Er du i tvivl så lad være! IT- og Telestyrelsen. Lille søgende oplæg om Blog-etik. Søren Hegstrup, lic.phil.

Transkript

1 Er du i tvivl så lad være! Lille søgende oplæg om Blog-etik. Søren Hegstrup, lic.phil. Det er vanskeligt at give konkrete retningslinjer for, hvad man kan skrive på sin web-blog og det er endnu vanskeligere at giver retningslinjer for, hvad man kan skrive på en pædagogisk institutions web-blog. Juristerne i UVM er noget tilbageholdende med at svare på spørgsmålet om, hvad man må og ikke må. Holdningen er, at det er et vanskeligt emne at komme ind på; men er du i tvivl så lad være! Det samme siger juristerne i hhv. Datatilsynet og i IT- og Telestyrelsen. Den juridiske logik og praksis er at henvise til Persondatalovens 6. om håndtering af følsomme personoplysninger og til GL s Lov om ytringsfrihed. I begge tilfælde indskærpes, at man iagttager regler for tavshedspligt vedr. håndtering og videregivelse af følsomme personoplysninger eller fx billeder/videooptagelser. Ikke mange ved, at man fx ikke må lægge (digitale)fotos ud på Internettet af offentlige ansatte, der er i arbejde. Når der ikke gribes ind skylde det, at den forulempede selv skal tage affære. Hvis et billede af et barn i en børnehave eller nogle unge mennesker fra et gymnasium kan opfattes som profil eller portrætfoto, så skal personen bag portrættet (eller dennes pårørende) give tilsagn. I det følgende refereres til, hvad Datatilsynet og IT- og Telestyrelsen mener om jura og etik vedr. vores stigende elektroniske kommunikation. IT- og Telestyrelsen Holsteinsgade 63, 2100 København Ø, www. it-borger.dk Etik på blogs Alle kan læse med på din blog, så tænk over hvad du skriver! En blog også kaldet weblog er din helt egen hjemmeside. Oprettet og redigeret af dig. Derfor er det også dig, der bestemmer indholdet og har ansvaret. Du bør derfor lige tænke over, hvad du lægger på bloggen af tekster, billeder og links. En blog kan nemlig læses af alle, der kan gå på internettet. Også din chef, nabo og ekskæreste eller dine kolleger, svigerforældre og gamle skolekammerater. Ja, også journalister, myndigheder eller en kommende arbejdsgiver kan falde over eller måske endda ligefrem søge efter din blog. Andre læser med Så du skal ikke lægge noget på din blog eller lave indlæg på andre blogs om noget, som du ikke vil stå ved eller har lyst til at blive konfronteret med senere hen. Selv om det er skrevet til en lille kreds eller i et muntert øjeblik, kan det findes af andre.

2 Du skal også være opmærksom på, at selvom du sletter en tekst, vil den ofte alligevel kunne findes, fordi den bl.a. gemmes i Google s cache-funktion. Nogle udenlandske tjenester tilbyder dog oprettelse af blogs, hvor det kræver adgangskode at læse dem. På de fleste blogs er det muligt at kræve adgangskode for at kunne skrive i dem, så du på den måde selv kan bestemme, hvem der må lave indlæg. Ytringsfrihed I Danmark er der ligesom i mange andre lande meget vide rammer for, hvad du kan ytre offentligt også på internettet. Du kan være kritisk over for politikere, myndigheder, institutioner, organisationer og virksomheder også over for dit uddannelsessted eller din arbejdsgiver. Men overvej dog, hvad du skriver. For det kan måske få følger både positivt og negativt. Ytringsfriheden gælder på blogs ligesom i alle andre sammenhænge og giver dig også ret til at omtale enkeltpersoner. Det er dog vigtigt at tage hensyn til privatlivets fred og de love, der er lavet herom. Du må heller ikke overtræde injurielovgivningen eller udtrykke racistiske holdninger. Ophavsret Udover reglerne om ytringsfrihed skal du også tage hensyn til reglerne om ophavsret. De gælder på blogs ligesom i alle andre sammenhænge og sætter begrænsninger på, hvad du frit må kopiere og lægge på din blog. Ved siden af de rent juridiske begrænsninger er der også nogle mere moralske hensyn at tage. Det bør bl.a. klart fremgå, hvem og hvad man citerer eller linker til. Tydelige kildehenvisninger er vigtige af hensyn til både ophavsmanden og dine læsere. Du bør heller ikke bruge løsrevne citater, der ude af sammenhæng eller uden nærmere forklaring kan virke misvisende. Det er ikke fair over for hverken ophavsmand eller læser. Du bør derfor gøre dig nogle etiske overvejelser om brug af citater på din blog og eventuelt formulere dem, så du og andre er opmærksomme på dem (omformuler ). Det bør du gøre ikke alene af hensyn til de - ret få - lovmæssige begrænsninger, men i høj grad også af hensyn til dig selv og andre. Så din blog ikke giver dig unødig besvær og ballade, men bliver til gavn og glæde. Retten til at ytre sig og læse andres ytringer Du har ikke nødvendigvis ret til at læse alt, hvad der ligger på nettet, men du har ret til at ytre dig frit. Internettet er underkastet de samme regler som andre medier, dvs. Grundlovens 77 og den Europæiske Menneskerettighedskonvention artikel 10. Du kan altså ytre dig frit på internettet. Ansvar for ytringer Du skal dog være opmærksom på, at du kan komme til at stå til ansvar for de ytringer, du kommer med på din hjemmeside eller i diskussioner på nettet. Fx kan nedsættende eller ubegrundede beskyldninger mod enkeltpersoner indklages for en domstol af personer, som føler sig krænkede af det, du har skrevet på din hjemmeside.

3 Ret til censur En internetudbyder er ikke forpligtet til at stille alt indhold til rådighed for brugerne. Du bør derfor være opmærksom på, om en internetudbyder lægger begrænsninger på, hvilket materiale du får adgang til. Typisk vælger internetudbyderne at begrænse adgangen til de såkaldte nyhedsgrupper på internettet, men der er også eksempler på, at internetudbyderne blokerer for adgang til bestemte sider på internettet. Regler om injurier og chikane Ytringsfrihed betyder bl.a., at du ikke må tale med ringeagt eller lægge bestemte grupper for had. Du må ikke krænke en andens ære ved fx at sige noget, som kan få andre til at se ned på en person (straffelovens 267, ). Dette gælder også på hjemmesider og i s. Rent juridisk skelner man mellem ringeagtsytringer og sigtelser. Sigtelse En sigtelse er en konkret beskyldning om, at en person fx er en tyveknægt, narkoman eller morder. Hvis nogen skriver på deres hjemmeside, at du fx er en tyveknægt, så skal de kunne bevise dette. Ellers kan du få rettens ord for, at det ikke er korrekt. Ringeagt Almindelige ringeagtsytringer er vanskeligere at forsvare sig imod, da det kan være vanskeligt at afgøre, om en person er en nar. Derfor er det ikke tilladt at offentliggøre den slags nedsættende betegnelser blot med det formål at nedgøre andre. Racisme eller lægge for had Tilsvarende er det forbudt fx at lægge bestemte grupper for had. Dette fremgår af straffelovens racismeparagraf ( 266 b). Retten til at ytre sig privat Er en privat? Hvis man sætter sig ved en pc på biblioteket, hvor en anden bruger har glemt at lukke for adgangen til sin personlige konto, må man så bare læse i de private breve? Vores brevhemmelighed er beskyttet af Straffeloven ( 263) - det gælder også vores private korrespondance. Derfor er det strafbart at læse andre personers private s. Det er også forbudt fx at hacke og at slette andres private s. Har politiet en konkret mistanke om, at du har begået en alvorlig lovovertrædelse, kan de dog få ret til at se, hvad du har foretaget dig i forbindelse med brug af internet og m.m. Regler om forulempelse Må du fx sende en masse s til en bestemt person for at gøre det klart, at du ikke bryder dig om

4 vedkommende? Lige som med ærekrænkelser gælder der tilsvarende regler for forulempelser (Straffelovens 265). Du må ikke forulempe andre mennesker heller ikke ved brug af internet. En forulempelse er... Forulempelser kan bestå af trusler eller æreskrænkelser, men også det at kontakte en anden person gentagne gange uden at fremsætte trusler eller lignende kan være forulempende, også hvis det foregår over . Du må altså ikke overdynge en anden persons adresse med store mængder af s, som blot tjener til at forulempe vedkommende, og som fx gør det vanskeligt for personen at bruge sin adresse til almindelig dagligdags kommunikation. Hvis du forulemper andre ved brug af eller på anden vis kan politiet give dig en advarsel (et polititilhold). Yderligere forulempelser bliver herefter strafbare. Overførsel af ulovlig information og e-handelsloven Danmark er omfattet af EU s e-handelsdirektiv, som indeholder regler om tjenesteudbyderes ansvarsfrihed for overførelse og opbevaring af "ulovlig information" Direktivet er gjort til dansk ret ved e-handelsloven. E-handelsloven fastslår, at tjenesteudbydere, fx din internetleverendør, som udgangspunkt ikke er erstatningsansvarlige eller strafferetligt ansvarlige for oplysninger, som tjenesteudbyderen opbevarer eller videresender som led i elektronisk kommunikation. Tjenesteudbyderen kan under normale omstændigheder ikke gøres ansvarlig for overførelse af information via fx internettet. Tjenesteudbydere, der lagrer information for deres kunder (hosting), er heller ikke ansvarlige for indholdet af eksempelvis hjemmesider, forudsat at tjenesteudbyderen ikke har kendskab til eventuelt ulovligt indhold, og at tjenesteudbyderen hurtigt efter kendskab fjerner materialet. Tjenesteudbydere kan ikke pålægges en generel pligt til at overvåge f.eks. de hjemmesider, som de hoster, eller andre informationer som lagres eller sendes i deres systemer. Hvad gør du, når du ikke får din ret? Hvis du føler dig krænket eller føler dig forulempet, og du ikke mener, at du kan komme videre med at rette op på dette ved at kontakte den anden part, så kan du gøre udbyderen opmærksom på problemet og anmelde dette til politiet.

5 Regelgrundlag Indledning Der har i de seneste år kunnet konstateres en stigning i omfanget af ulovligt og uønsket indhold på nettet. Det være sig især åbenlyst ulovligt indhold som børneporno, men også tilfælde med eksempelvis racistiske ytringer og opfordringer til vold, hvor det kan være vanskeligere at vurdere, om der er tale om ulovligt materiale. Udbydere af elektroniske kommunikationstjenester, der stiller internetadgang til rådighed for kunderne, spiller en central rolle i håndtering og bekæmpelse af sådanne sager. De danske udbydere har således adgang til dels at fjerne ulovligt og uønsket indhold i Danmark, dels at blokere for adgang til hjemmesider med ulovligt indhold i udlandet. På den anden side spiller udbyderne også en væsentlig rolle for informations- og ytringsfriheden i Danmark i takt med, at internettet er blandt danskernes foretrukne medier til informationssøgning og meningsudveksling. Formålet med denne rapport er derfor at klarlægge, hvilken rolle internetudbyderne kan og bør spille for håndtering af ytringsfriheden og bekæmpelse af ulovligt indhold. Rapporten skal blandt andet analysere mulige tiltag, herunder tekniske løsninger, til en forbedret håndtering af ulovligt indhold og ytringsfrihed Borgernes it-rettigheder Med brev af 17. december 2003 har Videnskabsministeriet anmodet IT- og Telestyrelsen om, at tage initiativ til at samle internetudbyderne, samt relevante brugere og brancheorganisationer til drøftelse af mulighederne for udarbejdelse af et branchekodeks med retningslinjer for behandlingen af tvivlsspørgsmål med hensyn til bestemte ytringer på nettet. Anmodningen tager udgangspunkt i udvalget om borgernes it-rettigheders anbefalinger, hvoraf en konkret anbefaling vedrører internetudbydernes ansvar for ytringsfrihed: Udvalget om borgernes it-rettigheder opfordrer internetudbyderne til at aftale et branchekodeks med retningslinier for behandlingen af tvivlsspørgsmål mht. at afvise bestemte ytringer på internettet. Et branchekodeks med retningslinier bør tage særligt hensyn til internetudbydernes afgørende rolle for sikringen af ytringsfriheden på internettet og respektere udbydernes ret til at udvikle og udbyde særegne tjenester. Det fælles grundlag bør endvidere sikre, at en enkelt internetudbyder ikke kan isoleres og udsættes for et eksternt pres, der får udbyderen til at give efter for interesser, der vil hindre udbredelsen af den ytringsfrihed, som kendes fra Grundloven til også at omfatte internettet. Endelig skal det fælles grundlag naturligvis respektere konkurrencereglerne. Efter drøftelse med Videnskabsministeriet blev det overvejet at lade sagen om ytringsfrihed indgå i departementets projekt om spam i Efter det første møde med interessenterne i spam-projektet i marts 2004 blev det imidlertid besluttet i samråd med departementet, at emnet ytringsfrihed ikke på en hensigtsmæssig måde kunne indgå i spam-arbejdet.

6 2.2. Henvendelse fra ISP-kreds vedr. ulovligt og uønsket indhold Projektet tager ydermere udgangspunkt i brev af 6. juli 2004, hvori Videnskabsministeriet videresendte en henvendelse fra IT-Brancheforeningen vedrørende dennes såkaldte ISP-kreds. I brevet tilbyder IT- Brancheforeningen at præsentere kredsens arbejde med bekæmpelse af ulovligt og anstødeligt indhold på nettet. På den baggrund anmodede Videnskabsministeriet IT- og Telestyrelsen om at deltage i førstkommende møde i ISP-kredsen med henblik på at undersøge, hvilke muligheder, herunder tekniske, der er for bedre at kunne bekæmpe børneporno på internettet. IT- og Telestyrelsen deltog derfor i ISP-kredsens møde den 31. august ISP-kredsen er nærmere beskrevet i rapportens afsnit Rapportens formål Da de to problemstillinger om ytringsfrihed og begrænsning af ulovligt indhold er nært knyttet, har IT- og Telestyrelsen valgt at tage emnerne op i en samlet rapport. Dermed sikres, at en analyse af begrænsning af ulovligt indhold tager passende hensyn til ytringsfrihed og omvendt, at hensynet til ytringsfrihed afvejes over for bekæmpelse af ulovlige aktiviteter på internettet som fx fremstilling af børneporno. Rapporten vil kortlægge de eksisterende initiativer til bekæmpelse af ulovligt indhold og håndtering af ytringsfriheden. Med udgangspunkt i udbydernes centrale rolle for henholdsvis bekæmpelse af ulovligt indhold på internettet og beskyttelse af ytringsfrihed vil rapporten gennemgå den gældende lovgivning for området med det formål at klarlægge, hvilke specifikke rettigheder og pligter internetudbyderne er underlagt. På baggrund af eksisterende initiativer og regelgrundlaget analyseres en række mulige initiativer til en forbedring af håndtering af ulovligt indhold og ytringsfrihed, hvilket munder ud i en anbefaling af konkrete initiativer på området Afgrænsning af problemstillingen Rapporten omfatter indhold på internettet. Der skelnes ikke mellem, hvilken terminalløsning der benyttes for at få adgang til internettet. Både traditionelle Internet Service Providers (ISP) såvel som mobiludbydere, der leverer internettjenester til mobil, er omfattet af udbyderbegrebet i nærværende rapport. Den væsentligste forskel på indhold på internettet og traditionelt indhold på fx mobilterminaler er, at udbyderen af indhold på internettet ikke nødvendigvis har kendskab til eller kontrol over indholdet. Traditionelle tjenester som SMS, MMS og indholdstjenester på 90-numre er derimod ofte tjenester, der opkræves betaling for via telefonregningen, hvilket giver en vis form for kontrol. Informations- og indholdstjenester med integreret taksering reguleres i bekendtgørelse nr. 638 af 20. juni 2005 om udbud af elektroniske kommunikationsnet og -tjenester, der bl.a. sikrer brugeren mulighed for spærring af disse tjenester. For så vidt angår indholdstakserede sms er har teleudbyderne udarbejdet en brancheaftale for udbud af mobile indholdstjenester via sms. Rammeaftalen eller brancheaftalen omhandler tillige udbud af indhold af erotisk, seksuelt og pornografisk karakter såkaldt voksenindhold. Disse tjenester udbydes kun via 16xxserien. Det påhviler udbyderen at sikre sig, at brugeren er myndig, før der gives adgang til disse tjenester.

7 Rapporten er endvidere afgrænset til at vedrøre indhold, der er ulovligt efter straffeloven eller særlovgivningen eksempelvis børneporno, æreskrænkelser, racistiske ytringer mv. Rapporten omhandler således ikke udbyderens forpligtelser i relation til spam, virus, phising eller andre former for it-kriminalitet. Den manglende kontrol af indhold på internettet gælder indhold, der kan tilskrives internetudbyderens egne kunder og som gemmes eller opbevares på udbyderens netværk. Det gælder naturligvis også indhold, som downloades af udbyderens kunder fra det globale internet og som kan have sin oprindelse i andre nationale eller udenlandske netværk. Internettets globale karakter sætter således ikke grænser for adgangen til indhold på tværs af netværk. Den globale karakter af internettet betyder ligeledes, at udbyderne kan benytte forskellige midler til at begrænse ulovligt indhold. Udbyderen har mulighed for at fjerne indhold, som opbevares på udbyderens eget netværk. Udbyderen kan derimod ikke fjerne indhold, der opbevares på eksterne netværk fx i udlandet. Men der findes i dag forskellige værktøjer, der kan hindre adgangen til indhold Informations- og ytringsfrihed Informations- og ytringsfrihed handler om retten til at modtage og meddele oplysninger og meninger. Det er et af de afgørende kendetegn på et demokrati. Grundloven indeholder i 77 en bestemmelse om ytringsfrihed, og i Den Europæiske Menneskerettighedskonventions artikel 10 er der fastsat en bestemmelse om informations- og ytringsfrihed. Grundlovens 77 anses for at være til hinder for ordninger, hvorefter offentliggørelse af visse ytringer som sådan er formelt forbudt, og offentliggørelse derfor kun er lovlig, hvis forbuddet gennembrydes af en tilladelse. Grundlovens 77 indeholder således et forbud mod censur. Derimod kan der ved lov fastsættes materielle begrænsninger i ytringsfriheden, således at indholdet af visse ytringer gøres ulovlig. Man vil således kunne ifalde et efterfølgende ansvar, hvis man har fremsat en ytring, der bedømt ud fra en sådan lovgivning har et ulovligt indhold. Den Europæiske Menneskeretskonventions artikel 10 har et bredere sigte end grundlovens 77. Den beskytter således både retten til at meddele og retten til at modtage oplysninger, og den beskytter mod efterfølgende ansvar i det omfang, staten ikke vil kunne foretage indgreb i medfør af artikel 10, stk. 2. Der kan foretages indgreb i ytringsfriheden, når følgende betingelser er opfyldt: indgrebet skal have hjemmel i lov, indgrebet skal varetage et eller flere af de hensyn, der er opregnet i konventionen (art. 10, stk. 2) og indgrebet skal være nødvendigt i et demokratisk samfund. Ytringer om spørgsmål af almen samfundsmæssig interesse nyder en særlig beskyttelse under artikel 10. Der kræves således særligt tungtvejende grunde til at gøre indgreb i forhold til sådanne ytringer. Den Europæiske Menneskeretskonvention art. 10: Enhver har ret til ytringsfrihed. Denne ret omfatter meningsfrihed og frihed til at modtage eller meddele oplysninger eller tanker, uden indblanding fra offentlig myndighed og uden hensyn til landegrænser. Denne

8 artikel forhindrer ikke stater i at kræve, at radio-, fjernsyns- eller filmforetagender kun må drives i henhold til bevilling. Stk. 2. Da udøvelsen af disse frihedsrettigheder medfører pligter og ansvar, kan den underkastes sådanne formaliteter, betingelser, restriktioner eller straffebestemmelser, som er foreskrevet ved lov og er nødvendige i et demokratisk samfund af hensyn til den nationale sikkerhed, territorial integritet eller offentlig tryghed, for at forebygge uorden eller forbrydelse, for at beskytte sundheden eller sædeligheden, for at beskytte andres gode navn og rygte eller rettigheder, for at forhindre udspredelse af fortrolige oplysninger, eller for at sikre domsmagtens autoritet og upartiskhed Udbyderens ansvar efter straffeloven Der er ikke i straffeloven særlige regler om en internetudbyders ansvar for hjemmesider med ulovligt indhold. Der er desuden ikke efter straffeloven en forpligtelse for udbyderen til at overvåge hjemmesidernes indhold og som hovedregel heller ikke en pligt til at indgive anmeldelse til politiet, hvis udbyderen bliver bekendt med, at hjemmesiderne indeholder ulovligt materiale. Vurderingen af, om en internetudbyder kan gøres strafferetlig ansvarlig for hjemmesider med ulovligt indhold, beror derfor på de almindelige regler om strafbar medvirken, jf. straffelovens 23. Et ansvar for strafbar medvirken (ved passivitet) vil efter omstændighederne kunne komme på tale, hvis en udbyder, der oplagrer information leveret af en kunde, ikke fjerner hjemmesider eller links til hjemmesider med ulovligt indhold, selv om udbyderen er blevet opmærksom på, at der er tale om ulovligt indhold, eksempelvis børneporno, trusler eller ærekrænkende eller racediskriminerende udsagn E-handelslovens ansvarsregler Direktivet om elektronisk handel er gennemført i dansk ret ved lov nr. 227 af 22. april 2002 om tjenester om informationssamfundet, herunder visse aspekter af elektronisk handel (E-handelsloven). Loven administreres af Forbrugerstyrelsen. E-handelsloven indeholder også visse bestemmelser om udbyderes (eller formidleres) ansvar for ulovligt indhold. Formålet med e-handelsloven er at opstille visse generelle rammer og minimumskrav til e-handel således at forskelle mellem fysisk handel og e-handel udlignes. Loven finder anvendelse på enhver tjeneste, der har kommercielt sigte, og som leveres online. E-handels direktivet præciserer ydermere, at informationssamfundstjenester også omfatter tjenester, der består i at udsende information via kommunikationsnetværk, give adgang til et kommunikationsnetværk eller være vært for information, som leveres af tjenestemodtageren Ansvarsfrihed Lovens indeholder bestemmelser om formidleres ansvarsfrihed i relation til straf og erstatning for indholdet af det materiale, som de formidler på andres vegne. Fritagelser for ansvar omfatter kun de tilfælde, hvor en informationssamfundstjenesteyders aktivitet er begrænset til den tekniske drift af og indrømmelse af adgang til et kommunikationsnet, hvor tredjemands informationer transmitteres eller

9 oplagres midlertidigt. Leverandøren af informationssamfundstjenesten må hverken have kendskab til eller kontrol over de informationer, der transmitteres eller oplagres. Bestemmelserne fastlægger alene, hvornår formidlere er fri for ansvar. Er lovens betingelser for ansvarsfrihed ikke opfyldt, kan formidleren gøres ansvarlig, såfremt de gældende regler om, hvornår der forelægger et strafferetligt eller erstatningsretligt ansvar, er opfyldt. Dette spørgsmål reguleres således ikke af lovens ansvarsfrihedsbestemmelser, men i stedet af fx straffeloven og de erstatningsretlige regler Indgrebsmuligheder Ifølge 16, stk. 2 i lov nr. 227 af 22. april 2002 om tjenester i informationssamfundet, herunder visse aspekter af elektronisk handel, skal en leverandør af en informationssamfundstjeneste, som består i oplagring af information, når denne får konkret kendskab til ulovlige aktiviteter, straks tage skridt til at fjerne informationen eller hindre adgangen til den. Fjernelsen af informationen eller hindringen af adgangen til den skal foretages under overholdelse af ytringsfriheden og de procedurer, der er fastlagt på nationalt plan med henblik herpå. Der kan anvendes forskellige former for foreløbige retsmidler som afgørelser fra domstole eller administrative myndigheder, hvori det kræves, at eventuelle overtrædelser bringes til ophør eller forhindres, herunder at ulovlige informationer fjernes, eller at adgangen til dem hindres. Initiativ til indgreb kan således komme fra domstolene eller relevante administrative myndigheder, jf. 6 stk. 1, i lov om tjenester i informationssamfundet, herunder visse aspekter af elektronisk handel Indhold på nationale kommunikationsnet og indhold fra andre lande E-handelslovens 4 indeholder et afsenderlandsprincip, der bygger på principper om hjemlandskontrol og gensidig anerkendelse. Loven undtager imidlertid visse områder og aktiviteter fra afsenderlandsprincippet. Det giver fx danske myndigheder mulighed for i konkrete tilfælde at fravige princippet om gensidig anerkendelse og gribe ind efter en særlig procedure over for en tjenesteyder etableret i en anden medlemsstat, såfremt indgrebet er nødvendigt for at varetage særlige hensyn som beskyttelsen af folkesundheden, den offentlige sikkerhed og forbrugerne fx salg af børneporno på internettet, jf. 6. Af lovbemærkningerne til e-handelsloven fremgår, at bestemmelsen kræver, at der udøves et konkret skøn i hvert enkelt tilfælde i forhold til de i bestemmelsen opregnede hensyn, herunder om foranstaltningen står i rimeligt forhold til målet. Ifølge e-handelslovens 6, stk. 2, skal myndighederne i etableringslandet, inden foranstaltninger træffes, opfordres til at gribe ind. Bestemmelsen finder imidlertid ikke anvendelse på foranstaltninger, der træffes som led i efterforskning og afgørelse af straffesager. Bestemmelsen er primært tiltænkt tilfælde, hvor informationssamfundstjenesten er tilladt på tjenesteyderens etableringssted, men fundamentalt strider mod retsopfattelsen i modtagerlandet, jf. lovbemærkningerne til 6, stk. 1. Bestemmelsen gælder endvidere kun mellem EU medlemsstater Konklusion i forhold til udbyderes rettigheder og pligter Udbydere af kommunikationsnet- og tjenester nyder ansvarsfrihed i relation til straf og erstatning for indholdet af det materiale, som de formidler på andres vegne.

10 Ansvarsfrihed forudsætter dog, at udbyderen hverken har kendskab til eller kontrol over de informationer, der transmitteres eller oplagres. Når udbyderen får konkret kendskab til ulovlige aktiviteter, skal denne for at undgå ansvar straks tage skridt til at fjerne informationen eller hindre adgangen til den. Disse indgreb kan således både gå ud på at fjerne information og at hindre adgang til information. Danske domstole eller administrative myndigheder kan træffe afgørelse om, at eventuelle overtrædelser bringes til ophør eller forhindres, herunder at ulovlige informationer fjernes, eller at adgangen til dem hindres. Konklusioner Formålet med rapporten er at klarlægge, hvilken rolle internetudbyderne kan og bør spille for på den ene side håndtering af ytringsfriheden og på den anden side bekæmpelse af ulovligt indhold. Rapporten kortlægger eksisterende initiativer til bekæmpelse af ulovligt indhold og sikring af tryggere rammer for internetbrugere. Derudover gennemgås gældende lovgivning for internetudbydernes håndtering af ulovligt indhold og ytringsfrihed. Endelig analyserer rapporten behovet for yderligere tiltag herunder mulige tekniske løsninger til en bedre bekæmpelse af ulovligt indhold. Det skal indledningsvis bemærkes, at nærværende rapport henviser til en betænkning, som Straffelovrådet offentliggør om kriminalisering af generelle opfordringer til selvmord m.v. De to rapporter er nært beslægtede, da de behandler en ensartet problemstilling Eksisterende initiativer En kortlægning af de eksisterende initiativer til bekæmpelse af ulovligt indhold viser, at Danmark allerede har en række veletablerede tiltag på plads til forbedring af sikkerhed ved brugernes færden på internettet. Den danske regering udgav i 2003 handlingsplan om bekæmpelse af seksuelt misbrug af børn, hvor nedenstående initiativer indgår og er beskrevet som elementer i den nationale indsats. Red Barnet har siden 1998 haft en hotline til anmeldelse af pornografi med børn fundet på internettet. Red Barnet samarbejder med Rigspolitiet om efterforskning af danske sager og med internetudbyderne om fjernelse af børneporno på nettet. Red Barnet, Rigspolitiet, det Kriminalpræventive Råd og internetudbyderne har endvidere nedsat en uformel mødegruppe under IT-Brancheforeningen, der jævnligt udveksler erfaringer vedr. bekæmpelse af børneporno og andre former for it-kriminalitet. Red Barnet og det Kriminalpræventive Råd har desuden udarbejdet en informationskampagne Sikkerchat, der har til formål at informere teenagebørn og begyndere på internettet om, hvilke forholdsregler de bør tage, når de chatter på internettet.

11 Medierådet har ligeledes udarbejdet en informationskampagne, der henvender sig til børn, unge, forældre og lærere. På webportalen ( ligger der blandt andet undervisningsmateriale og gode råd til forældre samt tips til unge til sikker surf. I forbindelse med racistiske ytringer på internettet har Dokumentations- og rådgivningscenteret om racediskrimination (DRC) oprettet en adresse, hvor brugere af internettet har mulighed for at indrapportere racistiske trusler og links på hjemmesider med racistiske ytringer. DRC behandler indrapporteringen i samarbejde med politiet. Med ovennævnte tiltag er Danmark allerede godt på vej til at opfylde en række af de forslag til EUmedlemslandene, der følger af EU-kommissionens projekt om fremme af en sikrere brug af internettet (Safer Internet Plus). Programmet skal etablere praktiske tiltag for at tilskynde brugerne til at anmelde ulovligt indhold til nationale instanser Regelgrundlag Grundlovens 77 anses for at være til hinder for ordninger, hvorefter offentliggørelse af visse ytringer som sådan er formelt forbudt, og offentliggørelse derfor kun er lovlig, hvis forbuddet gennembrydes af en tilladelse. Grundlovens 77 indeholder således et forbud mod censur. Derimod kan der ved lov fastsættes materielle begrænsninger i ytringsfriheden, således at indholdet af visse ytringer gøres ulovlig. Man vil således kunne ifalde et efterfølgende ansvar, hvis man har fremsat en ytring, der bedømt ud fra en sådan lovgivning har et ulovligt indhold. Den Europæiske Menneskeretskonventions artikel 10 har et bredere sigte end grundlovens 77. Den beskytter således både retten til at meddele og retten til at modtage oplysninger, og den beskytter mod efterfølgende ansvar i det omfang, staten ikke vil kunne foretage indgreb i medfør af artikel 10, stk. 2. Vurderingen af, om en internetudbyder kan gøres strafferetlig ansvarlig for hjemmesider med ulovligt indhold, beror på de almindelige regler om strafbar medvirken, jf. straffelovens 23. Et ansvar for strafbar medvirken (ved passivitet) vil efter omstændighederne kunne komme på tale, hvis en udbyder, der oplagrer information leveret af en kunde, ikke fjerner hjemmesider eller links til hjemmesider med ulovligt indhold, selv om udbyderen er blevet opmærksom på, at der er tale om ulovligt indhold. Ifølge e-handelsloven nyder udbydere af kommunikationsnet- og tjenester ansvarsfrihed i relation til straf og erstatning for indholdet af det materiale, som de formidler på andres vegne, såfremt udbyderen hverken har kendskab til eller kontrol over de informationer, der transmitteres eller oplagres. Når udbyderen får konkret kendskab til ulovlige aktiviteter, skal denne dog straks tage skridt til at fjerne informationen eller hindre adgangen til den. Danske domstole eller administrative myndigheder kan træffe afgørelse om, at eventuelle overtrædelser bringes til ophør eller forhindres, herunder at ulovlige informationer fjernes, eller at adgangen til dem hindres. Indgreb skal altid foretages med passende hensyn til ytrings- og informationsfriheden.

12 1.3. Mulige initiativer til forbedret bekæmpelse af ulovligt indhold og håndtering af ytringsfriheden På baggrund af de eksisterende initiativer og regelgrundlaget har IT- og Telestyrelsen undersøgt behovet for yderligere initiativer. Konklusionerne præsenteres nedenfor: Selvregulering af internetudbydernes håndtering af ulovligt indhold og ytringsfrihed Internetudbyderne har oplyst, at de vil udarbejde et branchekodeks for håndtering af ulovligt indhold og ytringsfrihed. Branchekodekset forventes at kunne offentliggøres medio september Branchekodekset skal medvirke til at skabe større klarhed og gennemsigtighed om internetudbydernes procedurer og retningslinier for håndtering af ulovligt indhold og ytringsfrihed. Et branchekodeks vil endvidere medvirke til at sikre, at henvendelser om fjernelse eller hindring af adgang til indhold håndteres ensartet af udbyderne. Filtreringsløsninger Filtreringsløsninger er en metode til at begrænse internetbrugernes adgang til uønsket indhold. For alle filterløsninger gælder, at de kan bedømmes på deres evne til at identificere indhold, der skal filtreres bort samt deres evne til ikke at frasortere lødig eller gavnlig information. Der findes i dag ikke en løsning, hvor det er teknisk muligt at foretage en effektiv sortering af uønsket information, uden at gavnlig information ligeledes vil blive ramt. Frasortering af gavnligt indhold kan virke som en begrænsning af ytrings- og informationsfriheden. Dette har konsekvenser for, på hvilket niveau og i hvilket omfang man kan anbefale en implementering af filterløsninger. Filterløsninger kan implementeres på forskelligt niveau: Brugerniveau ISP-niveau Nationalt niveau For at starte bagfra så har en national filtreringsløsning af den samlede internettrafik til Danmark så store økonomiske og administrative konsekvenser, at det ikke vurderes realistisk. Dertil kommer at løsningen vil betyde indskrænkelser af ytrings- og informationsfriheden samt borgernes frie valg. For så vidt angår filtrering af internettrafikken på ISP-niveau, så vurderer IT- og Telestyrelsen at frivillige aftaler mellem internetudbyderne og fx de danske hotlines er en mulighed. En del af aftalegrundlaget kan endvidere være, hvorvidt filtreringen også kan dække erhvervskunder. Aftalerne kan således være et konkurrenceparameter for den enkelte ISP. Aftaler mellem internetudbyderne og fx Red Barnets hotline vil afhængig af antallet af aftaler kunne begrænse adgangen for de internetbrugere, der aktivt opsøger ulovligt indhold på internettet. De vil dog aldrig fuldstændig kunne stoppe for adgangen til ulovligt indhold. Eventuelle frivillige aftaler mellem internetudbyderne og de forskellige hotlines bør indgås under hensyn til ytrings- og informationsfriheden. Der bør derfor være klare procedurer for, hvordan man undlader at blokere for uskyldigt og lødigt indhold. Det bør samtidig vurderes om filtreringen udføres effektivt, og

13 hvorvidt effektiviteten af blokeringen står mål med internetudbydernes ressourceforbrug og evt. kvalitetsforringelser på kundens internetforbindelse. Endelig kan den individuelle bruger købe kommercielle filterløsninger enten hos sin internetudbyder eller i almindelig handel. Individuelle filterløsninger giver primært brugeren mulighed for selv at frasortere uønsket indhold. Derimod hindrer man ikke en brugers aktive søgen efter ulovligt indhold. Det er IT- og Telestyrelsens vurdering, at man bør bakke op om internetudbydernes udbud af kommercielle filtreringsværktøjer til egne kunder og opfordre til fortsat udbud af filtreringsværktøjer af høj kvalitet og til rimelige priser. Samtidig bør internetudbydere og andre relevante aktører opfordres til at informere de danske borgere om udbuddet af kommercielle filtreringsværktøjer samt forhold ved brug af filtreringsværktøjer i form af risiko for overfiltrering, egen indflydelse på filterindstillinger mv. Eksponering af eksisterende oplysningstiltag Som skitseret ovenfor foregår der allerede en del oplysningsarbejde til forbedring af sikkerhed ved brugernes færden på internettet. Efter IT- og Telestyrelsens vurdering er det imidlertid hensigtsmæssigt, at disse oplysningstiltag i højere grad eksponeres via henvisning til de relevante organisationers arbejde. IT- og Telestyrelsen kan i forlængelse heraf foreslå, at der bliver skabt et link på borgernes it-portal: til de eksisterende hjemmesider med oplysninger til børn og unge vedrørende sikker brug af internettet. En yderligere eksponering af de eksisterende hjemmesider med information til sikker brug af internettet kunne bestå i, at der på andre offentlige forbrugerorienterede hjemmesider linkes til de relevante organisationers hjemmesider og arbejde. IT- og Telestyrelsen er i forlængelse med arbejdet med rapporten om internetudbydernes håndtering af ulovligt indhold og ytringsfrihed, indtrådt i et samarbejde med UNI-C og Medierådet for Børn og Unge om web-etik for børn og unge. Formålet med samarbejdet er, at informere lærere og elever (i første omgang 7. til 10. klasse) om, hvilke forholdsregler de bør tage, når de færdes på internettet. Informationsmaterialet der bygger på IT- og Telestyrelsens materiale samt materiale fra de to øvrige institutioner, kommer i første omgang til at ligge på lærernes undervisningsportal emu.dk, men dele af oplysningsmaterialet vil også blive lagt ud på it-borger.dk. Endelig vil der på emu.dk blive linket til IT- og Telestyrelsens hjemmeside for yderligere informationer om it-sikkerhedsmæssige forhold. Datatilsynet Borgergade 28, 5, 1300 København K

14 Lov om behandling af personoplysninger På hvilke områder gælder loven? Loven gælder for behandling af personoplysninger, som foretages af offentlige myndigheder og af private virksomheder, foreninger og lignende. Begrebet behandling omfatter enhver form for måde at håndtere oplysninger om personer på. Som de vigtigste former for behandling kan nævnes: Indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkøring og sletning. I modsætning til de tidligere registerlove er den nye lov altså ikke begrænset til kun at gælde for registre. Loven gælder som hovedregel kun for, hvordan man behandler oplysninger om personer, dvs. fysiske personer. Visse af lovens regler gælder dog også for, hvordan man behandler oplysninger om virksomheder, foreninger og lignende. Dette er navnlig tilfældet for reglerne om kreditoplysningsbureauers virksomhed. Privatpersoners behandling af personoplysninger er i mange tilfælde helt undtaget fra loven. Se nærmere om dette i afsnittet nedenfor om "Undtagelser fra loven". Hvilke typer af databehandling? Både i den offentlige og i den private sektor gælder loven først og fremmest for behandling af personoplysninger, som sker ved hjælp af elektronisk databehandling. Dvs. at loven gælder, når personoplysninger behandles ved hjælp af computerteknik, f.eks. skrivning af breve eller systematisering af persondata i en pc. "Elektronisk databehandling" omfatter altså almindelig tekstbehandling, hvori der indgår personoplysninger, men ikke brug af gammeldags, elektriske skrivemaskiner. Loven gælder også, når personoplysninger sendes over Internettet, og når personoplysninger offentliggøres på en hjemmeside på Internet. Loven gælder også, hvis oplysningerne skal indgå i et manuelt register. En systematisk samling af personoplysninger i f.eks. et papirkartotek eller i en fortegnelse er derfor omfattet af loven, både i den offentlige og i den private sektor. Herudover gælder loven for private virksomheders, foreningers, m.v. behandling af personoplysninger i en samling af aktmapper. Almindelige sagsakter i form af papirdokumenter, der indgår i en samling af sager, f.eks. samlet i et system med hængemapper eller i sagsreoler, er derfor omfattet af loven, når det drejer sig om den private sektor. Det kan f.eks. være et personalekontors aktmapper om de enkelte ansatte, en banks aktmapper om de enkelte kunder og en advokats sagsmapper. I Danmark og inden for EU Som hovedregel gælder loven kun, hvis * den dataansvarlige myndighed eller virksomhed m.v. er etableret i Danmark, og * databehandlingen foregår inden for EU s område.

15 I langt de fleste tilfælde vil en behandling af personoplysninger, som foregår i Danmark, være omfattet af den danske lov. Men der kan være situationer, hvor den dataansvarlige er etableret i et andet EU-land. I så fald er det lovgivningen i dette land, der gælder. Hvis dette giver anledning til tvivl, kan Datatilsynet hjælpe. Bemærk, at de andre EU-lande har gennemført eller er ved at gennemføre en tilsvarende lovgivning. Undtagelser fra loven I en række tilfælde gælder persondataloven ikke eller i hvert fald kun i begrænset omfang. Det drejer sig om følgende situationer: * Hvis reglerne for databehandlingen findes i en anden lov. Der findes mange love, som indeholder regler om, hvornår myndigheder og virksomheder m.v. kan eller skal indsamle, registrere, videregive og på anden måde behandle personoplysninger. * Hvis databehandlingen er beskyttet af informations- og ytringsfriheden. Loven fastslår udtrykkeligt, at den ikke skal anvendes, hvis det vil være i strid med informations- og ytringsfriheden. F.eks. er loven ikke til hinder for behandling af personoplysninger i forbindelse med udarbejdelse af læserbreve, debatindlæg og lignende, og loven forhindrer heller ikke, at man deltager i en offentlig debat på Internettet, selv om man derved bruger oplysninger om andre personer. * Hvis aktiviteterne er af rent privat karakter. Loven gælder ikke for en privatpersons brug af personoplysninger, når oplysningerne er en del af en personlig eller familiemæssig aktivitet. Det kan f.eks. dreje sig om privat korrespondance eller om adressefortegnelser over familie, venner og bekendte. * Hvis databehandlingen hører inden for strafferetten. Mange af de rettigheder, som loven giver registrerede personer, gælder ikke, hvis databehandlingen foretages af domstolene, politiet eller anklagemyndigheden inden for det strafferetlige område. Her er det i stedet reglerne i retsplejeloven, der gælder. * Folketinget. Loven gælder ikke for de databehandlinger, der foretages for Folketinget og institutioner med tilknytning dertil. Dette betyder, at loven ikke gælder for Folketingets administration, Folketingets Ombudsmand, Rigsrevisionen og Statsrevisorerne og disses sekretariat. * Mediernes elektroniske registre. De informationsdatabaser, som drives af medierne, er i langt de fleste tilfælde undtaget fra loven. Det gælder både mediernes interne redaktionsdatabaser og offentligt tilgængelige informationsdatabaser. * Arkiver med avisudklip. Manuelle arkiver med udklip fra offentliggjorte, trykte artikler er ikke omfattet af loven, hvis artiklerne udelukkende bruges i forbindelse med journalistik. * Øvrige behandlinger i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed. * Efterretningstjenesterne. Endelig gælder loven ikke for den registrering m.v., som foretages af politiets og forsvarets efterretningstjenester. Hvis du er i tvivl om, hvorvidt en behandling af personoplysninger er omfattet af persondataloven, kan du spørge Datatilsynet.

16 Hvornår må behandling af personoplysninger finde sted? Reglerne for, under hvilke betingelser offentlige myndigheder og private virksomheder, foreninger m.v. må behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil derfor ofte afhænge af en konkret vurdering i den enkelte situation, om betingelserne er opfyldt. Er man i tvivl, kan man søge råd hos Datatilsynet. Hvis man er utilfreds med den måde, ens personlige oplysninger er blevet behandlet på, kan man klage til Datatilsynet, som derefter undersøger sagen og træffer en afgørelse. Grundlæggende krav til databehandling Når en offentlig myndighed eller en privat virksomhed m.v. behandler personoplysninger, er der nogle generelle og grundlæggende krav, som altid skal være opfyldt. Disse regler giver ikke i sig selv nogen ret til at behandle personoplysninger, men hvis en behandling kan finde sted på grundlag af en af de øvrige regler i loven, skal de grundlæggende krav altid være opfyldt. De grundlæggende krav går ud på følgende: * Når man behandler personoplysninger, skal det ske i overensstemmelse med god databehandlingsskik. Dette indebærer, at den dataansvarlige nøje skal overholde reglerne i loven, såvel i ånd som bogstav, og ikke må forsøge at omgå reglerne. Den nærmere fastlæggelse af, hvad der ligger i "god databehandlingsskik", vil ske gennem Datatilsynets praksis. * Når en dataansvarlig samler personoplysninger ind, skal det stå klart, hvilket formål oplysningerne skal bruges til, og formålet skal være sagligt. Det er ikke tilladt at indsamle oplysninger, hvis man ikke aktuelt har noget at bruge dem til, men blot forventer, at der senere viser sig et formål. Om et bestemt formål med en indsamling af personoplysninger er sagligt, afhænger først og fremmest af, om der er tale om løsning af en opgave, som det er naturligt for den pågældende myndighed, virksomhed m.v. at løse. Hvad der er sagligt for den ene myndighed eller virksomhed, vil altså ikke nødvendigvis være sagligt for den anden. * En senere behandling må ikke være uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Indsamlede oplysninger kan efterfølgende principielt godt anvendes til et andet end det oprindelige formål, blot den senere anvendelse ikke er uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Hvis den senere behandling direkte modarbejder eller skader det oprindelige formål, er det klart, at behandlingen ikke kan finde sted. Herudover må det vurderes konkret, om en senere behandling må anses for så uvedkommende i forhold til det oprindelige formål, at den ikke kan accepteres. * Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder og private virksomheder m.v. ikke må indsamle og registrere flere oplysninger om den enkelte borger, end hvad der er nødvendigt. * Den dataansvarlige skal sikre sig, at der ikke behandles urigtige eller vildledende oplysninger. Viser det sig alligevel, at der behandles oplysninger, som er urigtige eller vildledende, skal disse snarest muligt slettes eller rettes. Disse krav skal bidrage til at sikre den bedst mulige datakvalitet.

17 * Indsamlede oplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt for den dataansvarlige at være i besiddelse af oplysningerne i en form, der gør det muligt at identificere den enkelte person. Også denne regel skal sikre mod dataophobning. Offentlige myndigheder - og i visse tilfælde også private virksomheder m.v. - kan dog i stedet overføre oplysningerne til Statens Arkiver, hvor der så gælder særlige regler for, hvem der har adgang til oplysningerne. Lovens regler om behandling af personoplysninger Loven indeholder en række regler om, hvornår man må indsamle og registrere personoplysninger, videregive dem osv. Hvilke regler man skal følge i den enkelte situation, afhænger af oplysningernes karakter og formålet med databehandlingen. Også andre love end persondataloven kan indeholde regler om, at en behandling af personoplysninger kan eller skal finde sted. Det er vigtigt at være opmærksom på, at begrebet "behandling" dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling af de samme oplysninger. Normalt giver det ikke anledning til tvivl, at når en offentlig myndighed eller privat virksomhed må indsamle bestemte oplysninger, så må den også systematisere, registrere, bruge og slette dem. Men det er f.eks. ikke uden videre givet, at oplysningerne også må videregives til andre. Dette skal vurderes særskilt på baggrund af reglerne om behandling. Tre typer af personoplysninger Loven inddeler oplysningerne i tre niveauer eller typer. Følsomme oplysninger om menneskers rent private forhold. Det drejer sig om oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Andre typer af oplysninger om rent private forhold anses også for at være følsomme. Det drejer sig om oplysninger om strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, f.eks. om interne familieforhold. De oplysningstyper, der ikke vedrører rent private forhold, kan kaldes almindelige personoplysninger. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke følsomme oplysninger. Generelt vil det være sådan, at der ikke - uden samtykke - må registreres og videregives almindelige og følsomme oplysninger i videre omfang, end det var muligt efter den tidligere registerlovgivning. Reglerne skønnes samtidig at give mulighed for, at behandling af oplysninger såsom registrering, videregivelse m.v., som har fundet sted efter de tidligere regler, også vil kunne ske efter persondataloven. Der findes også en række regler om særlige former for behandling af personoplysninger. F.eks. regler for retsinformationssystemer, forskning og statistik, personnumre, adresserings- og kuverteringsbureauer, og registrering af oplysninger om, hvilke telefonnumre der er foretaget opkald til.

18 Behandling af almindelige personoplysninger Behandling af almindelige personoplysninger må ske, når en af følgende betingelser er opfyldt: 1) Hvis den registrerede har givet sit udtrykkelige samtykke. Kravet om udtrykkelighed betyder, at et stiltiende eller indirekte samtykke ikke er tilstrækkeligt. 2) Hvis behandlingen er nødvendig for at kunne opfylde en aftale, som den registrerede er part i. F.eks. kan det være nødvendigt at registrere og behandle oplysninger, der fremgår af ordrer, fakturaer og lignende i tilknytning til aftaler, hvor den registrerede er aftalepart. 3) Hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. En retlig forpligtelse kan eksempelvis være en forpligtelse, der er fastsat i en lov eller en bekendtgørelse. Som et eksempel kan nævnes, at arbejdsgivere gennem regler i skattelovgivningen er forpligtede til at indsamle forskellige indkomstoplysninger om de ansatte og videregive dem til skattemyndighederne. Forpligtelser, der er pålagt den dataansvarlige ved dom eller afgørelse truffet af en offentlig myndighed, er på samme måde retlige forpligtelser. Derimod er aftaleretlige forpligtelser ikke omfattet. 4) Hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser. F.eks. kan behandling af oplysninger ske, hvis den registrerede som følge af bortrejse eller sygdom ikke er i stand til at give samtykke til behandlingen. Det er en betingelse, at behandlingen vedrører interesser, der er af fundamental betydning for den registrerede. 5) Hvis behandlingen er nødvendig for at kunne udføre en opgave i samfundets interesse. Dermed vil behandling af oplysninger til gavn for en bredere kreds af personer, eksempelvis i statistisk, historisk, informativt eller videnskabeligt øjemed kunne ske. 6) Hvis behandlingen sker som led i myndighedsudøvelse. Det er først og fremmest tilfældet, når offentlige myndigheder træffer afgørelser i forvaltningssager, f.eks. afgørelser om sociale ydelser eller afgørelser om skatteansættelser. 7) Hvis behandlingen er nødvendig for at varetage en berettiget interesse, og denne interesse overstiger hensynet til den registreredes interesser. Den dataansvarlige skal, før vedkommende behandler data, vurdere, hvorvidt hensynet til de interesser, der ønskes forfulgt med behandlingen, overstiger den registreredes interesser. Denne vurdering afhænger af mange forskellige forhold, bl.a. formålet med behandlingen. F.eks. er det tilladt at føre sædvanlige personaleregistre og registre over en virksomheds kunder og leverandører. Behandling af følsomme oplysninger Der må som udgangspunkt ikke behandles følsomme oplysninger. Det drejer sig om: Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Dog kan man behandle følsomme personoplysninger, når en af følgende 9 betingelser er opfyldt: 1) Hvis den registrerede har givet sit udtrykkelige samtykke til databehandlingen. Kravet om udtrykkelighed

19 betyder, at et stiltiende eller indirekte samtykke ikke er tilstrækkeligt. 2) Hvis behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser. Behandling, der vedrører interesser, der er af fundamental betydning for den registrerede, kan foretages i de tilfælde, hvor den registrerede ikke fysisk eller juridisk er i stand til at give samtykke. Eksempelvis i tilfælde, hvor den registrerede er dement eller bevidstløs. 3) Hvis behandlingen vedrører oplysninger, som er offentliggjort af den registrerede selv. Oplysninger er offentliggjort, når de er fortalt til en bredere kreds af personer. Som eksempel kan nævnes oplysninger, der videregives gennem tv eller aviser. Det er en betingelse, at offentliggørelsen er sket på den registreredes eget initiativ. 4) Hvis databehandlingen er nødvendig for, at et retskrav kan fastlægges. Omfattet er behandling, der sker i den dataansvarliges, tredjemands eller den registreredes interesse. F.eks. kan en arbejdsgiver eller et forsikringsselskab behandle helbredsoplysninger for at afgøre, om den registrerede har krav på erstatning. Omfattet er også offentlige myndigheders behandling af oplysninger som led i myndighedsudøvelse. F.eks. kan sociale myndigheder, der har mistanke om incest eller andre seksuelle overgreb mod børn, behandle oplysninger om disse forhold, f.eks. med henblik på politianmeldelse. 5) Behandling af oplysninger om medlemskab af en fagforening kan ske, hvis det er nødvendigt for, at den dataansvarlige kan overholde arbejdsretlige forpligtelser. Hermed sigtes til enhver form for forpligtelse og rettighed, der følger af en aftale eller en lov, blot den hviler på et arbejdsretligt grundlag. Eksempelvis er behandling, som følger af en overenskomst mellem arbejdsmarkedets parter, omfattet af undtagelsen. 6) Foreninger og andre almennyttige organisationer vil under visse betingelser kunne behandle følsomme personoplysninger. Behandlingen skal vedrøre oplysninger om organisationens medlemmer eller personer, der er i regelmæssig kontakt med organisationen. 7) Behandling af personoplysninger kan foretages, hvis det er nødvendigt i forbindelse med sygepleje eller patientbehandling. Behandlingen skal foretages af en person, der er undergivet tavshedspligt, og det skal ske i forbindelse med varetagelsen af den dataansvarliges opgaver på sundhedsområdet. 8) Hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område. Bestemmelsen skal sikre, at eksempelvis politi, domstole og anklagemyndighed kan løse deres opgaver. 9) Behandling af følsomme oplysninger kan endvidere ske af hensyn til vigtige samfundsmæssige interesser. Det kræver, at Datatilsynet giver tilladelse hertil. Denne opsamlingsbestemmelse vil kun sjældent blive brugt. Ud over disse regler er det udtrykkeligt fastsat, at en offentlig myndighed ikke må føre edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige. Behandling af andre følsomme oplysninger Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold anses også for at være følsomme og må kun behandles, når særlige betingelser er opfyldt. Som eksempler på andre oplysninger om rent private forhold kan nævnes familiestridigheder,

20 tvangsfjernelse af børn, separations- og skilsmissebegæringer og adoptionsforhold. En offentlig myndighed må kun behandle disse særlige oplysningstyper, hvis det er nødvendigt for at varetage myndighedens opgaver. Disse oplysninger må også behandles, hvis en af de 9 betingelser, som er nævnt ovenfor, er opfyldt. Myndigheden må som udgangspunkt ikke videregive disse oplysninger. Det må normalt kun ske, hvis det følger af en lov eller bekendtgørelse, eller hvis den registrerede selv har givet sit samtykke. Derudover kan der kun i særlige tilfælde ske videregivelse. Særligt når det drejer sig om myndigheder, der udfører opgaver inden for det sociale område, gælder der snævre grænser for, hvornår oplysninger kan videregives. Dette gælder for alle følsomme oplysninger, dvs. oplysninger om: Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold, strafbare forhold, væsentlige sociale problemer og andre rent private forhold. Private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold, hvis den registrerede har givet sit udtrykkelige samtykke til det. Uden den registreredes samtykke kan indsamling og registrering kun undtagelsesvis ske. Det er en betingelse herfor, at det er nødvendigt for at varetage en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Som eksempel kan nævnes en virksomheds registrering af oplysninger om strafbare forhold med henblik på at indgive politianmeldelse, f.eks. om butikstyveri. Videregivelse af disse oplysninger vil normalt kun kunne ske med den registreredes samtykke, eller hvis man skal give oplysningerne videre som følge af regler i love eller bekendtgørelser. Behandling af personnumre I den offentlige sektor må man bruge personnummeret med henblik på en entydig identifikation eller som journalnummer. I den private sektor er anvendelsen af personnummeret mere begrænset. Virksomheder m.v. må som hovedregel kun behandle personnummeret, når det følger af en lov, eller hvis den registrerede har givet udtrykkeligt samtykke hertil, og det tjener saglige formål. Det følger eksempelvis af skattelovgivningen, at en privat virksomhed, der skal foretage indberetning til skattemyndighederne af oplysninger om løn og renter, skal oplyse den registreredes personnummer. Der gælder særlige regler om private virksomheders videregivelse af personnummeret. Dette må normalt kun ske, hvis det følger af lovgivningen, hvis den registrerede har givet sit udtrykkelige samtykke, eller hvis en offentlig myndighed kræver det, f.eks. af regnskabsmæssige grunde.