risiko for, at en fælles-europæisk institution vil drukne i bureaukrati, især henset til at lovgivningsindhold og lovgivningspraksis ikke er ens i EU. Sidstnævnte forsøger de nationale datatilsyn at koordinere via WG-29 arbejdsgruppen. Det er muligt at denne konstruktion kan forbedres, men det må afvente den revision af EU´s juridiske referenceramme om databeskyttelse, der omfatter persondatadirektivet, e-privacy direktivet samt Rådets rammeafgørelse 2008/977 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager og som tidligst forventes afsluttet primo 2011. Man kan med en vis ret hævde, at når alt kommer til alt, så er det snarere en mere effektiv EU-regulering og sikrende retsmidler baseret på nærhedsprincippet, der er brug for, end at en europæisk privacy-ombudsmand afgiver rekommandationer, der ikke kan fuldbyrdes.

En dansk privacy-ombudsmand synes heller ikke at være gangbar, fordi det ikke vil være hensigtsmæssigt endsige nødvendigt at nedlægge Datatilsynet for at opbygge en ny institution, hvor stort set kun indpakningen er forskellig, medmindre man ønsker, at embedet alene skal fremkomme med anbefalinger og ikke, som det er i dag, hvor Datatilsynets afgørelser har umiddelbar retsvirkning. Det har den konsekvens, at overtrædelse kan medføre straf- eller erstatningsansvar og at Datatilsynets  afgørelser efter persondataloven ikke kan indbringes for anden administrativ myndighed, men selvfølgelig altid kan prøves ved en domstol. Denne sagsbehandling kunne godt gøres mere smidig uden nødvendigvis at ændre på Datatilsynets retskompetence, idet en rolle som mediatoradvokat næppe vil være valid. Derimod kan argumentet om, at selve udnævnelsesproceduren har en yderligere tillidsskabende virkning, muligvis overvejes nærmere samt i forlængelse heraf eventuelt at lægge tilsynet direkte under Folktetinget, for at sikre en yderligere uafhængighed i forhold til regeringen.

Det vil ikke gøre nogen forskel, såfremt en privacy-ombudsmand skulle fungere ved siden af Datatilsynet med nye funktioner, idet det uundværligt vil føre til kompetencestridigheder. Der har i øvrigt allerede rodfæstet sig en forvaltningspraksis, hvorefter persondataspørgsmål henvises til Datatilsynet. Det gælder således også i relation til spørgsmål om f.eks. forbrugerbeskyttelse og målrettet reklame, som ellers umiddelbart kunne tænkes at høre under Forbrugerombudsmandens ressortområde.

Selvom det lyder besnærende, så skal man nøje og nøgternt overveje behovet for en ny ombudsmandsinstitution og ikke lade sig rive med af et ellers prisværdigt engagement og en øjeblikkelig omend velbegrundet stemning for at styrke en bestemt befolkningsgruppes interesser eller et specifikt rets- eller principområde. Privacy er kun en af 30 menneskerettigheder , der er fastsat i FN’s menneskerettighedserklæring og Den Europæiske Menneskerettighedskonvention. De er alle ligeværdige og staterne kan ikke vælge nogen rettigheder ud som mere beskyttelsesværdige eller respektable end andre. Et perspektiv med 30 sagsspecifikke ombudsmænd ved siden af Folketingets ombudsmand forekommer omsonst, især når der allerede findes organer, både nationalt som internationalt,  der mere eller mindre tager sig af de berørte problemstillinger.

Der synes derfor ikke efter min opfattelse at være vægtige grunde, der taler for at oprette en privacy-ombudsmandsinstitution.

Artikel 29-arbejdsgruppen har offentliggjort arbejdsprogrammet for 2010-2011


EU´s artikel 29-arbejdsgruppe vedrørende databeskyttelse og privacy har netop offentliggjort sit arbejdsprogram for 2010 og 2011.

Arbejdsgruppen er nedsat i henhold til artikel 29 i  direktiv 95/46/EF (EU´s databeskyttelsesdirektiv). Det er et uafhængigt EU-rådgivningsorgan for databeskyttelse og privacy og består af de 27 EU-landes respektive datatilsyn samt Den Europæiske Tilsynsførende for Databeskyttelse. Dets opgave er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF.

De strategiske temaer, som arbejdsgruppen vil fokusere på er:

  1. implementering af databeskyttelsesdirektivet og arbejde for et fremtidigt overordnet juridisk rammeværk jfr.  artikel 29-arbejdsgruppens redegørelse om “The Future of Privacy”
  2. globalisering
  3. teknologisk udvikling
  4. styrke effektiviteten af WP 29 og de nationale datatilsynsmyndigheder med hensyn til efterforskning og retshåndhævelse, herunder harmonisering af tilsynsmyndighedernes beføjelser og samarbejde
  5. aktuelle emner

– hvorefter artikel 29-arbejdsgruppen især vil arbejde med:

  • fortolkning –
  • implementering af det reviderede databeskyttelsesdirektiv
  • overveje Lissabon-traktatens indvirkning
  • Binding Corporate Rules (BCR),  Safe Harbor ordningen, tilstrækkeligheden af tredjelandes regimer
  • internationalt standardiseringsarbejde, f.eks. ISO, Madrid deklarationen, gennem-gang af OECD´s guidelines
  • cloud computing
  • profilering og annoncering baseret på forbrugeradfærdsbestemte data
  • søgemaskiner og “retten til at være alene”
  • sociale netværkssider
  • privacy konsekvensanalyser af RFID
  • finansielle anliggender
  • rejsendes personlige data
  • opdatere WP80 on biometrics
  • mulig opdatering af WP73 on eGovernment and ID management

Arbejdsprogrammet fokuserer på yderst aktuelle og relevante emner. Med henblik på at fastholde og meget gerne styrke en hensigtsmæssig forskning og udvikling samt en lødig debat bør WP29’s prioriteringer for de næste 2 år også få afsmittende indvirkning på danske indsatsområder om privacy og databeskyttelse.

Et vigtigt skridt er taget på vejen mod en international aftale om databeskyttelse


globalaftale

Det rykker for privacy- og databeskyttelsen for tiden.

På den netop afsluttede  31th International Conference for Data Protection and Privacy Commissioners, der blev afholdt 3-5 november i Madrid og med deltagelse af mere end 100 repræsentanter for statslige datatilsyn og de såkaldte data-kommissærer fra mere end 50 lande samt en lang række virksomheder som f.eks. Google og Facebook , er der indgået en international aftale til bedre beskyttelse af personoplysninger og privacy.

International Standards on the Protection of Personal Data and Privacy fastslår som et princip, at databehandling kun er tilladt inden for og på tværs af landegrænser efter akcept af “datasubjektet” (personen hvis data det drejer sig om).  Det er på engelsk formuleret som “free, unambiguous and informed consent” og kan på dansk oversættes til: et klart, utvetydigt og formuleret samtykke.

Det fastlås også, at databehandlingen bør kun være i drift så længe det er nødvendigt til opfyldelse af det specifikke formål data er indsamlet samt, at databehandlingen kun bør ske på tværs af internationale grænser, såfremt den pågældende  jurisdiktion som et minimum opfylder minimumskravet til databeskyttelse i henhold til aftalen.

Aftalen som den foreligger er ganske vist ikke bindende, men det er underskrivernes hensigt at gennemføre en international bindende aftale sandsynligvis via FN og det forventes at det aktuelle dokument vil være vejledende for det endelige udkast.

Det er ikke tilfældigt at en sådan aftale presser sig på nu samtidig med at nye forretningsmodeller som f.eks. cloud computing bliver kraftigt markedsført. Hertil kommer den øgede interesse for sociale netværk blandt både personer og virksomheder, brug af søgemaskiner, internet handel osv.

Sidst der blev lavet en international aftale om overførsel og beskyttelse af data var i forbindelse med udfærdigelsen af de såkaldte Safe Harbour principper mellem EU og USA. Men med en globaliseret økonomi kan en bilateral aftale mellem EU og USA ikke stå alene og virksomhederne har efterhånden erkendt at data ikke bare kan være frit tilgængelig og at forbrugeren ikke  blot skal affinde sig med, at virksomheden  vil tage sig af sikkerheden. 

Især Google og Facebook er kommet under et stort internationalt pres for at ændre deres databrug og praksis. Således er Facebook for nylig gået med til globalt at ændre behandlingen af personoplysninger i forbindelse med en klage fra den canadiske privacy kommissær. Google har ligeledes flere gange revideret sin egen praksis for håndtering og opbevaring af personoplysninger i forbindelse med klager fra Europa-Kommissionen.

Virksomheder som bl.a. Microsoft, Google, Facebook har været ret aktive i Madrid, fordi de ser en interesse i at have en klar aftale om datamanagement og dataoverførsel, eftersom det giver et stabilt marked på lige konkurrencevilkår. Man har indset, at enslydende restriktioner med et klart præciseret ansvar i en lang række vigtige markeder, både kommercielt så vel som økonomisk er at foretrække, frem for færre påbud og større usikkerhed.  

Netop opbakningen blandt de globale operatører samt datamyndigheder fra en lang række lande med en hidtidig uset aktiv medvirken af NGO´ere og privacyfortalere giver aftalen, der lægger sig tæt op ad EU´s databeskyttelsesdirektiv,  gennemslagskraft til trods for at den ikke er juridisk bindende. Der arbejdes nu videre med aftalen i en arbejdsgruppe med det sigte at opnå en international bindende aftale.

Kilde til nyheden kan hentes her.

Aftalen giver ny mening til den i 2001 lancerede vision om “One World, One Privacy” og befordrer den af Ontario privacy kommissær Ann Cavoukian i 2005 introducerede Global Privacy Standard. Tendensen for at arbejde for et ensartet regelsæt er ligeledes for ganske nylig kommet til udtryk i to forslag til en føderal privacy lov i USA til erstatning for det kludetæppe af  delstatslovgivninger, som volder virksomhederne et stort besvær.

Den større internationale forståelse vil uden tvivl gøde jorden for mere ensrettet international retsregulering og standardisering for privacy og databeskyttelse og EU vil uden tvivl komme til at spille en væsentlig rolle i dette arbejde. En vigtig forudsætning vil være, at den forestående opdatering af EU´s nuværende rammedirektiv om databeskyttelse, som for tiden er i offentlig konsultation, vil være i stand til at tage højde for det næste årtis samfundsmæssige udfordringer og teknologiske udvikling.

I den sammenhæng vil det uden tvivl være nødvendigt med en langt større forståelse for privacy (og i og for sig for alle menneskerettighederne) som allerede bør starte i skolen. Samtidig bør der lanceres obligatoriske kursusforløb i privacy og databehandling for medarbejdere i private og offentlige virksomheder ligesom der bør introduceres en relevant bachelor- eller diplomuddannelse. Disse initiativer kunne Danmark sagtens stå i spidsen for.

Offentlig konsultation om EU-datadirektivet


mennnesker

Art. 29-gruppen (repræsentanter fra datatilsynene i EU) har lanceret en offentlig Consultation on the legal framework for the fundamental right to protection of personal data, hvor alle kan bidrage – dvs. privatpersoner, organisationer og offentlige myndigheder.

Persondataloven fra 2000 er baseret på EU´s datadirektiv fra 1995, som det er på tale at opdatere, især på baggrund af de indførte ”terror-love” efter 11.9. 2001, men også i lyset af den teknologiske udvikling og udbredelsen af online sociale netværk som f.eks. Facebook.

Til belysning af temaet henvises til den nyligt offentliggjort Rand Europe rapport ”Review of the European Data Protection Directive”, som kommer med en lang række anbefalinger på hvordan man kan forbedre databeskyttelsesregimet for borgere i de europæiske lande. Tjek:
https://danskprivacynet.files.wordpress.com/2009/05/review_of_eu_dp_directive.pdf.
Rapporten er bl.a. omtalt her: https://danskprivacynet.wordpress.com/2009/05/19/eu%c2%b4s-databeskyttelsesdirektiv-b%c3%b8r-updates/

Dansk Privacy Netværk opfordrer alle til at bidrage og netværket vil også gerne medvirke til at lave en fælles dansk og meget gerne fælles europæisk udtalelse. WG29 vil uden tvivl lægge vægt på en udtalelse, som bakkes op af en bred vifte af interesseorganisationer, offentlige myndigheder, politikere, opinionsdannere og enkeltpersoner.

Et koordinerende setup vil blive lanceret så snart som muligt. I mellemtiden er alle velkommen til at rette direkte henvendelse til Dansk Privacy Netværk  eller sende en kommentar.

Frist til aflevering af bidrag er 31.12. 2009.

Betænkning afgivet af det franske senat anbefaler en styrkelse af privacy


franskflag

Det franske Senats retsudvalg har d. 27. maj 2009 udgivet en betænkning med titlen ‘La vie privée à l’heure des mémoires numériques’ (ret til privacy i en digital tidsalder).

Betænkningen indleder med at fastslå, at privacy er et af det moderne samfunds grundlæggende værdier og omfatter både et menneskes ret til intimitet og autonomi.

Betænkningen påpeger, at fremkomsten af nye teknologier som GPS, Bluetooth, RFID, nanoteknologi mv. giver mulighed for at spore personer over tid og rum. Endvidere fremhæves den ubegrænsede kapacitet til datalagring og  ‘den nye digitale hukommelse ‘ herunder opbygning af databaser om specifikke forbrugsmønstre (consumer behavioral targeting).  Herudover understreges det også at der blandt den unge generation er en sociologisk trend for ”eksponering og selvregulering” og en mindre opmærksomhed på de risici som blogs og sociale netværk udgør for ens privacy.

Betænkningen understreger også, at Europa og USA har en forskellig tilgang til beskyttelse af personoplysninger, hvilket bl.a .er kommet til udtryk i striden om, hvorlænge visse søgemaskiner bør opbevare indsamlede persondata. Derfor anbefales det også at arbejde for internationale standarder, som dog forudses at blive vanskelig, fordi hensynet til beskyttelse af privacy, herunder retten til at få slettet persondata og retten til anonymisering af dataforbindelsen konflikter med beskyttelsen af ophavsret, edb-programmer, databaser og intellektuel ejendomsret.

Også set i lyset af 11. September 2001, som har medført en øget tolerance for overvågning og kontrol, er der ifølge betænkningen behov for en ny balance mellem sikkerhed og frihed, hvilket alt i alt stiller nye krav til privacy.

For at sikre privacy i nutidens digitale tidsalder og styrke offentlighedens tillid til informationssamfundet har en nedsat arbejdsgruppe formuleret 15 rekommmendationer, hvoraf de væsentligste er:

  • Styrke kendskabet  til privacy og beskyttelse af personoplysninger i skoleforløbet
  • At iværksætte en informationskampagne med henblik på at øge bevidstheden om privacy og databeskyttelse på internettet samt informere om den enkelte borgers rettigheder

Med henblik på at styrke kapaciteten og legitimiteten af CNIL (det franske datatilsyn) :

  • Opkræve et gebyr af større offentlige og private organisationer, der beskæftiger sig med persondata
  • At oprette regionale enheder under CNIL
  • Styrke CNIL´s ekspertise og kontrol
  • At gøre det obligatorisk for alle offentlige og private organisationer, at udpege en databeskyttelsesansvarlig person (correspondant informatique et libertés)

Med hensyn til yderligere lovgivning:

  • Støtte udvikling med henblik på at definere internationale standarder for beskyttelse af personoplysninger
  • At bekræfte, at IP-adressen anses som en personoplysning
  • At indføre et minimum for databrudsnotifikation
  • Privacy skal indskrives i forfatningen

Anbefalingerne, hvoraf flere fremgår af CNIL´s årlige rapport fra 13. Maj 2009, demonstrerer det franske senats og CNIL´s vilje til at styrke retten til privacy både nationalt og internationalt og tage hånd om de aktuelle privacy udfordringer. Borgerens bekymring for brud på privacy tages alvorligt og det anerkendes faktisk, at security og privacy ikke er hinandens modsætninger, men derimod hinandens forudsætninger for et trygt samfund.  Betænkningen er visionær. Anbefalingerne ligger desuden på linje med flere af de forslag, som den nyligt offentliggjorte rapport fra Rand Europe, har fremført.

Det er især interessant at fremhæve anbefalingen om at fastslå ved lov, at IP adressen, som identificerer en computer, er at betragte som persondata. En sådan bestemmelse vil få betydning for hvorledes søgemaskiner lagrer data og det er da også grunden til, at bla. Google stritter imod, idet de gør gældende, at IP adressen alene lokaliserer en computer og ikke hvem personen er. Artikel 29 arbejdsgruppen har iøvrigt fremkommet med en tilsvarende anbefaling i 2008.

Der er også grund til at hæfte sig ved anbefalingen om, at  indføre en pligt til at udpege en dataansvarlig person (i udlandet også benævnt Data Protection Officer)  for både offentlige og private organisationer med minimum 50 ansatte. Det er en ide, som jeg selv ved en tidligere lejlighed har anbefalet, at indføre i Danmark. Også  forslaget om at indskrive privacy i den franske forfatning, er principiel sympatisk.

Betænkningen gør det endnu mere påkrævet, at der fra dansk side formuleres en decideret privacy policy baseret på lignende anbefalinger, således at vi ikke kun kommer på omgangshøjde med de øvrige EU lande og EU, men meget gerne lægger os i førerfeltet.    

Den omfattende betænkning, som er på fransk, kan downloades her.

EU konference sætter fokus på databeskyttelse


eulogo

Den 19-20 maj 2009 organiserede EU Kommissionen en konferecne med titlen “Personal data – more use, more protection?” for at se på nye udfordringer for privacy.

Hvordan bør persondata beskyttes i en globalioseret verden med stigende mobilitet og i kølvandet på moderne kommunikation, informationsteknologier og ny policies ? Hvilke data har myndigheder og private virksomheder adgang til ? Hvor godt er det nuværende regelsæt med hensyn til international dataoverførsel i en tid med “cloud computing” ? Hvad er borgerens, virksomhedernes og samfundets forventninger.

Det er nogle af de temaer som konferencen har sat under lup. En lang række førende eksperter har deltaget med indlæg på konferencen, som er en del af EU Kommissionens åbne rådslagning om hvordan den fundamentale ret til beskyttelse af personlige informationer kan udvikles yderligere og beskyttes effektivt, især indenfor området for retfærdighed, frihed og sikkerhed. 

Konferencen blev åbnet af Jacques Barrot, vicepræsident for EU Kommissionen og kommissær for retfærdighed, frihed og sikkerhed. Barrot understregede, at hans ansvarsområde er at forene formålet at bekæmpe terror og sikre databeskyhttelse. Han påpegede også fordelene ved ny teknologi til bekæmpelse af vold og terror, men også teknologiernes potentielle risici. Dette tilsyneladende paradoks må løses ved at finde den rette balance for beskyttelse af borgerens sikkerhed og privacy og hensynet til udveksling af fri information med en hensigtsmæssig lovramme.

Der er behov for bl.a. at skabe større opmærksomhed om beskyttelse af privacy samt løbende at evaluere policy-reglerne.  

Alex Türk, formand  for artikel 29 arbejdsgruppen samt formand for det franske datatilsyn (CNIL) fastslog, at EU´s datadirektiv stadig er et godt instrument, som man bør blive ved med at implementere her og nu, f.eks. i forbindelse med udmyntning af fastlæggelse best practice og udarbejdelse af adfærdskodeks (code of conduct).

Endvidere pointerere Alex Türk, at internationale standarder bør suppplere end helt erstatte datadirektivet.

En anden indlægsholder, Jacob Kohnstamm, formand for det hollandske datatilsyn omtalte en undersøgelse, som viste, at de borgere som kunne tilslutte sig udsagnet om, at de intet har at skjule, alligevel blev overrasket over en lemfældig databehandling. De udspurgte synes at akceptere det uungåelige. En holdning der bygger på resignation snarere en tillid er farlig for samfundet, udtalte Kohnstamm. 

Jacob Kohnstamm sagde også i sin tale, at det at kunne udøve sine rettigheder for at kunne korrigere og/eller slette fejldispositioner, forudsætter gennemsigtighed. Det er også vigtigt med en let klageadgang og en bedre retshåndhævelse ikke alene i forhold til den enkelte borger, men for samfundet som sådan. Datatilsyn bør agere ex ante og ikke ex post.

Ovennævnte korte referater er udvalgt helt tilfældigt. De mange ekspertindlæg giver et ganske glimrende øjebliksbillede af databeskyttelsen i Europa set ud fra forskellige perspektiver. Konferencen, der må anses som årets største begivenhed om databeskyttelse, er opdelt i 3 sessioner med titler fra kendte ABBA sange:

“Knowing you, knowing me” – New Purposes, New challenges
“Does your Mother know” – No, but could she?
“Take a chance on Me” – Towards a New Data Protection Culture in Europe?  

 Hele programmet kan downloades her. Indlæg i PPT og PDF format kan downloades her. Klik her for et webcast af hele konferencen.

EU´s databeskyttelsesdirektiv bør opdateres


randlogo eulogo

The Rand Corporation, en uafhængig privat non profit organisation, har for nylig med The Information Commissioner’s Office (det engelske datatilsyn) som sponsor udarbejdet en rapport med titlen ”Review of the European Data Protection Directive”.

Der gøres opmærksom på i indledningen , at rapporten ikke nødvendigvis reflekterer The Information Commissioner’s Office holdninger. The Information Commissioner’s Office har spurgt et tværfagligt internationalt forsknings team, heriblandt repræsentanter for EU Kommissionen, under ledelse af Rand Europe om, at gennemgå styrker og svagheder ved EU´s databeskyttelsesdirektiv 95/46/EC (herefter benævnt ”direktivet”) og foreslå veje til forbedringer.

Direktivet kan betragtes som et unikt lovbestemt instrument til at understøtte udøvelsen af retten til privacy og regler for persondatabeskyttelse. Dets principper bliver mange steder anset som gyldne regler eller som en reference model for persondatabeskyttelse i Europa og andre dele af verden.

Selvom direktivets fleksibilitet hjælper med til at det kan være up to date, så bliver direktivets effektivitet undermineret af kompleksiteten af de kulturelle og nationale forskelle, som den skal omfatte. I de 13 år siden direktivet har været i kraft, er der sket dramatiske ændringer i verden i den måde persondata er tilgængelige, behandles og anvendes. På samme tid er offentligheden i høj grad blevet opmærksom på potentialet for at deres persondata kan blive misbrugt.

Rapporten konkluderer helt overordnet, at eftersom vi bevæger os hen imod et globalt internet samfund, vil direktivet, som det ser ud i dag, ikke være tilstrækkelig i længden. Mens direktivets vidt anerkendte principper vil forblive som et nyttigt front-end, bør de understøttes af en skadebaseret back-end for at kunne hamle op med de internationale datastrømme og globaliseringsudfordringen. Det er dog også almindelig anerkendt, at de nuværende ordninger stadig har nytteværdi. En hel del kan opnås ved en bedre implementering af de nuværende regler, for eksempel ved at skabe enighed om fortolkningen af en række centrale begreber og ved at ændre vægtningen i forbindelse med fortolkningen af andre.

Som det fremgår af rapporten, anses det for den værste løsning (for de fleste eksperter) at opgive direktivet i sin nuværende form, eftersom den har tjent og fortsat tjener som et incitament til at tage databeskyttelse alvorligt. Individets privacy påvirkes af en række overlappende drivers, herunder behovet for at behandle personlig information af sociale og økonomiske grunde, teknologisk udvikling og trends som internettets popularitet og globalisering. Udbredelsen af e-commerce og e-government er centreret på personlige oplysninger. Personer er ofte villige til eller kan overtales til at videregive persondata i forventning om at modtage økonomiske eller sociale fordele. Offentlige og private organisationer er glade for at give disse fordele, men for at kunne gøre det, skal de have tilladelse til lovligt at indsamle, overføre og behandle informationen. Personer er også begyndt at indsamle, forvalte og bruge persondata på tilsvarende måde, f.eks. via sociale netværkssites.

De interviews som er blevet gennemført i forbindelse med denne undersøgelse illustrerer, at forskelle i gennemførelsen af direktivet har været resultatet af et kompleks interplay af faktorer, herunder juridisk arvegods, kulturelle og historiske normer samt personlige og institutionelle karakteristika hos myndighederne.

Udfordringer

I en kontekst af en hastig teknologisk udvikling og globalisering, er et sæt af karakteristiske udfordringer blevet identificeret:

• Definere privacy – hvornår indvirker behandling af persondata på privacy og hvornår gør den det ikke; og hvor stærkt skal sammenhængen være mellem regler om databeskyttelse og privacy beskyttelse ?
• Risiko analyse – kan vi forudse hvor stor risikoen er ved at overlade personlige oplysninger til en myndighed eller organisation ?
• Individets rettigheder i relation til almenvellet – under hvilke omstændigheder vil privacy være underordnet samfundets behov, når man tager i betragtning den fundamentale betydning af privacy beskyttelse for udvikling af et demokratisk samfund som sådant ?
• Transparens – persondata er overalt, især online, og kan på grund af den teknologiske udvikling som ambient intelligence og cloud computing blive overordentlig vanskelig at spore og kontrollere. Hvordan kan vi være sikre på hvordan og hvor de bliver brugt ?
• Give valgmuligheder – mange services tilbydes kun såfremt tilstrækkelig persondata frigives, men såfremt vigtige services nægtes, når vi er uvillige til at supplere disse data, har vi så et reelt valg ?
• Ansvarstildeling (accountability) –hvem holdes i sidste ende ansvarlig og hvor går vi hen for at få oprejsning ?

Styrker og svagheder

Undersøgelsen identificerer en række styrker og svagheder i forbindelse med direktivet. De væsentligste styrker er:

• Direktivet tjener som reference model for good practice.
• Direktivet harmoniserer principper for databeskyttelse og muliggør til en vis grad et internt marked for persondata.
• Det princip-baserede framework tillader fleksibilitet.
• Direktivet er teknologi neutral.
• Direktivet har forbedret awareness om bekymringen for databeskyttelse.

De væsentligste svagheder er:

• Forbindelsen mellem konceptet for persondata og reelle privacy risici er uklar.
• Midlerne der sigter på at skabe gennemsigtighed af databehandlingen ved hjælp af bedre information og notifikation er inkonsekvent og ineffektiv.
• Reglerne for data eksport og overførsel til 3. land er forældet.
• Redskaberne for overførsel af data til 3. lande er besværlige.
• De enkelte Datatilsyn´s rolle i forbindelse med ansvarstildeling og håndhævelse er inkonsekvent.
• Definition af myndigheder/organisationer, som er involveret i behandling og forvaltning af persondata er overforenklet og statisk.
• Der er andre mindre svagheder som har sammenhæng med vanskeligheder i den praktiske gennemførelse.

Anbefalinger

Rapportens team af eksperter har formuleret et sæt af praktiske rekommandationer med henblik på at få det meste ud af den gældende lovgivning samtidig med at foreslå en fremtidssikret reguleret arkitektur.

• Medlemslande, der faciliteres af EU Kommissionen, har behov for at enes om en effektiv fortolkning, implementering og håndhævelse af direktivet, herunder at opfordre til en risiko-baseret tilgang, med ikke-notifikation som den generelle regel snarere end undtagelsen, for at sikre at bindende virksomhedsregler (Binding Corporate Rules) lettere kan finde anvendelse for at legitimere data overførsel til 3. Lande, forbedre ansvarstildeling og hjælpe med til at databehandling lever op til krav om gennemsigtighed. EU Kommissionen bør forbedre effektiviteten af reglen om tilstrækkelighed ( af beskyttelsesniveaet for personoplysninger) samt facillitere brugen af alternativer som f.eks. aftaleklausuler og Binding Corporate Rules.
• Direktivet bør eksplicit inkluderes i listen over love som skal revideres i henhold til the Better Regulation agenda.
• Artikel 29 arbejdsgruppen bør arbejde frem mod at præcisere privacy normer og standarder, rollen for ”privacy-by-design” for nye teknologier og forretningsmodeller som støtter compliance.
The London Initiative bør udvikle en almengyldig strategi for håndhævelse til brug for uafhængige tilsynsmyndigheder ved hjælp af en ikke-bindende samarbejdsaftale (Memorandum of Understanding).
• Artikel 29 arbejdsgruppen bør udvide kontakten til repræsentanter for erhvervslivet, civilsamfundet og NGO´er.
• Datatilsyn med rådgivning fra den Europæiske Tilsynsførende for Databeskyttelse (EDPS), bør opmuntres til at udvikle mere tilgængelige privacy policies, f.eks. sammenlignelig med modellen for Creative Commons for ophavsret og licenser.
• Medlemslande bør arbejde sammen med forbrugerorganisationer med henblik på at indføre et system af lokale repræsentanter med henblik på at hjælpe personer med at udøve deres rettigheder samt medvirke til at aflaste datatilsynsmyndgheden.

Med henblik på at gøre europæisk governance arkitektur levedygtig i lyset af international data flows, anbefaler rapporten også, at den kommende 2009  Consultation overvejer en alternativ model, som er baseret på følgende:

1.   Definere  high level formål
2.   Definere globale ensartede privacy principper (“General Principles”) baseret på velkendte eksisterende instrumenter for databeskyttelse som f. eks.    i Den Europæiske Unions charter om grundlæggende rettigheder og Europarådets konvention nr. 108;
3.   Implementere værktøjer og instrumenter for at gennemføre disse, og
4.   Forudsigelige, effektive retshåndhævelsesmidler for at sikre ansvarsplacering, såfremt resultaterne ikke opnås eller principperne ikke respekteres.

Det vil indebære en revision af direktivet med henblik på at blive et instrument, som klart beskriver:

1.   Udbytte ud fra interessenters forventninger:

o Individer – at opretholde en klar og effektiv beskyttelse når som helst persondata bliver behandlet, herunder med hensyn til ansvarspligt for den dataansvarlige og hermed bidrage til beskyttelsen af privacy. At have et valg til at udøve signifikant kontrol over ens egne persondata, herunder at dele persondata med en betroet 3. Part, eller at kunne tilbageholde disse, men at være opmærksom på de implikationer dette har  i nutidens informationssamfund.
o Offentlige og private organisationer – at være i stand til at gore brug af persondata samt udlede en økonomisk eller samfundsmæssig værdi, så længe det sker i overensstemmelse med “General Principles”, især ved at databehandle i henhold til de fastsatte formål, samt sikre legitimitet for den pågældende aktivitet i medfør af de opstillede regler og at de vil blive draget til ansvar, såfremt reglerne ikke følges.
o Datatilsyn – at handle uafhængigt, rimeligt og fornuftigt i forhold til den offentlige og private sektor. Om nødvendigt at gøre brug af retshåndhævelse for at udvikle god praksis og for at sikre erstatning ved forvoldt skade.

2.   Ensartede globale principper for privacy beskyttelse:

o Legitimitet – definere hvornår behandling af persondata er acceptabel.
o Formålsbegrænsning – sikre at persondata  kun behandles i den udstrækning det er nødvendigt for at opfylde de formål, de er blevet indsamlet til. Yderligere brug forudsætter datasubjektets samtykke.
o Security og fortrolighed – et specifikt krav om at den registeransvarlige tager passende tekniske og organisatoriske forholdsregler.
o Transparens – at passende niveauer af gennemsigtighed sikres for datasubjektet.
o Medvirken af datasubjektet – sikre sig at datasubjektet kan udøve sine rettigheder effektivt.
o Ansvarspligt –  at de som behandler persondata bliver gjort ansvarlige for deres handlinger i henhold til de fastlagte  retsvirkninger.

For at sikre at de fastlagte principper gennemføres fordrer det iværksættelsen af en lang række initiativer, som f.eks.:

o Udarbejdelse af privacy policies
o Offentliggørelse af privacy statements og notifikationer
o Udnævnelse af privacy ansvarlige
o Udarbejdelse af adfærdskodeks (Codes of Conduct)
o Udarbejdelse af Corporate  Governance
o Privacy rapportering af virksomheder og myndigheder
o Udarbejdelse af standarder
o Udarbejde en privacy mærkningsordning
o Udarbejde privacy konsekvensanalyser (privacy impact assessments)
o Udvikle privacy teknologier (privacy by design)
o Gennemføre målrettede informationskampagner

For at understøtte disse virkemidler er en effektiv retshåndhævelse nødvendig, herunder at indgå strategiske partnerskaber mellem datatilsyn og forbrugerorganisationer, især i lande med en stærk forbrugerkultur. Datatilsynets rolle vil herefter ændres henimod en mindre fokus på proces og formalia check, men i stedet sigter mod en mere effektiv retshåndhævelse og for at sikre ansvarlighed.

Ifølge rapporten viser den gennemførte forskning tydeligt, at privacy beskyttelsens succes eller fiasko i første række ikke afhænger af lovteksten, men om dem som skal håndhæve loven har de rette virkemidler.

Kommentarer

Rapportens ideer giver føde til eftertanke og en interaktiv debat mellem det politiske system, industrien og eksperter om hvordan man kan forbedre databeskyttelsen i Europa er altid nødvendig.

Det har længe været på tale at databeskyttelsesdirektivet trænger til et serviceeftersyn. Meget er sket siden 1995 og især efter 11. september 2001. Den teknologiske udvikling og globaliseringen ændrer hele tiden behovet for en effektiv databeskyttelse og privacy. Online sociale netværk, online forbrugeradfærdsdata, genetisk forskning er nogle af de emner som trænger til en mere specifik data- og privacy-beskyttelse samt europæisk for ikke at sige global harmonisering. Jeg er helt enig i betragtningen om, at databeskyttelsen bør være mere integreret med privacy og at disse begreber bør defineres klarere.

Rapporten foreslår en række spændende initiativer med henblik på at fremme databeskyttelsen i Europa og jeg hilser debatten velkommen også i Danmark. Persondataloven, som bygger på direktivet, er på mange måder en god lov, men mange af de ideer, der lanceres i rapporten, kan givetvis være med til at finjustere loven.  Det bør dog ikke være usagt, at Datatilsynet under alle omstændigheder har behov for flere ressourcer, herunder IKT ekspertise,  for at kunne leve op til sine forpligtelser.

Lad mig i den sammenhæng anbefale forslaget om, at Datatilsynet indgår strategiske samarbejdsaftaler med diverse organisationer, f.eks. branche- og interesseorganisationer, Forbrugerrådet m.fl.

Som kick-off for en konstruktiv dialog og for at stimulere debatten kunne man forestille sig, at Datatilsynet arrangerer en workshop for organisationer, myndigheder, eksperter osv.

I persondataloven er  den dataansvarlige defineret som “Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.” (§ 3, nr. 4).  Ligeledes fremgår det af loven, at hvis en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ behandler oplysninger på den dataansvarliges vegne, betegnes denne ”databehandler” (jf. § 3, nr. 5). Efter min opfattelse bør enhver organisation af en vis størrelse udpege en såkaldt persondataansvarlig person, fordi ansvaret hermed gøres mere tydeligt og mere forståeligt ved at det bliver personificeret. Både den dataansvarlige så vel som databehandleren bør have pligt til at gennemgå en certificeret uddannelse  i databeskyttelse og privacy. Til sammenligning kan anføres, at flere europæiske lande har en uddannelse som Data Protection Officer, der er en beskyttet titel.  Uddannelsen kunne meget vel indgå i et videre meritforløb med eksempelvis informationssikkerhed, menneskerettigheder mm. herunder på bachelor/master niveau.

Regeringen har en vision om, at

Vi skal være et førende vidensamfund
Vi skal være et førende iværksættersamfund
Vi skal være verdens mest konkurrencedygtige samfund og
Vi skal skabe uddannelser i verdensklasse

Denne ambitiøse vision skal vi selvfølgelig også have os for øje, når det drejer sig om databeskyttelse og privacy.

Download hele rapporten her.

Privatlivets beskyttelse – Facebook


hand

Af: Martin Jørgensen, Cand.jur – Senior Consultant – Deloitte/Security & Privacy

Privatlivets beskyttelse

Opfattelsen af privatlivets beskyttelse afhænger af øjnene der ser.

Virksomheder har fokus på privatlivets beskyttelse og implementerer såkaldte privacy-programmer og løsningsmodeller, som kan bidrage til aktivt at identificere databeskyttelsesmuligheder indenfor de områder, som enten repræsenterer den største risiko eller den største mulige fortjeneste for den pågældende virksomhed. 

Fokus i det offentlige forum er på det seneste blevet rettet mod enkeltpersoner og privatlivets beskyttelse i forbindelse med diverse sociale netværk – specielt det sociale netværk Facebook har i medierne fået en del spalteplads.

Nærværende artikel tager udgangspunkt i det sociale netværk Facebook, herunder de aftalebetingelser som brugere på netværket bliver underlagt ved at oprettet en profil på http://www.facebook.com.

Sociale netværk samt Facebook

Sociale netværk er grundlæggende steder på internettet, hvor du kan oprette en profil, der beskriver dig selv, ligesom du kan se andres profiler. Fænomenet er blevet meget omtalt, primært fordi steder som Facebook og MySpace hurtigt har fået ekstremt mange brugere over hele verden – også i Danmark. Men der er også en række mindre, sociale netværk, der henvender sig mere specifikt til folk med samme interesser eller samme livssituation. 

I starten var Facebook kun for studerende med en college- eller universitets-e-mailadresse. Siden er Facebook gjort tilgængelig for brugere med alle typer af e-mail-adresser. Facebook har mere end 110 mio. medlemmer, og hver dag kommer der 250.000 nye medlemmer. Der findes 1,7 milliarder billeder og der er over 500 millioner søgninger pr. måned. (Kilde: http://da.wikipedia.org/wiki/Facebook) I Danmark har vi rundet de 1,6 mio. medlemmer.

Amerikanske regler

Umiddelbart lyder Facebook jo som et rimeligt harmløst foretagende, hvor man kan berette om sine daglige gøremål, interesser, privat- og arbejdsliv, samt dele sine billeder. Men når du opretter en profil på Facebook, giver du samtykke til, at dine personlige oplysninger bliver overført til og behandlet i USA. Det er dermed ikke dansk lovgivning, der gælder, når man anvender Facebook, men derimod amerikansk lovgivning.

De amerikanske regler vedrørende behandling af personoplysninger er på ingen måde lige så regulerede som de danske regler (bl.a. Lov om behandling af personoplysninger, Lov 2000-05-31 nr.429). Facebook skal dermed ikke følge de regler, som vi kender til i Danmark vedr. behandling og opbevaring af persondata, og som vi naivt kan gå rundt og tro, er gældende, når vi logger på diverse sociale netværk på internettet. 

Som en af de helt store forskelle kan det nævnes, at Facebook kun kræver én accept ved oprettelsen af en profil, for fremover at have ophavsret til de data, en profilejer vælger at lægge ud på sin profil; herunder personlige oplysninger, billeder m.v.

En profilejer kan altså risikere, at alt indhold på profilen – for eksempel billeder, personlige oplysninger, beskeder og tekster samt fortrolige beskeder i en lukket gruppe – kan blive brugt af Facebook overalt i verden. Facebook kan tilmed bruge det til “ethvert formål” (også i omformateret eller oversat form) og for evigt, hvilket også vil sige efter at en profilejer har slettet sin Facebook-konto.

Det indhold, som en profilejer altså har givet Facebook, kan for eksempel blive brugt i reklamer. “Sjove” billeder fra den seneste fest eller badeferie, kan således lige pludselig indgå i en global reklame for hvad som helst.

Facebook er ikke de eneste, der må bruge indholdet i profilerne.

Det må andre virksomheder også, for som profilejer har man givet Facebook ret til at videresælge det indhold, som oprindeligt var ens eget.
Ovenstående ville aldrig blive accepteret, såfremt de danske regler vedrørende anvendelse af persondata fandt anvendelse. 

Nærmere om aftalebetingelser på Facebook

Aftalebetingelser på Facebook – de seneste gældende fra 26. november 2008 – nævner indledningsvis, at man ved brug eller ved at logge ind på Facebook accepterer reglerne i den pågældende erklæring om ”Beskyttelse af personlige oplysninger”.

Det betyder bl.a. at ud over at have givet lov til, at Facebook kan anvende brugernes indhold for evigt i et meget vidt omfang, har de anslåede 1,6 mio. danske profilejere på Facebook også sagt ja til at anvendelsesvilkårene kan ændres, uden at brugerne bliver informeret

Det vil sige, at selv hvis en profil ejer rent faktisk læste anvendelsesvilkårene ved oprettelse af en Facebook-konto, er det spild af tid, for man accepterede samtidig, at Facebook frit derefter kan ændre vilkårene uden at informere brugeren.

Den eneste måde hvormed man kan holde øje med, om der er kommet nye vilkår for anvendelse af Facebook, er ved at læse vilkårene, hver gang man logger på.
Der står i vilkårene, at ved at logge på Facebook, gælder det som en ny accept af de til enhver tid gældende betingelser – uanset om de måtte være ændrede siden brugeren oprettede sin konto. Brugeren vil ikke få nogen særskilt besked om, at sådanne ændringer er foretaget, og der er heller ingen mulighed for at se, hvilke dele af vilkårene, der er ændret siden sidst, for det oplyser Facebook ikke. Det er dermed en jungle for selv en uddannet jurist at finde hoved og hale i Facebooks aftalebetingelser.

Ovenstående ville ligeledes være i strid med den danske persondatalov, såfremt den fandt anvendelse.

Hvor er Datatilsynet?

”Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Datatilsynet består af et råd – Datarådet – og et sekretariat.  Datatilsynet bl.a. rådgiver og vejleder, behandler klager og gennemfører inspektioner hos myndigheder og virksomheder”. (kilde:http://www.datatilsynet.dk)

Forbrugerrådet anbefalede i august 2008, at Datatilsynet burde kigge nærmere på det sociale netværk Facebooks aftalebetingelser, hvilket Datatilsynet imidlertid afviste ved skrivelse af den 9. oktober 2008.

”Begrundelsen” fra Datatilsynet var følgende:

”Hvis Datatilsynet skulle komme med en egentlig stillingtagen til Facebooks databehandlinger, ville det forudsætte, at der forinden var indhentet en udtalelse fra Facebook. Datatilsynet finder imidlertid ikke anledning til på nuværende tidspunkt at rejse en egen drift-sag over for Facebook.” (Kilde: http://www.forbrugerraadet.dk)

Datatilsynet fandt altså ikke anledning til at undersøge sagen. Datatilsynet oplyste dog afslutningsvis i brevet til Forbrugerrådet, at den såkaldte artikel 29-gruppe, der er nedsat i medfør af databeskyttelsesmyndigheden, har sociale netværk på sit arbejdsprogram for 2008/2009.

Artikel 29-gruppen er nedsat som følge af Europa-parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet).

Artikel 29-gruppen er rådgivende og uafhængig og består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen. Datatilsynet er repræsenteret i artikel 29-gruppen.

I april 2008 konkluderede artikel 29-gruppen, at den amerikanske søgemaskine Google er underlagt brugernes nationale regler – herunder den danske persondatalov – og at det er de enkelte medlemsstater, som skal sikre, at reglerne bliver håndhævet. I samme udtalelse konkluderer ”Artikel 29-gruppen” også, at brugernes samtykke skal hentes forud for enhver form for krydskombination af brugerdata og brugerdataforædling – altså at der skal indhentes samtykke fra brugere, når der skal videresælges identificerbare personoplysninger.

Det kan derfor virke besynderligt, at Datatilsynet implicit henviser til, at man afventer artikel 29-gruppens arbejde, når der allerede ligger konklusioner/vejledende udtalelser fra artikel 29-gruppen, der ganske vist ikke specifikt handler om sociale netværk – men man konkluderer dog fra artikel 29-gruppen, at samtykke skal indhentes før videregivelse af identificerbare personoplysninger, samt at det ikke er nok med en generel accept – hvilket man bl.a. afgiver ved at oprette en profil på Facebook.)

Forbrugerrådet har efter afslaget fra Datatilsynet kontaktet EU-Kommissionen vedrørende spørgsmålet, men her var svaret korrekt, at tilsyn med udenlandske internettjenester skal føres af de nationale myndigheder, hvilket jo er i tråd med konklusionerne fra artikel29-gruppen. Forbrugerrådet har efterfølgende på ny kontaktet Datatilsynet – der på ny har afvist at foretage en undersøgelse og i den forbindelse oplyser, at

“Vi lægger kræfterne i samarbejdet med de europæiske og internationale datatilsyn, hvor der allerede sker meget. Vi har en repræsentant i Bruxelles, der deltager i Artikel 29-gruppen, der arbejder med at udstikke regler for alle de sociale netværk på nettet. Den gruppe er på trapperne med en udtalelse,” siger Lena Andersen fra Datatilsynet.(Kilde: http://www.computerworld.dk)

Vi må så – med tålmodighed – afvente artikel-29 gruppens arbejde før Datatilsynet(den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes) kan tage stilling i sagen.

Du kan læse mere om artikel 29-gruppens arbejde og dokumenter her: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm 

Når naboerne kigger med …..


peeping tom

peeping tom

En af denne sommers mere interessante debatter blev rejst efter at den svenske rigsdag lige inden den gik på sommerferie den 18. juni fik vedtaget en lov, der bemyndiger det svenske forsvar – nærmere bestemt ’Försvarets Radioanstalt’ til at overvåge indholdet af al elektronisk kommunikation mellem Sverige og udlandet.

Dette er naturligvis bemærkelsesværdigt, idet intet andet europæisk land har vedtaget en så vidtgående lovgivning, der går ud over hvad det meget omdiskuterede logningsdirektiv for teletjenesterne pålagde de enkelte operatører; Direktivet for logning af teletrafik indeholder klare retningslinier for, at det, der logges vedrører afsender og modtager af elektroniske meddelelser, der skal opbevares i en given tid, men altså ikke noget om logning af selve indholdet.

Det var også bemærkelsesværdigt at loven i Sverige blev vedtaget med bare 4 stemmers flertal.

Det skabte naturligvis en vældig debat – ikke bare i Sverige (http://www.vasabladet.fi/story.aspx?storyID=22256 , eller http://www.aftonbladet.se/nyheter/article2712002.ab) men sandelig også I Danmark, dad et gik op for danskerne, at ‘Svensk Udlandstrafik’ også omfattede al trafik, hvor svenske teleoperatører (Telia m.fl.) betjente danskere. Det gjaldt ikke mindst folketinget, hvor Telia faktisk har vundet opgaven at betjene de danske folketingsmedlemmer. ( Se computerworld: http://www.computerworld.dk/art/46613? ). Efterfølgende er også Rusland blevet opmærksom på problemet og har protesteret.

Loven dækker altså al elektronisk kommunikation – mobiltelefoni, e-mails, computer-til-computer overførsler. Så det må sandelig siges at være en stor mundfuld for det svenske forsvar – og i sig rejser det naturligvis en række spørgsmål, idet Sverige som traditionelt bekender sig nøje til åbenhed og anses for at være et af de lande, der står vagt om beskyttelse af privatlivets fred.

Kort sagt: Hvad har de gang i? Er det ikke i direkte strid med de grundlæggende forskrifter og direktiver i EU om borgerrettigheder? (Se http://www.hri.org/docs/ECHR50.html#P1 ) –

Ser vi for eksempel på artikel 8 i European Human Rights Declaration, så står der:

  1. Everyone has the right to respect for his private and family life, his home and his correspondence.

Altså eksplicit også en beskyttelse af brevhemmeligheden. Men så står der godt nok også i paragraf 2:

  1. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Ved første øjekast ligner det en udvanding af paragraf 1, men spørgsmålet er altså, om den svenske lovgivning, der her foregriber anden lovgivning I andre EU-lande, kan hævde, at netop denne lov er nødvendig for at beskytte det svenske samfund mod terrortrusler og andre mulige overgreb, og det i en grad, der i det, som offentligheden fik at vide ved at læse lovteksten fra den 18. juni kun kunne forstå som et carte blanche til enhver form for overvågning af privatpersoners og virksomheders korrespondance med udlandet.

Det fremgår ikke – og er vel heller ikke sandsynligt – at den svenske lovgivning havde været forelagt nogle internationale organer endsige drøftet med nabolandene. Danske politikere kom på banen, nogle erklærede sig ’foruroligede’ , andre – med statsministeren i spidsen – var hurtige til at slå fast, at dette måtte betragtes som et internt svensk anliggende.

Det er imidlertid tvivlsomt om sagen så let lader sig afvise; og netop til dette formål er der i forbindelse med det såkaldte data-direktiv – der skal ses som en tydeliggørelse af ’Human Rights’ erklæringen for så vidt angår beskyttelse af private data – også kaldet The Data Protection Directive: http://www.cdt.org/privacy/eudirective/EU_Directive_.html etableret et organ, det såkaldte Working Party 29, WP29-organ, der er nedsat med repræsentanter og deltagelse fra alle medlemslandes Databeskyttelsesagenturer, som netop har til formål at vurdere og rådgive om nye tiltag i medlemslandene og især om mulige ændringer, udhulinger eller overtrædelser af datadirektivet.

I indledningen ( paragraf 2) af direktiv 94/96, står der bl.a.

Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals

Direktivet blev faktisk taget I anvendelse for ikke så længe siden, da det viste sig at data i bankoverførselssystemet SWIFT, der har sit fysiske hovedsæde i Bruxelles, faktisk kunne dekodes af US myndigheder. WP29 gik ind i sagen, og konkluderede, at SWIFT som et Europæisk organ var underkastet direktiv 94/96

( Se www.cbpweb.nl/downloads_int/Opinie%20WP29%20zoekmachines.pdf )

Ved første øjekast i begyndelsen af juli var der derfor meget der tydede på, at de svenske myndigheder havde været for hurtigt ude og havde forbrudt sig – ikke på et eller andet tilfældigt direktiv – men faktisk mod nogle af EU’s fundamentale borgerrettigheder, som man må formode at både tilhængere og modstandere af EU vil støtte op om.

Sagen var ikke slut hermed – og fortsættelse af denne blog følger, så vi kan vurdere flere og interessante aspekter af det, der efterfølgende indtraf.