I - Personen og det private... 3 VII - Den private sektor II - Den moderne informationsteknologi... 4 VIII - Rettigheder...

Transkript

1 Databeskyttelsesret I - Personen og det private Privatliv og databeskyttelse Personen Informationelt privatliv Ejendomsret til personoplysninger Reguleringsmetoden... 4 II - Den moderne informationsteknologi Optakt Edb-teknologi Teknologiens betydning for lovgivningen Internettet... 4 III - Det retlige miljø Reguleringsmetodik Overordnede regler Direktiv 95/46 EF Personoplysningsloven Informationsdatabaseloven Patientretsstillingsloven Helbredsoplysningsloven DNA-profilloven Betalingsmiddelloven Arkivloven... 6 IV - Databeskyttelsesrettens struktur Principper Oplysningstyper Behandlingsbetingelser Tilsyn og kontrol... 8 V - Privatliv vs. Informationsfrihed Informationsfrihedens omfang og grænser Overordnede regler Det strafferetlige værn Databeskyttelsesretten Offentlighed Konklusion... 9 VI - Den offentlige sektor Reguleringsomfanget Digitale og manuelle data Samkøring Kommercialisering Afsluttende overvejelser VII - Den private sektor Regulering Markedsføring Koncerner Personnumre Adfærdskodekser VIII - Rettigheder Rettighedstyper Retten til information? Indsigt Korrektion Indsigelsesret Automatiske afgørelser IX - Internationale dataoverførsler Udgangspunktet Tilstrækkeligt beskyttelsesniveau Indenfor EU Tredjelande X - Internettet Det kommunikative rum Retligt udgangspunkt Anonymitet Informationsfrihed Offentliggørelse Links Elektronisk handel Arbejdspladser Teknologier m.m XI - Overvågning Introduktion Tv-overvågning Vejtrafikovervågning Samkøring, mht. offentlige ydelser Selvovervågning / webcams International dimension XII - Databeskyttelsens fremtid... 17

2

3 I - Personen og det private 1. Privatliv og databeskyttelse Det private liv har mange facetter, og en fuldstændig retlig beskyttelse af privatlivets fred og den hermed knyttede personlige integritet er vidtfavnende. Generelle bestemmelser som artikel 8 i EMK og de almindelige bestemmelser i straffelovens kapitel 27 illustrerer denne bredde. Det er privatlivet i informationssamfundet med dets mange dimensioner, der herved er sat i centrum. Hvem er personen og hvad er det private område under et informationelt perspektiv, er dermed temaet i dette åbningskapitel. 2. Personen Alt som ikke er mennesker er ikke en person Juridiske personer Juridiske personer har måske hemmeligheder, men ingen «private» oplysninger som gør dem i stand til at føle smerte eller skam hvis de kommer ud. Derfor er juridiske person ikke inkluderet som en person i databeskyttelsesretlig forstand. Privat og hemmelig er ikke synonymer Fysiske personer Her vil det drøftes om fostre og døde kan henregnes til en «person», når de ikke kan sikre selv at beskyttelsen er virksom. Fostre = OK. Der drages en analogi til arvelovens 5 hvor fostre kan være arvinger forudsat at de fødes levende. De har en beskyttelsesinteresse som senere kan aktiveres. Døde = OK. Også straffelovens 264d anerkender at visse oplysninger om døde skal beskyttes. Det har dog været diskuteret om der ikke burde være en tidsbegrænsning, og der eksisterer en, men den kan ikke gøres op i årstal. Det er en bred forståelse at efter en årrække så skal der ikke beskyttes så ærekært mere. Åndssvage = OK. De har jo også ret til beskyttelse Beskyttelsesværdige oplysninger Et udgangspunkt kunne være at alene oplysninger som individet kender kan kategoriteses som private. Men sammenfattende er udgangspunktet, at alle oplysninger om personer er beskyttelsesværdige, uanset hvorledes de er tilvejebragt. Traditionelt er der i dansk ret blevet skelnet mellem rent private eller følsomme oplysningstyper og de øvrige almindelige oplysningstyper, idet de førstnævnte er blevet givet en mere intens beskyttelse. Denne opdeling er tillige blevet anerkendt i EU-regulering. 3. Informationelt privatliv 3.1. Historisk kontekst Historisk blev den private sfære ikke tillagt nogen synderlig værdi. Privatlivet blev først til som en beskyttelse for kendte mennesker i det 19. århundrede, og det er i dag en beskyttelse for alle pga. de nye kommunikationsformer Nogle afgrænsninger eller definitioner Der har været en del forskellige definitioner af det private område, som har ændret sig en del over tiden. Der betones især det absolutte private område og muligheden for kontrol Mål og meningsfuldhed Der er ikke nogen klar «retlig» definition af hvad der er privatsfære To be let alone Historien om en mand som ikke ville fotograferes. I dag synes denne synsvinkel gammeldags, af patricierværdi, der er vendt mod massesamfundet. Men fredsretten peget på et menneskeligt behov, som må tages i betragtning i retssystemet Selvbestemmelse Der antages at et individet skal give samtykke til visse ting. Men det enkelte individ kan ikke betragtes som en isoleret ø i samfundstotaliten, og der kan derfor ikke være en ubetinget samtykke pligt. Der bør dog være transparens. Det børe være muligt at få oplyst, at personoplysninger benyttes til bestemte formål. Der er dog undtagelser for efterretnings og politivirksomhed. Selvbestemmelse omhandler: 1 Retten til at stoppe en bestemt dataanvendelse, 2 eller en ret til at blive informeret om dataanvendelsen Privatlivstilstande Ifølge Westin er der fire privatlivstilstande: 1 Solitude, 2 intimacy, 3 anonymity, 3 reserve. Desuden fire funktioner. Westins privatlivstilstande er mere et krav end en rettighed Rettighed eller krav En rettighed varetages af staten, et krav skal varetages af individet selv. Sammenlignet med USA; der beskyttes individet især mod statsmagten, hvorimod indenfor den private sektor er beskyttelsen i vidt omfang baseret på common law og er funderet på den opfattelse, at privatlivskrænkelser skal vurderes i erstatningsretlig kontekst. Denne indfaldsvinkel betyder, at privatlivsbeskyttelse i denne sektor ikke anskues som en ret, men derimod som et krav, der kan gøres gældende. I Europa føles det illusorisk at tro at alle individer har samme mulighed for at varetage deres interesser, og derfor ønsker de at beskyttelsen skal være en rettighed i stedet. Blume argumenter imod en selvregulering, ved at virksomheder ikke er interesserede i «dårlig omtale» hvis de ikke respekterer individers rettigheder En interesse Dette er en Norsk variation som bliver uddybet i det følgende Individet og det kollektive Individet er en del af det kollektive, og på denne måde kommer der til at være visse modifikationer i persondatabeskyttelsen. Det er interesse afvejning mellem det kollektive og individet som er det centrale i denne tankegang. I - Personen og det private 3 / 17 Databeskyttelsesret

4 Modifikationer modsvares af individets behov for at kunne deltage i samfundets liv og at medvirke i et demokratisk fællesskab. Deltagelse i demokratiet forudsætter samtidig, at individet kan være individ og dermed ikke opslugt i kollektiviteten Endnu en definition «Individet har ret til et privat informatorisk område, der tillader en sådan grad af kontrol og indflydelse, at individet kan deltage i den samfundsmæssige kommunikation og samtidig har en egen individualitet og fred i forhold til andre individer, offentlige myndigheder og private virksomheder.» Priscilla Regan. Karakteristisk for denne definition er, at beskyttelsen er en ret, at den har såvel en individuel som en kollektiv facet, at den er åben for en vis afbalancering over for andre hensyn, og at den er virksom i alle dele af samfundet. Databeskyttelsen bidrager dermed bredt til at værne individets position både som individ og samfundsborger. 4. Ejendomsret til personoplysninger Man arbejder med tanken af at se ens personoplysninger som en ejendomsret, fordi dette giver en meget stærk beskyttelse, der er mange love der så vil beskytte den forkerte brug. Det er både ekspropriation (mod offentlige myndigheder), og tyveri ved private virksomheder. 5. Reguleringsmetoden Databeskyttelsesretten er i konstant bevægelse. II - Den moderne informationsteknologi 1. Optakt Det er teknologien som har skabt behovet for privatlivsbeskyttelse. 2. Edb-teknologi 1 Muliggør registrering af endog meget store mængder data, 2 de kan genfindes, 3 kan videregives meget hurtigt. Dette gjorde det nødvendigt med en registerlovgivning Teknologiske forandringer. Han nævner: PC bliver billig, netværket skaber kommunikation. 3. Teknologiens betydning for lovgivningen Den teknologiske udvikling gør det svært at regulere lovmæssigt. 4. Internettet Da denne altid flyder og aldrig er den samme, er den svær at regulere. II - Den moderne informationsteknologi 4 / 17 Databeskyttelsesret

5 III - Det retlige miljø 1. Reguleringsmetodik Beskyttelsen spænder meget bredt, da den ikke kun dækker individet mod staten, men også individet mod private virksomheder Standarder Ofte benyttes retlige standarder for at loven kan have en vis levetid og følge med udviklingen. Dette kunne fx være at man ikke må beholde en oplysning længere end at den er nødvendig Sektororienteret regulering Sektorspecifik regulering kan være mere målrettet og også klarer end ved at benytte meget brede retlige standarder. I gældende ret er der ikke fundet den rette balance, idet omfanget af sektorspecifikke regler er meget stort, hvorfor der næppe er nogen, der har et fuldstændigt overblik over dansk databeskyttelsesret Accept Da reglerne ikke let kan tvinges overholdt, er det ofte en endog meget god idé for lovmagerne at arbejde sammen med de dataansvarlige. 2. Overordnede regler I Den Europæiske Menneskerettighedskonvention art. 8 findes en almindelig beskyttelse af privatlivets fred, der omfatter det informationelle privatliv. Desuden findes den i Verdenserklæringen om menneskerettigheder fra 1948 art. 12 og FNs konvention om civile og politiske rettigheder 1996 art. 17. Den danske grundlov indeholder ikke nogen sådan norm, måske kun 72 om posthemmeligheder. De overordnede regler er først og fremmest møntet på en beskyttelses for individer mod staten, hvorimod de ikke er så betydningsfulde i forholdet mellem private. 3. Direktiv 95/46 EF Direktivet om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Den var udskældt i Danmark, men det er grundet direktivet, at databeskyttelsen er lang bredere end hidtil, og at det ligeledes er direktivets fortjeneste, at borgerne har fået nye og forbedrede rettigheder. Direktivet har betydning for fortolkningen af de danske regler, der forudsættes at være direktivkonforme. Dette gælder, uanset hvor i det samlede regelværk bestemmelserne måtte være placeret. 4. Personoplysningsloven Placering i forhold til andre love: Denne lov er fundamental for databeskyttelsesretten, og den erstatter de tidligere registerlove. Dens regler finder som udgangspunkt anvendelse, medmindre der i anden lov er fastsat andre, direktivkonforme bestemmelser, jf. 2s1. Giver de en ringere beskyttelse end loven, skal denne retstilstand klart være forudsat. Type lov: Den er den generelle lov, hvorefter alle andre love for personoplysninger fortolkes ud fra. Hvad er omfattet: Loven omfatter al registrering, sågar den manuelle registrering af offentlige myndigheder. Ydermere er domstolene både for så vidt angår deres administrative og judicielle funktioner omfattet af loven, idet det følger af 2s4, at en række af de registreredes rettigheder i straffesager reguleres af retsplejelovens bestemmelser. Loven gælder ikke for Folketinget med tilhørende institutioner som Ombudsmand og Rigsrevisionen. Dog gælder direktiv 95/46. Politiet og efterretningsvæsnet. Definition af oplysning, 3: Enhver form. Dvs. også billede stemme og fingeraftryk. Der er tale om personoplysninger når nogen er i stand til at identificere en person. 5 er om almindelige betingelser for databehandling, omfang og kvalitet angiver betingelserne, i forhold til hvilke personoplysninger kan behandles. 27 om overførsel af personoplysninger til tredjeland. Behandles i bogens kapitel 9. Det er nærliggende i databeskyttelsesretten, at borgere, hvis interesser beskyttes, tillægges rettigheder, der gør dem i stand til at varetage deres interesser. I fortsættelser heraf instituerer loven særlige tilsynsmyndigheder, hvis opgave dels er at udflyde lovens vage standarder dels at udøve tilsyn med de dataansvarlige på grund af henvendelser fra de registrerede og ex officio. Dette tilsyn er understøttet af en anmeldelsesordning, der tilvejebringer kendskab til den persondatabehandling, som finder sted. Bogen kapitel 4 beskriver de tilsynet. Loven suppleres af en omfattende sektororienteret regulering. 5. Informationsdatabaseloven Lov nr. 430 af 1. juni 1994 er en af disse sektororienterede love. Dens hovedformål er at regulere de databaser som pressen / journalisterne benytter sig af og putter informationer ind i. Den er meget lidt restriktiv, idet der næsten ubegrænset brug af personlige oplysninger i ubegrænset tid. Blume siger at det ikke kun er af hensyn til demokratiet og pressens frie vilkår at politikkerne har lavet denne lov; men også for ikke at træde pressen for nært når de er så afhængige af dem. Loven er blevet ændret samtidig med implementeringen af Direktivet 95/46, men der er stadig lidt tvivl om loven er direktiv konform. Der findes to typer baser jf. denne lov: 1 redaktionelle, og 2 offentlige. For de redaktionelle som kun pressens medarbejdere har adgang til er der næsten ikke nogen begrænsninger. Baserne må alene benyttes i forbindelse med journalistisk arbejde. Skal anmeldes til Datatilsynet, men disse har ikke nogen tilsynsbeføjelse. For de offentlige er karakteriseret ved at de formidler nyheder og anden information, er undergivet en vis databeskyttelsesretlig regulering, der dog er på et lavere niveau end i personoplysningsloven. En begrænsning er 8: oplysninger, der ikke lovligt kan offentliggøres i et massemedie eller hvis offentliggørelse vil stride mod III - Det retlige miljø 5 / 17 Databeskyttelsesret

6 standarden om god presseskik, må ikke medtages. Dette betyder at oplysninger om kendte personer godt må offentliggøres i ubegrænset omfang på disse nyhedsdatabaser. CD-ROM mediet gør at der kan ske en effektiv spredning af avisers publicerede persondata, og historierne vil på denne måde aldrig blive glemt. Opbevaring og især offentliggørelse af personoplysninger uden nogen tidsbegrænsning er ikke ønskelig, idet dette især gælder, såfremt der er tale om følsomme oplysninger. Specielt i sidstnævnte tilfælde er der risiko for integritetskrænkelser og stigmatisering. 6. Patientretsstillingsloven Helbredsoplysninger angår os alle. Det særlige ved patientoplysninger er, at det er personlige oplysninger som patient selv nogle gange ikke selv ved. HR i lov om patienters retsstilling er samtykke, dette selv om oplysningen gives videre til en person som er underlagt tavshedspligt. Blume teoretiserer om det ville være muligt at inddrage et krav om faglighed. Både at der ud over samtykket skal være et krav om at det er fagligt nødvendigt, og en undtagelse fra samtykket hvis det skulle være fagligt nødvendigt. Blume pointere hvordan det kan være uheldigt med sektorlovgivning når tilsynet tillægges en anden institution en Datatilsynet. Dette fordi fx Sundhedsministeriet ikke i samme grad har erfaring med datatilsyn. 7. Helbredsoplysningsloven Denne lov søger at begrænse helbredsoplysningsspredning på arbejdsmarkedet. En arbejdsgiver kan ikke bare bede en ansat om at benytte sin indsigtsret til at presse helbredsoplysninger ud om den ansatte. Det skal være sagligt og relevant for arbejdsgiveren at få adgang til helbredsoplysninger, hvilket i 2s1, præciseres således, at oplysningen skal have væsentlig betydning for den pågældendes arbejdsdygtighed. 8. DNA-profilloven Dette drejer sig om profiler som middel til identifikation i straffesager. Da den benyttes af politiet i efterforskningsmæssig sammenhæng er denne database ikke omfattet af Direktivet. Kritisk er at sigtede personer er medtagede. Man kan bede om en mundtlig indsigt. At det ikke kan gøres skriftligt er vedtaget med den begrundelse at man ønsker at undgå arbejdsgiver pres. 9. Betalingsmiddelloven Transaktioner med et betalingskort fører til elektroniske fodspor, som kan udnyttes enten kommercielt eller som en form for overvågning. Det er først og fremmest spørgsmålet om brug af oplysninger til markedsføringsformål, som har databeskyttelsesretlig interesse. De elektroniske spor er blevet reguleret i dansk lovgivning ved lov om visse betalingsmidler s3 Denne paragraf udelukker brug af de elektroniske spor til andet end kommercielle formål. Dermed udelukker dette brugen af sporene til forbrugerprofiler. Dette kan ikke afviges ved samtykke. 10. Arkivloven Et af databeskyttelsesrettens almindelige principper er, at identificerbare oplysninger ikke må opbevares længere end det er nødvendigt i forhold til det formål, der begrundede deres indsamling. Arkiver er af historisk interesse, men man må sikre sig at disse ikke kan være en omgåelse af databeskyttelsesreguleringen. I Danmark er dette gjort tilstrækkeligt. Arkiver må ikke benyttes før 80 år efter dens indsamling, dermed skulle der ikke være risiko for integritetskrænkning. 80år kan være længe når det ikke drejer sig om ordinære persondata og ikke særligt følsomme. Derfor er det bestemt at dette kan nedsættes efter en høring med Datatilsynet. Blume synes at denne arkivlovgivning er ubetænkelig. Sammenfattende er der en del sektorlovgivning i Danmark, hvilket har den positive side at den er mere præcis, men har den negative side at den skaber risiko for at databeskyttelsesniveauet bliver ujævnt og disharmonisk. III - Det retlige miljø 6 / 17 Databeskyttelsesret

7 IV - Databeskyttelsesrettens struktur 1. Principper De principper som skal respekteres ved behandling af personoplysninger kan hovedsageligt findes i 5 af personoplysningsloven. Den nye databeskyttelse er karakteriseret ved at den søger at regulere indsamlingen af data mere end den senere behandling God databehandlingsskik 5s1: Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.. Det konkrete vil blive fastsat ved praksis, men det vil blandt andet indebære at behandlingen i det enkelte tilfælde skal være rimelig og hensynsfuld Principper for indsamlingen 5s2: indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål. Formålet er at åbne åbenhed eller transparens omkring behandlingen, jf 28 og 29. Der er dermed også et krav om saglighed i indsamlingen som dermed sætter et krav om en forståelse af hvad oplysningerne skal indsamles til, og dermed en tidshorisont Formålsbestemthed Der er krav om at indsamlingen skal tjene et bestemt formål og der er i dermed en meget vigtig afgrænsning Relevans 5s3, der må ikke indsamles data som der ikke er brug for. Hvis man indsamler data just in case så skal disse slettes Datakvalitet 5s4, der må kun behandles rigtige og ikke vildledende oplysninger. Selvom de registrerede har ret til indsigt sker dette forholdsvis sjældent. Høj datakvalitet kan derfor ikke baseres på selvkontrol. Ved bløde, vurderende oplysninger, er kravet selvfølgeligt mere lempeligt. Fx formodninger om betalingsevne Tidsbegrænsning 5s5: Identificerbare oplysninger må ikke opbevares længere end det er nødvendigt for at gennemføre den behandling, som formålet tilsigter. Der skal dermed ske sletning, og Datatilsynet har mere detaljerede sletningsfrister. Et alternativ er arkivering Sikkerhed 41, kun dataansvarlige og andre, der er berettigede hertil, må få kendskab til behandlede oplysninger. Der kræves en række foranstaltninger, men dog ikke på state of the art niveau. Dog kan der ikke lempes på sikkerhedskravene pga. en klage om høje omkostninger ved det. Sikkerhed kan betragtes som en pris, som en dataansvarlig må betale for at behandle andre personers oplysninger. Det er tilsynsmyndighederne der fastsætter de konkrete tekniske krav Hjemmel Hjemmelsprincippet står ikke direkte i loven, men det følger generelt, at personoplysninger ikke må behandles uden lovhjemmel. Dette er vel det mest overordnede princip. 2. Oplysningstyper Der er forskellige oplysningstyper siden ikke alle oplysninger skal behandles på samme måde. Når man deler oplysningstyper op så er det for at sikre at der ikke sker en mere lempelig beskyttelse af de sensitive oplysninger, da man ikke kan kræve en retlig stærk beskyttelse af de mere almindelige oplysninger Følsomme oplysninger 7s1: Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Listen her er udtømmende og der visse oplysninger der efter dansk retstradition godt kunne behandles som følsomme. Dette er der gjort bod på ved at introducere 8 om semi-følsomme oplysninger. Dette kunne fx være: tidligere offentlige straffe modtaget; sociale forhold; skatte oplysninger. 3. Behandlingsbetingelser 3.1. Behandling Behandlingsbetingelserne skal forstås i lyset af reguleringens overordnede formål, der er beskyttelsen af privatlivet og den personlige integritet. Når man konkret skal vurdere behandlingen spiller det en rolle 1 hvilke slags oplysninger der behandles, 2 hvem der er den dataansvarlige Samtykke Behandlingsbetingelserne er alternativer. Individets udtrykkelige samtykke giver mulighed for at behandle dataene. Det er i 3n8, forudsat, at samtykket er specifikt, frivilligt og informeret samt i 38 at det er tilbagekaldeligt. Der er en bagdør ved kravet om god databehandlingsskik. Der kan også være en stille samtykke når nogen indgår i et kontraktforhold Brede standarder I de nu ophævede registerlove kunne registrering ske, når det er relevant eller et naturligt led i en virksomheds normale drift. Denne tradition er fortsat. Det offentlige har på denne måde nærmest fået en blankofuldmagt, eftersom en meget stor del af forvaltningens virksomhed har denne karakter. Det er dog et krav, at behandlingen skal være nødvendig, hvilket i hvert fald formelt må betegnes som en vis stramning i forhold til ældre ret. For den private sektor kan det ske når det er nødvendigt og interessen heri vejer tungere end hensynet til de registreredes grundlæggende interesser. Det er en positiv nydannelse at der kan tages hensyn til de registrerede Følsomme oplysninger Brede standarder er mere betænkelige i forhold til følsomme oplysninger, eftersom disse angår det private kerneområde. IV - Databeskyttelsesrettens struktur 7 / 17 Databeskyttelsesret

8 Behandling af disse kan kun ske, såfremt denne er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, 7s2n4. Dette giver i sig selv de offentlige myndigheder meget vide bestemmelser Vurdering Loven kan ikke beskrives som restriktiv som den har fået ry for. Der er gode muligheder for at påbegynde databehandling. Det overordnede hensyn er integritetsværnet. 4. Tilsyn og kontrol Domstolene kan ikke varetage kontrollen alene i dette specialiseret område, og det er derfor nødvendigt med en særlig myndighed, Datatilsynet Tilsynssekretariatet Da det ikke er muligt at foretage en detailkontrol af alle databaser for Datatilsynet, bliver deres opgave i første omgang formidlende, en kontakt til de dataansvarlige. Der kan være et problem i at sekretariatet hører under Justitsministeriet da der er høj jobrotation. Det ville være mere hensigtsmæssigt med faste medarbejdere Placering I mange lande hører Datatilsynet ikke under noget ministerium men er selvstændigt, og har dermed bedre muligheder for at finde nye og bedre rutiner og lovforslag. Hvis placeringen skal ændres, så burde det være en fritstående myndighed med en placering direkte under Folketinget Den bureaukratiske regulering Anmeldelsespligten sikrer at der ikke kommer for meget bureaukrati i tilsynet. Der er fuld offentlig adgang til disse Inspektioner Datatilsynet har beføjelser til at foretage inspektioner, jf 62s2-4. Det er først og fremmest sikkerhedsforholdene, der kan vurderes på denne måde, men også andre momenter som fx fremgangsmåden ved behandling af indsigtsanmodninger kan inddrages. Inspektionerne kan også benyttes til at styrke dialogen med de dataansvarlige Generelle kompetencer 1 Sikring af et acceptabelt beskyttelsesniveau, 2 høres i forbindelse med nye retsforskrifter Tilsynets betydning Tilsynet er meget centralt i databeskyttelsen, især fordi domstolene stort set aldrig afgør databeskyttelses sager. IV - Databeskyttelsesrettens struktur 8 / 17 Databeskyttelsesret

9 V - Privatliv vs. Informationsfrihed Der er et skisma mellem de to hensyn. 1. Informationsfrihedens omfang og grænser Ytringsfrihed som en mulighed for at bringe information til torvet uden at myndighederne blander sig heri. Altså individets retsposition i forhold til staten. Et modhensyn til informationsfrihed er privatlivets fred. Det er velkendt i det moderne samfund, at det især er massemedierne, der varetager de almene politiske funktioner, som informationsfriheden tilsigter sigter at støtte. Pressefrihed opfattes derfor ofte som et synonymt begreb. Europa: Informationsfrihedens formål er at sikre et aktivt fungerende demokrati, hvilket ikke nødvendigvis er det samme som, at enhver personoplysning uden begrænsninger skal kunne gøres offentligt tilgængeligt. USA: Informationsfrihed er et nærmest absolut dominerende hensyn, jf 1. amendment til USA's forfatning. Man kunne i stedet arbejde for en opdeling af forskellige typer af oplysninger. Og kun give ubrydelige informationsfrihed til dem som er vigtige for indsigt og kontrol med forfatningens virksomhed. 2. Overordnede regler I EMK anerkendes privatlivets fred og informationsfrihed i henholdsvis artikel 8 og 10. Det er hermed lagt op til et skisma mellem individuel og politisk rettighed. 3. Det strafferetlige værn Der er visse oplysninger som er beskyttet gennem straffeloven: 1 oplysninger om private forhold, 2 æreskrænkninger, 3 racistiske udtalelser. 4. Databeskyttelsesretten Der er en lempelse af databeskyttelsesretten i journalistisk øjemed: behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterære virksomhed. Der er dermed anerkendt et behov for afbalancering. Vurdering skal konkret foretages af Datatilsynet. 5. Offentlighed En åben forvaltning er et ideal, der harmonerer godt med et aktivt og deltagende demokrati. Hidtil har adgangen til offentlighed i praksis særligt været til gavn for massemedierne, men de moderne muligheder vil være til gavn for alle, der direkte vil kunne skaffe sig adgang til oplysningerne. Fx vil der måske i fremtiden være mulighed for at borgerne selv søger direkte i statens sagsakter, uden at skulle bede om aktindsigt. Let adgang til de oplysninger, forvaltningen besidder, er i god harmoni med informationsfrihedens demokratiunderstøttende funktion. 6. Konklusion Det er en svær balance, hvis opnåelse vanskeliggøres af et konstant ændrende samfund. V - Privatliv vs. Informationsfrihed 9 / 17 Databeskyttelsesret

10 VI - Den offentlige sektor Det traditionelle udgangspunkt for databeskyttelsen er netop mod staten (også amter og kommuner). 1. Reguleringsomfanget Det er den kommunale forvaltning der har det største interesse, da det er her størsteparten af de sager der vedrører borgere bliver behandlet. Databeskyttelsesloven gælder både Folketinget og Domstolene. 2. Digitale og manuelle data Det samme regelværk gælder for begge typer behandlinger af data. Dermed er journaler og registre også omfattet af reglerne. Derimod er manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke omfattet af registerbegrebet. Derimod vil disse kunne være omfattet af offentlighedsloven og forvaltningsloven. Dette gør det til tider svært for ikke specialister at finde ud af hvilket regelsæt man skal benytte når man står over for en personoplysning. Offentlighedsloven eller databeskyttelsesloven. 3. Samkøring Problemet ved samkøring/sammenstilling er især en profilering. Profilerne fortæller ofte mere om personen end personen selv ved. Segmenteringen af det offentlige så de ikke har adgang til hinanden oplysninger er uheldigt for effektiviteten. En myndighed må ikke afkræve en borger dens oplysning når borgeren allerede har givet denne til en anden myndighed, og denne ligger inde med den elektronisk. Kontradiktion er hjemlet i Forvaltningsloven 19, og dette kunne fungere som en sikkerhedsventil mod uheldige virkninger af samkøring. En borger har ret til kontradiktion i de tilfælde, oplysningerne skal danne grundlag for en administrativ afgørelse. Men da det kun er den særdeles årvågne borger som vil gøre dette er de forvaltningsretlige garantier ikke nok til at legitimere samkøring. Et modargument er at det vil give en billigere forvaltning at have samkøringer, og det er vi alle som skatteydere interesseret i. Det er som regel særlovgivning som skaber mulighed for samkøringen, og det er ikke nok at Datatilsynet jf 57 skal høres inden den gennemføres, da de ikke er forpligtigede til at følge Datatilsynets opfattelse. I dansk ret er der tradition for at kræve, at borgerne skal være orienteret om, at samkøring vil finde sted, forinden de foretager dispositioner, der kan blive omfattet af en sådan samkøring. Men en adviseret samkøring er dog stadig ikke uproblematisk. 4. Kommercialisering Spørgsmålet er her om det offentlige har mulighed for at sælge de personoplysninger som de ligger inde med til private virksomheder. Der er en del betænkeligheder derved. Men individet er ikke ejer af sine oplysninger, men det er den dataansvarlige heller ikke. Det er mere nærliggende at antage at den dataansvarlige har oplysningerne i sin varetægt. Problematisk: 1 Det er ofte borgernes pligt at aflevere oplysninger, 2 Forvaltningen må ikke kræve flere oplysninger end det er nødvendigt, men en kommercialisering skaber en kommerciel interesse for myndigheden i at skaffe så mange oplysninger som muligt. Dermed bør det undgås, at persondata får varekarakter, men Blume mener at en vis synergi er tilladt. 5. Afsluttende overvejelser Det har i menneskeretlig baggrund altid været staten som potentielt var den store privatlivskrænker. Men det er ikke helt så slemt da der allerede indenfor den offentlige forvaltning findes en række regulering som skal begrænse den frie informationsstrøm. Derimod er der ikke nogen fast regulering ud over Personoplysningsloven indenfor den private sektor. VI - Den offentlige sektor 10 / 17 Databeskyttelsesret

11 VII - Den private sektor 1. Regulering Individets beskyttelse af sine personoplysninger er i den europæiske databeskyttelsesret lige så stærk mod private virksomheder som den er mod det offentlige. Men det er først og fremmest grund til at fremhæve at det kun i begrænset omfang er pligt til at afgive personoplysninger i den private sektor. I mange tilfælde vil oplysninger blive afgivet, fordi dette er eller opleves at være nødvendigt for at opnå en eller anden ydelse. Dette kan være et arbejde eller en vare. Uden en retlig regulering vil individet ikke have nogen form for sikkerhed for, hvad oplysningerne efterfølgende bliver brugt til. Reguleringsbehovet er især blevet tydeligt i informationssamfundet, hvor personoplysninger har fået varekarakter og i sig selv er blevet et kommercielt gode. I Danmark indførtes i 1978 en registerlov som specielt dækkede den private sektor, men der fandtes også en anden registerlov for det offentlige. Direktivet 95/46 har som pointe at individets beskyttelse mod den private sektor og den offentlige skal være lige stærk. 2. Markedsføring Den direkte markedsføring er baseret på en identifikation og karakteristik af forbrugeren, men det er ikke sikkert at der er et integritetsproblem. Det som allerede er reguleret i Danmark er det direkte fremmøde som telefonsalg og dørsalg. Oftest ligger problemet ikke indenfor databeskyttelsesretten, men indenfor forbrugerretten og markedsføringsretten, især til markedsføringslovens 1 om god markedsføringsskik. I loven om visse betalingsmidler er der et direkte forbud mod at benytte de elektroniske spor til markedsføringsformål. Individet kan sikres mod markedsføring på tre måder: 1 et direkte forbud, 2 via samtykke, hvor denne er nødvendig for at kunne foretage en direkte markedsføring, 3 en indsigelsesret, som er den svageste beskyttelse, hvor forbrugeren kan takke nej til den direkte markedsføring. Ofte synes et samtykke at være for vidtgående og for tungt et arbejde for den dataansvarlige. Markedsføring er tre forskellige sager: 1 Markedsføring af sine produkter mod egne kunder. 2 Markedsføring af andres produkter mod sine egne kunder. 3 Sælge sine kunders oplysninger til tredjemand for denne markedsføring af sine produkter. To andre direktiver har stor betydning: direktiv 97/7 EF om fjernsalg og 97/66 EF vedrørende privatlivsbeskyttelse i telesektoren. Markedsføringslovens 6a, der forudsætter for fjernkommunikation at visse metoder kun må anvendes såfremt forbrugeren har givet sit samtykke. Dette giver et forbud mod spam i elektronisk post. CPR. En række forbrugere ønsker generelt ikke at modtage markedsføring. For disse er der mulighed for at få registreret en generel indsigelse i CPR. Hvis informationerne kommer herfra har forbrugeren en generel indsigelsesret robinson listen. Afsluttende: Selvom forbrugerne gives væsentlige rettigheder, udgør de ikke nogen forhindring for kommercialisering af personoplysninger. 3. Koncerner Hvordan behandlingen af personoplysninger indenfor en koncern skal behandles. Et af årsagerne til at virksomheder fusionerer er en bedre og mere rationel udnyttelse af de samlede personoplysninger som findes i virksomheden. HR virksomheder er selvstændige virksomheder og personoplysninger må ikke flyde imellem dem. U1 Banker og sparekasser har mulighed for intern samkøring under tavshedspligt (Blume mener ikke at der er tilstrækkelig garanti blot ved tavshedspligten mod integritetskrænkelser.) U2 Almindelige erhvervsmæssige hensyn medfører dog, at der ved den konkrete anvendelse af de databeskyttelsesretlige regler kan tages visse hensyn til, at koncerner ikke bør stilles ringere end andre selskaber, medmindre dette er indiceret. Koncerners samkøring: Medens samkøring tidligere var forbudt med en dispensationsbeføjelse for Registertilsynet, findes der i dag ikke nogen særlig regler herom, udover at samkøring normalt skal anmeldes, jf 48, eller have tilladelse af Datatilsynet, jf 50s1. 4. Personnumre Det problematiske er den individuelle, positive identifikation. Anglesakserne synes at dette er udtryk for en autoritær stat. Men også at der er mulighed for at blot ved at indtaste et personnummer har man adgang til et væld af informationer, måske alle informationer tilgængelige om den person. Personoplysningslovens 11s2, angiver forskellige grundlag for behandling af personnumre: 1 lovhjemmel, fx når private skal hjælpe med at inddrive skat fra medarbejdere. 2 Samtykke, som altid skal samtykket være specifikt, informeret og frivilligt. 3 Videnskabeligt / statistisk. Videregivelse er OK hvis det er led i den almindelige arbejde mellem virksomheder. Men offentliggørelse kræver altid samtykke, 11s3. 5. Adfærdskodekser Adfærdskodekser er en svag form for regulering som er hjemlet i 74, som skal give en mere detaljeret regulering af bestemte brancher. Disse udarbejdes i samarbejde med Datatilsynet, der udover at påse at loven overholdes, kan yde vejledning. I det omfang kodeksen er forhandlet og således ligner det, der i kontraktretten betegnes agreed documents, vil den kunne danne grundlag for en form for certificering, hvor den enkelte dataansvarlige virksomhed vil kunne reklamere med, at den overholder kodeksen. Dermed får dette et element af selvregulering. VII - Den private sektor 11 / 17 Databeskyttelsesret

12 Adfærdskodekser vil ikke kunne erstatte lovregulering, bl.a. fordi håndhævelsesmekanismerne ikke er tilstrækkeligt stærke, men sådanne kodekser udgør et nyttigt supplement. VII - Den private sektor 12 / 17 Databeskyttelsesret

13 VIII - Rettigheder Databeskyttelsesretten tager sigte på at væren det enkelte individs personlige integritet. Det er en naturlig del af denne beskyttelse, at der i lovgivningen gives borgerne rettigheder, som har til formål at gøre dem i stand til at varetage deres egen integritetsbeskyttelse. Rettighederne erstatter ikke, men er et supplement til myndighedskontrol. 1. Rettighedstyper Der findes de 1 Automatiske rettigheder som gør at den dataansvarlige altid skal meddele den registrerede et eller andet, og der findes de 2 Manuelle rettigheder hvor den registrerede selv skal udøve sin rettighed da den ikke vil blive gjort for ham. Det kan være svært med de manuelle rettigheder hvis den registrerede står i forhold til den dataansvarlige, fx hvis han søger om sociale tilskud, så ønsker han ikke at genere socialforvaltningen ved at bede om fx indsigt. En god løsning er den anonyme rettighedsudøvelse hvor den registrerede benytter fx internettet for finde ud af hvilke oplysninger den pågældende myndighed har registreret og benytter. 2. Retten til information? I POL er der fastsat en almindelige informationsforpligtelse. Den dataansvarlige er under alle omstændigheder forpligtet til at give følgende informationer: Hvem han er og hvad formålet er med den påtænkte behandling; yderligere information i den konkrete situation. Tidspunktet: 3. Indsigt Indsigtsretten er den klassiske rettighed indenfor databeskyttelsen. Problemet er 1 at der behandles data mange steder, og det derfor er vanskeligt for den registrerede at kunne få et samlet overblik over alle hans data som er registreret, 2 det er ikke altid man kender den fysiske placering af den dataansvarlige. I personoplysningsloven 31s1, er det dog nærmere præciseret, hvad en indsigtsanmodning giver adgang til. Der skal herefter gives information om, hvilke oplysninger der bliver behandlet, formålet hermed, kategorier af modtagere af oplysningerne samt tilgængelig information om, hvorfra oplysningerne stammer Begrænsninger Nogle gange er der begrænsninger i indsigtsretten, og dette er oftest af til hensyn for den registrerede selv, fx i helbredsoplysninger. Nægtet indsigt kan indenfor personoplysningslovens område altid påklages til Datatilsynet, jf 58s1 og 60. Interne dokumenter er undtaget. Der er især tænkt på at indsigt ikke skal kunne krænke erhvervshemmeligheder, immaterielrettigheder, og interne arbejdsgange hos det offentlige Tvungen indsigt (ansættelsesforhold) Der er her tænkt på ansættelsesforhold hvor en overordnet beder den underordnet benytte sin indsigtsret til at få indblik i information om den underordnet. Kodeordet i indsigtsretten er frivillighed. Men det vil være umuligt for den dataansvarlige at finde ud af om det er frivilligt, og det ville også være en dårlig løsning at begrænse indsigtsretten. Den bedste løsning er gennem anden lovgivning fx at begrænse virksomhedernes ret til indblik i ansattes helbredsforhold Automatisk indsigt Ikke hjemlet i loven. Ideen er at den dataansvarlige med tids mellemrum giver information til den registrerede hvad angår hvilke information han gemmer på. Der er ressourcemæssige problemer med denne løsning Den personlige hjemmeside Dette er en form for automatisk indsigt som kræver færre ressourcer. Dette kunne opnås ved en digital signatur. 4. Korrektion Korrektion skal gennemføres hvis oplysningerne er urigtige, og er der uenighed om dette træffes afgørelse af Datatilsynet jf. 58s1 og 60. Meddelelsespligt: Korrektionen skal meddeles til tredjemand som har modtaget de urigtige oplysninger, 37s2. 5. Indsigelsesret En indsigelse mod en behandling af data som synes særligt krænkende for den registrerede, 35. Er indsigelsen berettiget skal behandlingen stoppe. Indsigelsesretten indebærer en mulighed for at stoppe en behandling, der i øvrigt er lovlig. 6. Automatiske afgørelser I 39 gives der den registrerede en indsigelsesret i forhold til afgørelser, der har retsvirkninger eller væsentlig betydning for den pågældende, i de tilfælde afgørelsen udelukkende træffes maskinelt. U1 Denne indsigelsesret gælder ikke i kontraktforhold, der er etableret på den registreredes initiativ, eller når afgørelsen er lovhjemlet med tilstrækkelige garantier for den registrerede. Denne særlige indsigelsesret kan muligvis opfattes som et udtryk for en tilnærmelses til et princip om, at persondata i forbindelse med en afgørelse, der påvirker borgerens personlige forhold, skal behandles af en menneskelig hånd. VIII - Rettigheder 13 / 17 Databeskyttelsesret

14 IX - Internationale dataoverførsler Det er udgangspunktet at data skal kunne udveksles i vores internationale verden, - men det skal ske på en betryggende måde. 1. Udgangspunktet HR, der skal være en tilsvarende beskyttelses i importlandet som exportlandet. Der er dog visse elementer som taler for at der burde være en stærkere beskyttelse. Fx synes det mere uoverskueligt for den registrerede at hans oplysninger sendes til udlandet, trods indsigt vil han have vanskeligheder ved sproget. Som modargument står den registrerede ikke alene, da han kan måske få hjælp af det nationale datatilsyn. Hensynet til det internationale samarbejde taler også imod. 2. Tilstrækkeligt beskyttelsesniveau Konkret gælder al form for overførsel, dvs. både via åbne og lukkede datalinjer, også via fysisk transport af harddiske eller computere. Man vil ikke kunne lave et total forbud mod overførsler da det vil hindre udviklingen af det internationale samfund. Og for skrappe regler virker som vi er ved at bygge et fort Europa. 3. Indenfor EU Det kan ikke siges at der findes den samme lov for databeskyttelse i hele EU. Der er mange af direktivets paragraffer som lægger det op til det enkelte medlemsland selv at definere reglerne. Der findes dermed en del nationallovgivning på dette område. Det er vigtigt at have dette in mente når man skal vurdere hvorvidt Tredjeland opfylder betingelserne for samme beskyttelse. 4. Tredjelande Tilstrækkelighedsnorm. I gældende ret er udgangspunktet, at der kun kan ske dataeksport til et tredjeland, såfremt dette garanterer et tilstrækkeligt beskyttelsesniveau, hvilket betyder, at direktivets grundlæggende regler skal være accepteret i landets retlige regulering. 29 arbejdsgruppen undersøger om et tredjeland opfylder kravene, inklusiv hvorvidt videre eksportering fra tredjeland er tilstrækkelig gode. Men om end 29 gruppen har stor betydning er det Kommissionen der træffer den endelige afgørelse om beskyttelsen er god nok, jf 31. Kravene som vil kunne stilles er nok: 1 et datatilsyn udover, 2 tilstrækkelig lovgivning. Der er mulighed for eksport til den offentlige sektor i tredjeland hvis denne yder tilstrækkelig beskyttelse. Vurderingen af om eksporten kan foretages påhviler den dataansvarlige, men dette vil ofte være vanskeligt, ofte skal de ske med tillige tilladelse fra Datatilsynet. Måske vil der i fremtiden udarbejdes en Hvidliste / positiv liste for hvilke lande der må eksporteres til. Undtagelser: Ofte vil der kunne eksporteres alligevel hvis 1 den registrerede har givet sit samtykke, 2 den registrerede er i et kontraktforhold så han på den måde har accepteret eksporten, 3 hvis dataeksporten har sig grundlag i en kontrakt mellem de implicerede dataansvarlige. Dette sidste forudsætter dog at datatilsynet har accepter den pågældende kontrakt USA Den amerikanske forfatning indeholder ikke nogen eksplicit beskyttelse af privatlivet, idet det er retten til kommunikation, der tillægges primær betydning. Der findes dog en god del beskyttelse af privatlivet i relation individ-stat gennem amendments og the Privacy Act fra Især i den private sektor kan den amerikanske databeskyttelsesretlige lovgivning karakteriseres som et kludetæppe med mange huller. Intet datatilsyn på federalt niveau Safe harbor EU var meget interesseret i at finde en løsning med USA og ikke komme til at virke som et fort Europa. Der blev lavet en aftale om Safe Harbor som fungerer på den måde at virksomheder tilmelder sig et beskyttelsesniveau. Sanktionsmuligheden er den svage del, for måske er der ikke nogen reel sanktionsmulighed ud over at en virksomhed ikke længere bliver anerkendt som en safe harbor ved brud på aftalen. Aftalen består af en hovedtekst og 15 FAQ med uddybende forklaringer. For andre lande har den aftale også betydning, da de nu har mulighed for at tegne en aftale efter samme model med EU Efter Safe Harbor Man kunne måske fortsætte med at lave flere Safe Harbor aftaler, men det bedste vil være at lave en konvention på globalt plan for beskyttelsen af personoplysninger. Det kunne være under WTO regi, men det vil være uheldigt siden det er en handelsorganisation og ikke en menneskerettigheds organisation. Under alle omstændigheder vil udformningen af en konvention tage lang tid, og spørgsmålet om dataoverførsler vil være uløst i en del år fremover. The challenge is to find a way between the global and the local. IX - Internationale dataoverførsler 14 / 17 Databeskyttelsesret

15 X - Internettet 1. Det kommunikative rum For internettet er der ikke noget centrum som reguleringen kan rette sig imod. 2. Retligt udgangspunkt For dansk jurisdiktion gælder naturligvis de danske regler på internettet. Det kunne være hvis serveren eller den dataansvarlige befinder sig i Danmark, eller på anden måde hvis der indsamles oplysninger om danskere. 3. Anonymitet Et princip om at nettet ikke er sikkert, og derfor må der være ret til anonymitet. For at begrænse de risici der er forbundet med nettets åbne karakter. Men anonymitet er en utopi hvis der skal være muligt at restforfølge folk, fx blot i det mindste for brud på databeskyttelsesretten. 4. Informationsfrihed Der kommunikeres meget på internettet og dette er informationsfrihed, frihed til at tale. For chatting angår: Ud over de modifikationer af dette udgangspunkt, der følger af 2s2 (afvejningsnorm), er det i 2s3, fastslået, at persondatabehandling med henblik på aktiviteter af rent privat karakter ikke er omfattet af loven, hvilket indebærer, at videregivelse af oplysninger, som tilsigter dette formål, kan ske under forudsætning af, at straffelovens privatlivsbeskyttende regler ikke overtrædes. 5. Offentliggørelse 6. Links To spørgsmål: 1 Hvis en myndighed offentliggør en oplysning via internettet, gælder der så særlige, strengere regler end hvis den var offentliggjort i ikke-digitaliseret form?, 2 Hvis der sker en offentliggørelse via internettet, om det indebærer en international dataoverførsel, som skal bedømmes efter reglerne i bogens kapitel 9. Til spørgsmål 1: Nej der gælder ikke strengere regler. Men i forbindelse med en fremtidig revision af offentlighedsloven bør det overvejes, om der skal fastsættes særlige regler for denne form for offentliggørelse. Til spørgsmål 2: Ja det er en offentliggørelse. Det er dermed lidt usikkert hvor meget man kan offentliggøre via internettet. Man er nød til at have meget sikre metoder for at sikre at kun dem som er berettiget har adgang til dem. Gældende ret giver ikke nogen sikker løsning på linksansvaret. Retspolitisk er der god grund til fremover at være opmærksom på de risici for integritetskrænkelser, som brugen af links kan aktualisere. 7. Elektronisk handel Ved elektronisk handel er det klart at personoplysninger er en vare. Videregivelse af specifikke oplysninger forudsætter et 1 samtykke, der skal være 2 frivilligt, 3 specificeret og 4 informeret samt er 5 tilbagekaldeligt. Forudsætningen for, at et samtykke eller en manglende indsigelse kan anerkendes, er, at forbrugeren gives information, der omfatter den dataansvarliges identitet og at oplysninger vil blive videregivet til markedsføringsformål. Der stilles ikke formkrav til denne information, men den skal være tydelig og forståelig. Sikringen af persondata vil kunne ske gennem forbruger organisationer som infomediaries som sikrer at elektronisk handels virksomhederne driver en sund politik for datasikkerhed. Der findes en form for markedsbetingede certificering som Trust.e og andre som kan hjælpe med denne selvregulering. 8. Arbejdspladser Medarbejdernes brug af internettet. Disse problemer vedrører juridiske relationer mellem den almindelige strafferetlige beskyttelse af brevhemmelighed og privatlivets fred, personoplysningslovens principper samt den arbejdsretlige regulering. Nogle steder accepteres privat post, der ikke åbnes, hvis den er mærket personlig e. lign., medens man andre steder betragter al post som virksomhedens og foretager en generel central poståbning. Da en ansat på arbejde er underlagt arbejdsgiverens tilsyn, er det klart at dette har indflydelse på vurderingen af databeskyttelsesniveauet som vil være på nogle punkter lavere end hvis medarbejderen havde fri. På dette grundlag må det accepteres, at en arbejdsgiver har ret til at overvåge og læse post, der sendes og modtages på virksomhedens maskinel, forudsat at denne politik er meddelt og kendt af medarbejderne. Der bør udøves skånsomhed over for privat post, der læses ved en tilfældighed, og de personoplysninger, der fremgår af denne, bør selvsagt ikke misbruges. Surfing: arbejdsgiveren har ret til at bestemme hvilke slags hjemmesider medarbejderen må kigge på når han er på arbejde. 9. Teknologier m.m. Cookies: hvis formål er at brugeren kan præsenteres for en raffineret form for individualiseret markedsføring. Juridisk er det lidt svært at beskrive. Det er nemlig ikke en person der identificeres, men derimod computeren. Det vil være svært at forbyde cookies. Intelligente agenter kan føles krænkende. PET er privacy enhancing technologies. Deres anvendelse er udtryk for det gamle ord om, at svaret på teknologien er teknologien selv. Cyberangels er mennesker som hjælper frivilligt på nettet og en slags ord for netetikken. Til sidst beder Blume om et internationalt samarbejde, da problemerne ved internettet ikke kan løses via national lovgivning alene. X - Internettet 15 / 17 Databeskyttelsesret

16 XI - Overvågning 1. Introduktion I moderne tid karakteriseres overvågningen ved at være udbredt, teknologiseret og upersonlig. Freds retten, at kunne færdes i fred på offentlige områder. Men det synes svært at give denne ret, især nu hvor vi har kameraer på mange offentlige steder, og hvor det faktisk viser sig at mange borgere rent faktisk sætter pris på disse, fx på banegården. 2. Tv-overvågning Tv-overvågning sker gennem et kamera. Straffeloven indeholder et vist værn mod dette. Ifølge Strfl. 264a kan filmisk overvågning ikke ske af personer, som befinder sig på ikke frit tilgængelige områder, idet det er uden betydning, hvor den overvågende er placeret. 264d indeholder en vis beskyttelse mod overvågning på frie områder Lov nr. 76 af om filmisk overvågning. Efter 1s1, må private ikke tv-overvåge veje, pladser og lignende områder, hvor der foregår almindelig færdsel. For offentlige myndigheder gælder der ikke nogen tilsvarende begrænsning og ej heller krav om, hvorledes overvågningen skal finde sted, medmindre regler herom er fastsat i anden lovgivning. Blume synes det ville være en god ide om det offentlige i det mindste skulle saglig begrunde deres overvågning, i stedet for blot at få tilladelsen. I 2 skilles mellem overvågning med optagelse (som kræver skiltning) og overvågning uden optagelse (som kan foretages uden skiltning),. 3s1 foretages overvågning af områder, hvortil der er almindelig adgang, skal der ved skiltning eller anden måde gives oplysning herom. Der kan ske overvågning på tankstationer, fabriksområder og overdækkede butikscentre m.m. Det er utrygt at det ikke er reguleret nærmere, dog kan fx straffelovens 232 om blufærdighedskrænkelse anvendes mod tv-overvågning på toiletter, omklædningsrum. Alligevel ville det være ønskeligt med en regulering som stiller krav om, at overvågningen skal være særligt indiceret ved, at der er realistisk risiko for tab. Problemet vil være hvis vi ikke kan være forbrugere i fred. Siden 1998 kan der også ske overvågning på private arbejdspladser forudsat at dette er skiltet. Siden 1999, blev loven yderligere udvidet til at omfatte offentlige myndigheders overvågning af steder og lokaler hvortil der er almindelig adgang, forudsat at der er skiltning. Indenfor politiet må der kun ske overvågning indenfor 1½ år som efterforskning. Det må forudsættes at politiet er underlagt menneskerettighederne Overvågningens data Som HR er filmoptagelser omfattet af databeskyttelsesdirektivet, jf præamblens betragtning 16, og dermed også personoplysningsloven, uanset at der ikke i loven er fastsat bestemmelser herom. Dette forudsætter i den offentlige sektor, at oplysningerne opbevares i digital form, medens det i den private sektor er tilstrækkeligt, at de er genfindelige. Det er muligt for butikker lovligt at registrere oplysninger om butikstyve etc., forudsat at der indgives politianmeldelse, idet oplysningerne kan opbevares, indtil straffesagen er afsluttet. Det må dog antages at det er sjældent at det er tilladt at registrere og videreformidle de indsamlede data. Det er kun oplysninger i forbindelse med efterforskning af et strafbart forhold der vil kunne behandles. Disse begrænsninger finder yderlige støtte på formålsbestemthedsprincippet i 5s2. Det bør til sidst præciseres, at selvom der ikke gennemføres nogen efterfølgende behandling, så udgør denne form for registrering stadig en truende sky over det private liv. 3. Vejtrafikovervågning Først var der tv-overvågning af motorvejene, også for at sikre penge fra bøder. Senere er der en meget stor overvågning på broerne (også for at sikre betalingen), dette er muliggjort ved broerne er ejet af private virksomheder, og det er derfor overvågning af privatområder som sker. En videre udvikling er GPS som skal benyttes med Road Pricing, hvilket retssikkerhedsmæssigt kunne være et problem. 4. Samkøring, mht. offentlige ydelser Socialt bedrageri er ikke ønskeligt eller acceptabelt. Men i Danmark er der en høj grad af anmeldelsespligt for at undgå dette. Dette gælder især de offentligt ansatte, fx selv pædagoger i børnehave institutioner. Der er desuden en høj grad af dyneløfteri med uanmeldte besøg. Og for husejere og udlejere er der oplysningspligt for hvem der bor og opholder sig i husrum. 5. Selvovervågning / webcams I dag er der mange der benytter webcams, fx i deres børnehaver så de altid kan følge med i hvordan deres børn har det. Det kunne være en tendens til en udvikling af et overvågningssamfund. Et andet eksempel er den uhæmmede brug af mobiltelefoni. 6. International dimension Informationsteknologi giver i almindelighed muligheder for at gennemføre transnationale overvågninger, der kan kombineres med intensiveret informationsudveksling. Der er sket en udvikling siden Schengen og Europol. Senere er der en stor diskussion om Echelon. XI - Overvågning 16 / 17 Databeskyttelsesret

17 XII - Databeskyttelsens fremtid Der kan være en stor tvivl om databeskyttelsens berettigelse og effektivitet. Der er mange som mener at information sharing er det som skal udvikle vores samfund, og en databeskyttelse er med til at hindre denne udvikling. Medens immaterialretten værdibeskytter, så værdibegrænser databeskyttelsesretten. Det er i internettet ikke altid muligt at leve op til direktivets krav. Danmark er et af de mest kontrollerede lande i verden, hvis ikke den mest. Persondata har økonomisk værdi og bliver tillagt stor betydning for virksomhedernes indtjeningsevne. Der er tvivl om hvor meget værdi lovgivningen har. Det vil ofte være en trossag om databeskyttelsesretten har gavnet samfundet da det ikke kan bevises. Der er mange individer som er imod nogen form for begrænsning på internettets udvikling. Integritetssikker måde at behandle persondata på, som er kodeordet. Teknologi konstante udvikling skaber reguleringsmæssige problemer. Disse vanskeligheder forstærkes af, at den nationale ret ikke har noget sikkert fodfæste i Cyberspace. Det må i det teknologiserede og internationaliserede samfund fremstå som usikkert, om den almindelige borger kan forstå og administrere sin egen beskyttelses interesse. Der er problem med demokratiet / Folkestyret at man ikke har selvindflydelse. Databeskyttelsen er under pres for at udvide informationsstrømmen. Jurister, privacy advocates for at dette kan fungere. Blume nævner til sidst uro mod geografiske informationssystemer og bioinformation (iris identifikation). XII - Databeskyttelsens fremtid 17 / 17 Databeskyttelsesret