Udtalelse nr. 06/2013 om videreanvendelse af åbne data og den offentlige sektors informationer (PSI)

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 1021/00/DA WP207 Udtalelse nr. 06/2013 om videreanvendelse af åbne data og den offentlige sektors informationer (PSI) Vedtaget den 5. juni 2013 Gruppen, der er nedsat ved artikel 29 i direktiv 95/46/EF, er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred, hvis opgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Gruppens sekretariat varetages af Europa-Kommissionen, Generaldirektoratet for Retlige Anliggender, Diretorat C (Grundlæggende Rettigheder og Unionsborgerskab), B-1049 Bruxelles, Belgien, Kontor MO-59 02/013. Websted:

2 GRUPPEN VEDRØRENDE BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER, som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, som henviser til dette direktivs artikel 29, artikel 30, stk. 1, litra a), og artikel 30, stk. 3, som henviser til sin forretningsorden, HAR VEDTAGET FØLGENDE UDTALELSE: I. Indledning 1.1. Revision af PSI-direktivet Den 26. juni 2013 vedtog Den Europæiske Union Europa-Parlamentets og Rådets direktiv 2013/37/EU ("PSI-ændringen") om ændring af direktiv 2003/98/EF om videreanvendelse af den offentlige sektors informationer ("PSI-direktivet"). 1 PSI-direktivet har til formål at lette videreanvendelsen af den offentlige sektors informationer ved at harmonisere betingelserne for videreanvendelse i hele Den Europæiske Union og fjerne unødvendige hindringer for videreanvendelse på det indre marked. Med den oprindelige tekst i PSI-direktivet fra 2003 harmoniserede man betingelserne for videreanvendelse, men det indeholdt ingen krav om, at offentlige instanser skulle gøre oplysninger tilgængelige til videreanvendelse. Det var i princippet valgfrit, om man ville gøre oplysninger tilgængelige til videreanvendelse, og valget blev overladt til medlemsstaterne og de berørte offentlige instanser. Resultatet blev, at mange offentlige instanser rundt om i Europa simpelthen valgte ikke at tillade, at deres oplysninger blev videreanvendt. På denne baggrund er et af hovedformålene med PSI-ændringen at indføre princippet om, at alle offentlige informationer (det vil sige alle informationer, som den offentlige sektor ligger inde med, og som er offentligt tilgængelige i henhold til national ret) kan videreanvendes til såvel kommercielle som ikke-kommercielle formål. I visse tilfælde gælder der undtagelser fra det ændrede PSI-direktiv, herunder som følge af databeskyttelsen. 2 Med det ændrede PSI-direktiv bliver det nu obligatorisk for offentlige instanser at give tilladelse til videreanvendelse af alle offentlige informationer, som er i deres besiddelse. Men som det vil fremgå nedenfor, pålægger det ikke offentlige instanser en pligt til at offentliggøre personoplysninger. Det giver kun tilladelse til videreanvendelse af informationer, hvis de allerede er offentligt tilgængelige i henhold til den nationale lovgivning, og selv da kun, hvis videreanvendelse ikke vil medføre en overtrædelse af bestemmelserne i den gældende databeskyttelseslovgivning. Andre relevante nye bestemmelser i PSI-ændringen betyder en udvidelse af PSI-direktivets dækningsområde til at omfatte biblioteker (herunder universitetsbiblioteker), arkiver og museer. 1 EUT L 175 af , s Anvendelsesområdet for det ændrede PSI-direktiv og bestemmelserne vedrørende databeskyttelse beskrives i afsnit V nedenfor. 2

3 I lyset af ovenstående giver det ændrede PSI-direktiv mulighed for en betydeligt bedre adgang til informationer, som offentlige instanser er i besiddelse af Videreanvendelse af PSI og personoplysninger Initiativer vedrørende videreanvendelse af PSI omfatter typisk, i) at hele databaser gøres tilgængelige ii) i et standardiseret elektronisk format iii) til alle ansøgere uden nogen form for screeningproces, iv) gratis (eller til begrænsede afgifter) og v) til alle kommercielle og ikkekommercielle formål uden betingelser (eller på ikke-restriktive betingelser gennem en licens, hvor dette er relevant) 3. Dette kan medføre fordele, der fører til større gennemsigtighed og innovativ videreanvendelse af den offentlige sektors informationer. Men den deraf følgende større tilgængelighed til informationer er ikke risikofri. For at minimere disse risici skal databeskyttelseslovgivningen, når der er tale om personoplysninger, udgøre en vejledning i forbindelse med udvælgelsen af, hvilke personoplysninger der kan eller ikke kan gøres tilgængelige til videreanvendelse, og hvilke foranstaltninger der skal tages for at sikre personoplysninger. I alle tilfælde, hvor beskyttelsen af privatlivets fred og personoplysninger står på spil, kræves en afbalanceret strategi. På den ene side må regler vedrørende beskyttelse af personoplysninger ikke udgøre en urimelig hindring for udviklingen af markedet for videreanvendelse. På den anden side skal retten til beskyttelse af personoplysninger og retten til privatlivets fred respekteres. Det er vigtigt at understrege, at fokus for åbne data principielt ligger på gennemsigtighed og ansvarlighed hos de offentlige instanser samt økonomisk vækst, ikke på at få indblik i de enkelte borgeres liv. Når en offentlig instans anvender PSI-direktivet og databeskyttelseslovgivningen i forbindelse med videreanvendelse af personoplysninger, vil den sandsynligvis træffe en af følgende tre typer af beslutninger: 1. en beslutning om ikke at gøre personoplysninger tilgængelige til videreanvendelse i henhold til PSI-direktivets bestemmelser 2. en beslutning om at konvertere personoplysninger til anonymiseret form (normalt til aggregerede statistiske data) 4 og kun gøre disse anonymiserede oplysninger tilgængelige til videreanvendelse 3. en beslutning om at gøre personoplysninger tilgængelige til videreanvendelse (når det er nødvendigt i henhold til specifikke betingelser og hensigtsmæssige sikkerhedsforanstaltninger) II. Formålet med udtalelsen 2.1. Konsekvent vejledning og bedste praksis Formålet med denne udtalelse er at bidrage til en fælles forståelse af den gældende juridiske ramme og tilbyde konsekvent vejledning og eksempler på bedste praksis for anvendelsen af PSI-direktivet (med ændringer) ved behandling af personoplysninger. 3 4 Bemærk, at i henhold til artikel 8, stk. 1, i det ændrede PSI-direktiv, må licensbetingelser "ikke begrænse mulighederne for videreanvendelse unødigt og må ikke benyttes til at begrænse konkurrencen". Videreanvendelse af aggregerede og anonymiserede datasæt baseret på personoplysninger beskrives i afsnit VI nedenfor. 3

4 Målet med denne udtalelse er ikke at forsøge at harmonisere de enkelte landes fremgangsmåde med hensyn til graden af gennemsigtighed, national lovgivning om aktindsigt og adgangen til information i henhold til denne nationale lovgivning. Men den nationale gennemførelseslovgivning til PSIdirektivet og den nationale fortolkning af direktiv 95/46/EF 5 i forbindelse med videreanvendelse af PSI er undertiden så forskellige, at det ikke kun kan forklares med nødvendigheden af at ville tage højde for forskelle mellem nationale ordninger vedrørende adgang og de forskellige grader af gennemsigtighed. I denne henseende illustrerer de politiske anbefalinger om personoplysninger, som er udarbejdet af det tematiske net LAPSI, tydeligt de unødvendige forskelle i medlemsstaternes omsætning af PSIdirektivet i forbindelse med beskyttelse af personoplysninger. 6 I selve PSI-direktivet advares der også om, at de juridiske forskelle og usikkerheder kan blive mere udtalte med den fortsatte udvikling af informationssamfundet, som allerede har ført til en langt større udnyttelse af informationer på tværs af grænserne. 7 Manglen på en konsekvent fremgangsmåde kan svække de berørte privatpersoners stilling. Den kan også medføre unødvendige administrative byrder for virksomheder og andre organisationer, der opererer på tværs af grænserne, og dermed udgøre en hindring for udviklingen af et fælles europæisk marked for videreanvendelse. På den ene side skal de registrerede forsikres om, at deres oplysninger er omfattet af en konsekvent beskyttelse, selv om de videresendes til en anden medlemsstat med henblik på videreanvendelse. På den anden side bør man ligeledes undgå unødig kompleksitet og opsplitning for at give mulighed for en fri strøm af personoplysninger på tværs af Europa, hvilket også er et centralt formål med direktiv 95/46/EF Behovet for en ajourføring af udtalelse nr. 7/2003 PSI-ændringen kommer et årti efter vedtagelsen af PSI-direktivet i På daværende tidspunkt vedtog Artikel 29-Gruppen en udtalelse om beskyttelse af personoplysninger i forbindelse med den offentlige sektors informationer ("Udtalelse nr. 7/2003") 8. Selv om hovedprincipperne i udtalelse nr. 7/2003 fortsat gælder, kan udviklingen på det teknologiske område og på andre områder inden for PSI og databeskyttelse, herunder de foreslåede lovændringer på begge områder, begrunde det igangværende arbejde med at ajourføre og supplere udtalelsen fra Desuden kan man nu i udtalelsen tage højde for andre nylige og igangværende bestræbelser på at yde yderligere vejledning, navnlig: udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse ("EDPS") af 18. april 2012 om Kommissionens "åbne data"-pakke Europa-Parlamentets og Rådets direktiv 95/46/EF af om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af , s. 31). LAPSI (Legal Aspects of Public Sector Information) er et europæisk tematisk netværk, der undersøger de juridiske aspekter ved den offentlige sektors informationer, og som finansieres af Europa-Kommissionen, se De politiske anbefalinger findes på Se betragtning 7. Se udtalelse nr. 7/2003 fra Artikel 29-Gruppen vedrørende Databeskyttelse om videreanvendelse af den offentlige sektors informationer og beskyttelse af personoplysninger En passende afvejning mellem modstridende interesser som blev vedtaget den 12. december 2003 (WP 83). Se også to tidligere tilhørende udtalelser fra Artikel 29-Gruppen: Udtalelse nr. 3/1999 om Information i den offentlige sektor og beskyttelse af personoplysninger, vedtaget den 3. maj 1999 (WP20), og udtalelse nr. 5/2001 om Den Europæiske Ombudsmands særberetning, vedtaget den 17. maj EDPS' udtalelse af 18. april 2012 om Europa-Kommissionens "åbne data"-pakke, herunder et forslag til direktiv om ændring af direktiv 2003/98/EF om videreanvendelse af den offentlige sektors informationer (PSI-direktivet), en meddelelse om åbne data og Kommissionens afgørelse 2011/833/EU om videreanvendelse af Kommissionens 4

5 Artikel 29-Gruppens udtalelse nr. 3/2013 om formålsbegrænsning 10 det igangværende arbejde i Artikel 29-Gruppens teknologiundergruppe vedrørende anonymiseringsteknikker 11 visse medlemsstaters arbejde med anonymisering og risikovurdering 12 og eksisterende retspraksis om afvejning af videreanvendelse og beskyttelse af personoplysninger i nogle medlemsstater. 13 III. Udtalelsens fokus og struktur I udtalelse nr. 7/2003 fokuserede man på princippet om formålsbegrænsning 14, men man behandlede også andre temaer som lovlige grunde til offentliggørelse og videreanvendelse af PSI, særlig beskyttelse af følsomme oplysninger, overførsler til tredjelande, datakvalitet og de registreredes rettigheder. Disse bemærkninger gælder stadig. I lyset af det værdifulde arbejde, der allerede er udført, ajourfører og supplerer denne udtalelse blot konklusionerne i udtalelse nr. 7/2003, hvor det er nødvendigt, i lyset af nye udviklinger inden for lovgivning og teknologi. Afsnit IV bidrager til at præcisere, at forpligtelsen til videreanvendelse under det ændrede PSIdirektiv gælder med forbehold af databeskyttelseskrav og understreger vigtigheden af "databeskyttelse i it-arkitekturen og som standard" og "risikovurdering af databeskyttelse" for at bidrage til at sikre, at problemer med databeskyttelsen afhjælpes, inden personoplysninger gøres tilgængelige til videreanvendelse. Afsnit V indeholder vejledning i form af illustrative eksempler, der viser, hvilke typer af personoplysninger der kan falde ind under PSI-direktivets anvendelsesområde. Afsnit VI er fokuseret på situationer, der i øjeblikket er de mest almindelige i forbindelse med initiativer om videreanvendelse af PSI: når aggregerede statistiske oplysninger, der er udledt af personoplysninger, gøres tilgængelige i aggregeret og anonymiseret form. Eksemplerne omfatter aggregerede statistiske oplysninger om kriminalitet, offentlige udgifter, eller hvor godt skolebørn klarer sig i forskellige geografiske regioner eller i forskellige uddannelsesinstitutioner. Eftersom dette er det mest almindelige scenario inden for videreanvendelse af den offentlige sektors informationer, der indeholder personoplysninger, vil en betydelig del af udtalelsen dreje sig om dette scenario. Det centrale ønske vedrørende databeskyttelse er her at sikre en effektiv aggregering og anonymisering og minimere risikoen for, at det er muligt at identificere personoplysninger på grundlag af de aggregerede datasæt. Afsnit VII indeholder en mindre detaljeret diskussion af situationer, hvor personoplysninger gøres offentligt tilgængelige, således at de potentielt kan videreanvendes. Selv om dette ikke i øjeblikket er det typiske scenario for initiativer vedrørende videreanvendelse af PSI, er det vigtigt at tage højde for, at offentlige instanser i stigende grad gør personoplysninger offentligt tilgængelige, ofte på dokumenter. Findes på: 18_Open_data_EN.pdf 10 Udtalelse nr. 3/2013 fra Artikel 29-Gruppen vedrørende databeskyttelse om formålsbegrænsning, vedtaget den 2. april 2013 (WP 203). 11 En udtalelse om dette tema ventes vedtaget i anden halvdel af Se f.eks. adfærdskodeksen for anonymisering "Anonymisation: Managing data protection risk code of practice", som blev udsendt af Information Commissioner's Office i Det Forenede Kongerige i november 2012, og retningslinjerne for risikoanalyse, som den franske databeskyttelsesmyndighed udsendte i juni Se f.eks. LAPSI's politiske anbefaling fra september 2012 (s. 4-14). 14 Jf. artikel 6, stk. 1, litra b), i direktiv 95/46/EF. 5

6 internettet. Her er der ofte tale om direkte identificerbare personoplysninger som f.eks. oplysninger i et matrikelregister om, hvem der ejer en bestemt ejendom, erklæringer om interesser og lønninger for visse embedsmænd eller parlamentsmedlemmers udgifter. Spørgsmålet er her, i hvilket omfang, med hvilke formål, på hvilke betingelser og med hvilke sikkerhedsforanstaltninger disse oplysninger gøres tilgængelige til videreanvendelse. Det er også vigtigt at være klar over, hvorvidt disse oplysninger hører ind under bestemmelserne i PSI-direktivet. I denne forbindelse er det vigtigt at understrege, at alle oplysninger vedrørende en identificeret eller identificerbar fysisk person, uanset om de er offentligt tilgængelige eller ej, er personoplysninger. Derfor er adgang til og videreanvendelse af personoplysninger, der er gjort offentligt tilgængelige (f.eks. ved offentliggørelse på internettet), fortsat omfattet af den gældende databeskyttelseslovgivning. Visse andre specifikke scenarier som f.eks. forskningsdata og situationen med historiske arkiver som nu hører under PSI-direktivets anvendelsesområde behandles kort i afsnit VIII og IX. I afsnit X behandles spørgsmålet om licenser til PSI og behovet for at indsætte en databeskyttelsesklausul i licenserne, når dette er relevant. Endelig indeholder afsnit XI en række konklusioner og anbefalinger. IV. Ikke alle "offentligt tilgængelige" personoplysninger bør gøres tilgængelige til videreanvendelse 4.1. Forpligtelsen til videreanvendelse under PSI-direktivet gælder med forbehold af databeskyttelseskravene Da PSI-direktivet blev vedtaget i 2003, indeholdt det ikke en forpligtelse til, at offentlige instanser skulle tillade videreanvendelse af PSI. Det er fortsat medlemsstaterne eller den berørte offentlige myndighed, der træffer beslutning om tilladelse til videreanvendelse (under hensyntagen til den nationale lovgivnings rammer vedrørende gennemsigtighed og adgang). Udtalelse nr. 7/2003 blev vedtaget i lyset af denne "ikke-forpligtelse". Det hedder i afsnit 2(cc) i udtalelse nr. 7/2003: "Det er vigtigt at understrege, at det ikke er muligt at henvise til direktivet om videreanvendelse som en sådan retlig forpligtelse, som skal overholdes, fordi direktivet ikke indeholder en forpligtelse til at videregive personoplysninger". Med PSI-ændringen bliver analysen mere kompleks, men den endelige konklusion forbliver den samme. I artikel 3, stk. 1, i det ændrede PSI direktiv hedder det: "Medlemsstaterne sikrer, at dokumenter, som dette direktiv finder anvendelse på i henhold til artikel 1, kan videreanvendes til kommercielle eller ikke-kommercielle formål i henhold til betingelserne i kapitel III og IV, jf. dog stk. 2." Medmindre videreanvendelse kan nægtes af de i artikel 1 anførte årsager (som følge af nationale ordninger vedrørende adgang og ligeledes specifikt begrundet i et ønske om beskyttelse af personoplysninger), skal der gives tilladelse til videreanvendelsen. Samtidig hedder det i betragtning 21 i PSI-direktivet, at PSI-direktivet "bør gennemføres og anvendes i fuld overensstemmelse med principperne om beskyttelse af personoplysninger". Det hedder desuden i artikel 1, stk. 4, at PSI-direktivet "opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger". 6

7 Hvis bestemmelserne betragtes samlet i en kombineret fortolkning, betyder de, at "princippet om videreanvendelse" ikke er automatisk, når retten til beskyttelse af personoplysninger står på spil og ikke har forrang frem for de gældende bestemmelser i databeskyttelseslovgivningen. Når offentlige instansers eksisterende dokumenter indeholder personoplysninger, hører disses videreanvendelse ind under anvendelsesområdet for direktiv 95/46/EF og er dermed fortsat omfattet af den relevante databeskyttelseslovgivning. I tilfælde, hvor videreanvendelsen omfatter personoplysninger, kan den offentlige instans dermed ikke systematisk påberåbe sig behovet for at overholde PSI-direktivet som gyldig grund til at gøre de pågældende oplysninger tilgængelige til videreanvendelse Betydningen af en konsekvensvurdering af databeskyttelsen, inden oplysninger frigives til videreanvendelse I lyset af de potentielle risici ved videreanvendelse af PSI og navnlig det forhold, at når først personoplysningerne er gjort offentligt tilgængelige til videreanvendelse, bliver det meget vanskeligt at føre effektiv kontrol med brugen af disse oplysninger, og Artikel 29-Gruppen understreger nødvendigheden af at overholde principperne om "databeskyttelse i it-arkitekturen og som standard" og at sikre, at spørgsmålet om databeskyttelse tages op på et tidligt tidspunkt. Artikel 29-Gruppen anbefaler navnlig på det kraftigste, at den offentlige instans gennemfører en grundig konsekvensvurdering af databeskyttelsen, inden den gør personoplysninger tilgængelige til videreanvendelse. Medlemsstaterne bør ligeledes overveje at gøre en sådan konsekvensvurdering obligatorisk under den nationale lovgivning eller fremme den som bedste praksis. Selv om det ikke udtrykkeligt er et krav i henhold til den nationale lovgivning, bør de offentlige instanser under alle omstændigheder, inden informationerne offentliggøres og forud for beslutningen om at gøre dem tilgængelige til videreanvendelse, foretage en grundig vurdering for at konstatere, hvorvidt personoplysningerne kan gøres tilgængelige til videreanvendelse, og i givet fald på hvilke betingelser og inden for hvilke specifikke databeskyttelsesforanstaltninger der kan gives tilladelse til videreanvendelse. Ved denne vurdering bør man bl.a. fastlægge et retsgrundlag for offentliggørelsen (og det potentielle retsgrundlag for videreanvendelsen), vurdere principperne for formålsbegrænsning, proportionalitet og dataminimering samt overveje den særlige beskyttelse, der kræves for følsomme data. Ved udførelsen af denne vurdering skal man nøje undersøge de potentielle virkninger for de registrerede. Denne vurdering skal bidrage til at træffe beslutningen om, hvilke, om nogen, personoplysninger der skal gøres tilgængelige til videreanvendelse og i henhold til hvilke sikkerhedsforanstaltninger. 16 Det skal understreges, at man i den foreslåede databeskyttelsesforordning 17 tilskynder til og i visse tilfælde kræver en konsekvensvurdering vedrørende databeskyttelse som et vigtigt redskab, der kan bidrage til at sikre de registeransvarliges ansvar Artikel 29-Gruppen ønsker ligeledes at gøre det klart, at set fra videreanvenderens side udgør PSI-direktivet i sig selv ikke nogen gyldig grund til behandling af de pågældende informationer. (Vedrørende gyldig grund henvises der til udtalelse nr. 7/2003 og afsnit 7.5 nedenfor.) 16 Hvis vurderingen fører til en beslutning om, at personoplysningerne som sådan ikke skal gøres tilgængelige til videreanvendelse, men at man i stedet vil gøre anonymiserede datasæt baseret på personoplysninger tilgængelige, skal der foretages en risikovurdering af risikoen for genkendelse. Se afsnit VI om anonymisering og vurdering af risikoen for genkendelse. 17 Den 25. januar 2012 vedtog Kommissionen en pakke med en reform af de europæiske databeskyttelsesrammer. Pakken indeholder i) en "meddelelse" (KOM(2012)9 endelig), ii) et "forslag til databeskyttelsesforordning" (KOM(2012)11 endelig) og iii) et "forslag til et databeskyttelsesdirektiv" (KOM(2012)10 endelig). 18 For yderligere vejledning i gennemførelsen af en konsekvensvurdering af databeskyttelsen henvises til webstedet for 7

8 Når det er muligt, skal analysen forud for beslutningen om videreanvendelse foretages på et velinformeret grundlag og bidrag fra diverse interessenter, herunder den registeransvarlige, der ønsker at offentliggøre de pågældende oplysninger, men også dem, der efterspørger de pågældende oplysninger, og som derfor kan levere en baggrund for diskussionen, samt repræsentanter for de personer, hvis personoplysninger der er tale om (f.eks. forbrugerbeskyttelsesorganisationer, organisationer for patientrettigheder, lærerforeninger). Når resultatet ikke er entydigt, kan den kompetente databeskyttelsesmyndighed og de nationale myndigheder med ansvar for informationsfriheden muligvis tilbyde vejledning. Medlemsstaterne bør også overveje at indføre og yde støtte til vidennetværk/ekspertisecentre og derved give mulighed for at dele god praksis vedrørende anonymisering og åbne data. Dette kan være særligt vigtigt for mindre offentlige instanser, der måske savner den nødvendige ekspertise til at foretage anonymiseringen, en konsekvensvurdering af databeskyttelsen og til at vurdere og afprøve risikoen for genkendelse. 19 Endelig anbefales det også på kraftigste at gennemføre en konsekvensvurdering forud for indførelse af lovgivning, som medfører offentliggørelse af personoplysninger. V. PSI-direktivets anvendelsesområde: undtagelser af hensyn til beskyttelse af personoplysninger Dette afsnit indeholder vejledning om PSI-direktivets anvendelsesområde og navnlig om undtagelser af hensyn til databeskyttelsen Anvendelse af den generelle databeskyttelsesramme på videreanvendelse af PSI I betragtning 21 i PSI-direktivet hedder det, at PSI-direktivet "bør gennemføres og anvendes i fuld overensstemmelse med principperne om beskyttelse af personoplysninger". Det hedder desuden i artikel 1, stk. 4, at PSI-direktivet "opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger" Undtagelser af hensyn til beskyttelse af personoplysninger 19 PIAF-projektet (en ramme for vurdering af konsekvenserne for personoplysninger vedrørende databeskyttelse og retten til privatlivets fred) på PIAF er et projekt, der medfinanseres af Europa- Kommissionen, som har til formål at tilskynde EU og medlemsstaterne til at vedtage en progressiv politik for vurdering af konsekvenserne for privatlivets fred som et middel til at tage højde for behov og udfordringer i forbindelse med privatlivets fred og ved behandlingen af personoplysninger. Man kan også finde vejledning i nogle af medlemsstaterne. Se f.eks. håndbogen om vurdering af konsekvenserne for privatlivets fred, som er udgivet af Det Forenede Kongeriges Information Commissioner på retningslinjerne for risikoanalyse fra den franske databeskyttelsesmyndighed, som allerede omtales i fodnote 12 ovenfor, og vejledningen fra den slovenske informationsansvarlige, som specifikt vedrører "vurdering af indvirkning på privatlivets fred i e- government-projekter", som findes på ENG_Lektorirano_10._6._2011.pdf I Det Forenede Kongerige driver et konstortium under ledelse af University of Manchester i samarbejde med University of Southampton, det nationale statistikkontor og det nye statslige institut for åbne data (Open Data Institute ODI) det britiske anonymiseringsnetværk (UK Anonymisation Network UKAN) for at give mulighed for at videreformidle god praksis i forbindelse med anonymisering i både den offentlige og den private sektor. Netværket har et websted på og udarbejder casestudier samt afholder workshops og seminarer. 8

9 Det hedder i PSI-direktivet, at "direktivet gælder ikke for: dokumenter, som er udelukket fra aktindsigt i henhold til medlemsstaternes regler herom " 20 Desuden giver PSI-direktivet, med ændringer, også mulighed for undtagelser af hensyn til databeskyttelsen. Artikel 1, stk. 2, litra cc), drejer sig om følgende tre situationer, som alle er undtaget fra PSI-direktivets anvendelsesområde: dokumenter, hvortil adgang er udelukket i henhold til aktindsigtsordningerne, under henvisning til beskyttelse af personoplysninger dokumenter, hvortil adgang er begrænset i henhold til aktindsigtsordningerne, under henvisning til beskyttelse af personoplysninger og "dele af dokumenter, der i henhold til disse ordninger er adgang til, som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger" Generelle bemærkninger Artikel 29-Gruppen understreger, at uanset "princippet om videreanvendelse", der formuleres i PSIændringen, er videreanvendelse med kommercielle eller ikke-kommercielle formål i henhold til bestemmelserne i PSI-direktivet ikke altid hensigtsmæssigt i tilfælde, hvor de PSI'er, der skal videreanvendes, indeholder personoplysninger. Beslutninger vedrørende videreanvendelse af personoplysninger i henhold til PSI-direktivet, vil skulle træffes fra sag til sag, og der er også behov for at indføre yderligere juridiske, tekniske eller organisatoriske foranstaltninger for at beskytte de pågældende personer. Videreanvendelse af offentligt tilgængelige personoplysninger er og bør være begrænset af generelle bestemmelser i den gældende databeskyttelseslovgivning, (eventuelt) specifikke supplerende juridiske restriktioner og tekniske og organisatoriske sikkerhedsforanstaltninger, som er indført med henblik på at beskytte personoplysningerne Dokumenter, hvortil adgangen er udelukket Denne bestemmelse udelukker alle dokumenter fra PSI-direktivets anvendelsesområde, som er udelukket i henhold til aktindsigtsordningerne i den pågældende medlemsstat under henvisning til beskyttelse af personoplysninger. Til forskel fra databeskyttelseslovgivningen, som i vid udstrækning er harmoniseret på grundlag af direktiv 95/46/EF, er der store forskelle på aktindsigtslovgivningen i EU's forskellige medlemsstater. Aktindsigtsordningerne indeholder typisk en opfordring til en afvejningsprøve, hvor man sammenligner interesser, der er beskyttet af privatlivs- og databeskyttelsesregler, og fordelene ved åbenhed og gennemsigtighed. I lyset af forskellene kan der være stor forskel på resultaterne af afvejningsøvelsen i de forskellige EU-medlemsstater. Skattemyndighederne i nogle medlemsstater kan f.eks. offentliggøre visse dele af skatteydernes selvangivelser (i henhold til juridiske, tekniske og organisatoriske foranstaltninger for at begrænse risikoen for misbrug), mens en anden medlemsstat vil betragte dette som oplysninger, der falder ind under undtagelsen, og som generelt bør forblive fortrolige. 20 Se PSI-direktivet, artikel 1, stk. 2, litra c). 9

10 Når det er sagt, skal den nationale lovgivning overholde artikel 8 i den europæiske menneskerettighedskonvention og artikel 7 og 8 i EU's charter om grundlæggende rettigheder ("EUchartret"). Som EF-Domstolen fastslog i dommene i Österreichischer Rundfunk og Schecke 21, skal det vurderes, at offentliggørelsen er nødvendig og hensigtsmæssig i henhold til det legitime mål, der forfølges med lovgivningen. Under alle omstændigheder gælder det, at når adgangen til personoplysningerne i et dokument er udelukket i henhold til lovgivningen i den relevante medlemsstat (herunder situationer, hvor den nationale lovgivning vedrørende gennemsigtighed og åbenhed ikke giver almindelig adgang til de pågældende personoplysninger), vil de pågældende oplysninger også være udelukket fra PSIdirektivets anvendelsesområde. For at garantere retssikkerheden og gennemsigtigheden over for de registrerede er det god praksis, at man, hvor det er muligt, anlægger en proaktiv tilgang og på forhånd definerer de personoplysninger, der kan gøres offentligt tilgængelige. Herefter kan de registrerede på tidspunktet, hvor informationerne indsamles, underrettes om, hvorvidt dele af de personoplysninger, de udleverer, eller som vil blive viderebehandlet i løbet af den administrative procedure, vil blive gjort offentligt tilgængelige som følge af lovgivningen om informationsfrihed Dokumenter, hvortil der er begrænset adgang Denne bestemmelse udelukker alle dokumenter fra PSI-direktivets anvendelsesområde, hvortil adgangen af begrænset i henhold til aktindsigtsordningerne i den pågældende medlemsstat under henvisning til beskyttelse af personoplysninger. Også her kan der være forskel på aktindsigtsordningerne i de forskellige medlemsstater med hensyn til, hvilke oplysninger der er genstand for begrænset adgang, og hvilke typer af begrænsninger der kan være tale om. Der kan f.eks. være tale om følgende: samlinger af nationale arkiver, der indeholder personoplysninger, som kun er tilgængelige i henhold til særlige adgangsbetingelser og yderligere sikkerhedsforanstaltninger (se afsnit IX nedenfor) samlinger af forskningsdata, der indeholder personoplysninger, som kun er tilgængelige i henhold til særlige adgangsbetingelser og yderligere sikkerhedsforanstaltninger (se afsnit VIII nedenfor) visse oplysninger i offentlige registre, domsprotokoller eller andre administrative dokumenter, der indeholder personoplysninger, der kun er tilgængelige for personer eller organisationer, der udviser en legitim interesse, eller kun i henhold til særlige adgangsbetingelser og yderligere sikkerhedsforanstaltninger Dele af dokumenter, der er tilgængelige, men hvor videreanvendelse er uforenelig med lovgivningen Denne bestemmelse udelukker følgende fra PSI-direktivets anvendelsesområde: dele af dokumenter, der er tilgængelige under henvisning til nationale aktindsigtsordninger, 21 Se EF-Domstolen af 20. maj 2003, Rundfunk, forenede sager C-465/00, C-138/01 og C-139/01, og EF-Domstolen af 9. november 2010, Volker und Markus Schecke, forenede sager C-92/09 og C-93/09. 10

11 som indeholder personoplysninger, "hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger". Denne bestemmelse bekræfter, at også i tilfælde, hvor visse dokumenter, der indeholder personoplysninger, er fuldt tilgængelige, kan deres videreanvendelse alligevel være begrænset under henvisning til databeskyttelsen. Artikel 29-Gruppen understreger, at denne bestemmelse i PSI-direktivet skal fortolkes i henhold til artikel 1, stk. 4, i PSI-direktivet, hvori det hedder, at PSI-direktivet "opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger". Artikel 29-Gruppen ønsker, at der indføres god praksis bestående i vedtagelse af specifikke lovbestemmelser i national lovgivning, hvori det klart beskrives, i) hvilke oplysninger der gøres offentligt tilgængelige, ii) til hvilke formål, og iii) i givet fald specificere, i hvilken udstrækning og under hvilke betingelser videreanvendelse er tilladt. Men så længe sådanne specifikke bestemmelser ikke er indført, betyder det ikke, at offentligt tilgængelige personoplysninger altid kan videreanvendes i henhold til PSI-direktivet. I stedet bestemmer databeskyttelseslovgivningen (som anvendes sammen med anden relevant lovgivning som aktindsigtslovgivning) i disse tilfælde, hvorvidt personoplysninger kan gøres tilgængelige til videreanvendelse i det specifikke tilfælde, og i givet fald i henhold til hvilke supplerende sikkerhedsforanstaltninger. Hvis resultatet af denne vurdering er positivt, gives der tilladelse til videreanvendelse i henhold til specifikke sikkerhedsforanstaltninger vedrørende databeskyttelse og alle andre betingelser i PSI-direktivet (så længe det sker med forbehold for bestemmelserne i databeskyttelseslovgivningen). Hvis resultatet af vurderingen er negativt, vil videreanvendelse ligge uden for PSI-direktivets anvendelsesområde. Følgende eksempler kan bidrage til at illustrere, hvornår denne undtagelse fra PSI-direktivets anvendelsesområde kan gælde. I det første eksempel specificeres restriktionerne på videreanvendelse klart i lovgivningen. Skattelovgivningen i en medlemsstat kan indeholde bestemmelser om, at selvangivelserne for alle borgere i landet er offentligt tilgængelige til gennemsyn hos skattevæsenet for enhver anden borger, der anmoder om det, uden krav om, at vedkommende skal udvise legitim interesse. Lovgivningen indeholder også en klar bestemmelse om, at de pågældende oplysninger ikke må behandles senere, f.eks. offentliggøres på internettet, kombineres med andre oplysninger eller videreredigeres. En ngo ansøger om adgang og ret til videreanvendelse af databasen med selvangivelser med henblik på at offentliggøre dem på deres hjemmeside. I dette tilfælde ligger skatteoplysningerne uden for PSI-direktivets anvendelsesområde, og den offentlige instans er ikke forpligtet til at gøre datasættet tilgængeligt til videreanvendelse i henhold til PSI-direktivet. I mange andre tilfælde vil de juridiske begrænsninger imidlertid være mindre klart defineret og mindre kategoriske med hensyn til videreanvendelse. Typisk vil forskellige civile og kommercielle registre samt folkeregistre og andre databaser give offentligheden mulighed for at gennemse personoplysninger, i stigende grad i digital form via internettet. Adgangen sker ofte i henhold til specifikke sikkerhedsforanstaltninger, herunder tekniske restriktioner på søgemuligheder og massedownload. Brugerne kan også blive bedt om at acceptere betingelserne, inden de gives adgang. 11

12 Skattelovgivningen i en medlemsstat kan indeholde bestemmelser om, at navnene på indbyggere med skatterestancer over en vis grænse over en længere periode offentliggøres på en dedikeret webside i et begrænset tidsrum med supplerende tekniske sikkerhedsforanstaltninger, herunder begrænsninger på massedownload og søgemuligheder. Formålet med denne offentliggørelse er at tilskynde til rettidig betaling af indkomstskat, og at dette skal tjene som en yderligere straf (rettet mod deres omdømme) af personer, der undlader at gøre dette. Et konsortium af banker anmoder om adgang til videreanvendelse for at indlæse disse oplysninger i deres kreditrapporteringssystem. Specifikke love inden for sundhedssektoren i en medlemsstat kan i henhold til visse sikkerhedsforanstaltninger give patienter mulighed for på en dedikeret webside at undersøge, hvorvidt en bestemt læge eller andre sundhedspersoner har forbud mod at praktisere. Der gælder visse tekniske sikkerhedsforanstaltninger, herunder begrænsninger på massedownload og søgemuligheder. En organisation for patientrettigheder søger adgang til videreanvendelse med henblik på at oprette en flersproget og mere brugervenlig webside, der giver adgang til de samme data. Specifikke love i en medlemsstat kan indeholde krav om offentliggørelse af navne på bidragydere til politiske partier, når bidraget ligger over en vis grænse. Oplysninger, som kan afsløre bidragyderes politiske holdninger, offentliggøres via et dedikeret websted. Der gælder visse tekniske sikkerhedsforanstaltninger, herunder begrænsninger på massedownload og søgemuligheder. En aktivistgruppe ansøger om adgang til store datamængder til videreanvendelse i henhold til PSI-direktivet med henblik på at oprette et nyt websted med supplerende funktioner og bedre søgemuligheder. Navn og adresse på ejeren af en ejendom fremgår af matrikelregistret i en medlemsstat, men søgemulighederne i den offentligt tilgængelige database er begrænset, så det kun er muligt at søge efter en bestemt ejendom og ikke efter en bestemt person. Der er også begrænsninger på massedownload. En kommerciel virksomhed anmoder om adgang til de samlede oplysninger til videreanvendelse med henblik på at oprette et mere brugervenligt websted til en mere konkurrencedygtig pris. Erhvervsregistrene i en medlemsstat giver mulighed for offentlig adgang til en lang række personoplysninger, herunder navne, adresser og eksempler på direktørers underskrifter samt oplysninger om ejerforholdene for visse typer af virksomheder. Der er visse begrænsninger på søgemulighederne og grænser for, hvor mange poster man kan downloade. Oplysningerne ligger på en dedikeret internetside, og der er adgang til dem mod et gebyr. En kommerciel virksomhed anmoder om adgang til de samlede oplysninger til videreanvendelse med henblik på at oprette et websted med oplysninger fra flere forskellige typer af registre og at tilbyde forbedrede oplysninger til en mere konkurrencedygtig pris. I alle tilfælde skal den pågældende offentlige instans foretage en grundig konsekvensvurdering af databeskyttelsen for at beslutte, hvorvidt de pågældende oplysninger kan gøres tilgængelige til videreanvendelse under PSI-direktivet og i givet fald, om databeskyttelseslovgivningen indeholder krav om bestemte betingelser og sikkerhedsforanstaltninger. "Princippet om videreanvendelse" gælder ikke automatisk og kan ikke have forrang frem for de gældende bestemmelser i databeskyttelseslovgivningen. Denne grundige vurdering er så meget desto vigtigere, idet den offentlige instans under PSIdirektivet ikke skal tage hensyn til, hvem videreanvenderen, der ønsker adgang, er. I henhold til artikel 10 (Ikke-diskriminering) skal "betingelser for videreanvendelse af dokumenter [ ] være ikke-diskriminerende for sammenlignelige kategorier af videreanvendelse". Det gælder endvidere i henhold til artikel 11 (Forbud mod aftaler om eneret), at "Alle potentielle markedsoperatører skal 12

13 have mulighed for at videreanvende dokumenter. Kontrakter eller andre ordninger mellem de offentlige myndigheder, der besidder dokumenterne, og tredjemand må ikke tildele eneret." Når de offentlige instanser skal træffe beslutning om, hvorvidt de skal give tilladelse til videreanvendelse eller ej, skal de overveje lovligheden af at tillade videreanvendelse under en åben licens til ikke blot ansøgeren, men til alle, der anmoder om adgang til de pågældende oplysninger. Dette kræver en høj grad af tillid til, at ingen af de potentielle enheder, der ønsker at videreanvende de pågældende oplysninger, vil kunne misbruge de personoplysninger, der gøres tilgængelige. PSI-direktivet udelukker ikke, at der indføres betingelser, således at anvendelsen kun er tilladt til bestemte formål. Spørgsmålet for den offentlige instans er så, hvorvidt videreanvendelse foretaget af alle "potentielle markedsaktører" med disse formål er forenelig med de formål, som er fastlagt af den offentlige instans. Finansieringsinstitutters potentielle videreanvendelse af oplysninger om skattebetaling til kreditrapporteringsformål er f.eks. relevant, fordi de stadig er potentielle videreanvendere i henhold til testen om "enhver person". For at imødekomme ønskerne vedrørende databeskyttelse, navnlig for at sikre, at princippet om formålsbegrænsning overholdes, skal den offentlige instans (eller lovgiveren) have mulighed for at begrænse formålene med videreanvendelsen, hvor dette er relevant. VI. Videreanvendelse af aggregerede og anonymiserede datasæt baseret på personoplysninger 6.1. Hvad er fordelene ved aggregering og anonymisering til videreanvendelse af PSI? Hidtil har initiativer vedrørende videreanvendelse af PSI, som offentlige instanser har lanceret gennem "åbne dataportaler" eller andre platforme, typisk haft til formål at gøre aggregerede og anonymiserede oplysninger tilgængelige til videreanvendelse snarere end personoplysninger som sådan. Denne fremgangsmåde er mere sikker og bør nyde fremme. Databeskyttelseslovgivningen giver normalt ikke mulighed for, at offentlige instanser kan offentliggøre personoplysninger, der er indsamlet til andre, normalt administrative, formål 22. Så i disse tilfælde er det heller ikke muligt at videreanvende dem som led i initiativer for videreanvendelse af PSI. Det er typisk statistiske oplysninger baseret på personoplysninger snarere end personoplysninger som sådan, der gøres og i princippet bør gøres tilgængelige til videreanvendelse. Dette er den mest effektive løsning til minimering af risikoen for uafvidende offentliggørelse af personoplysninger. Disse anonymiserede og aggregerede datasæt må ikke give mulighed for genkendelse af enkeltpersoner og bør derfor ikke indeholde personoplysninger. Det er en udfordrende opgave at fastlægge det hensigtsmæssige aggregeringsniveau og de specifikke anonymiseringsteknikker, der skal anvendes. Hvis aggregeringen og anonymiseringen ikke er effektive, er der risiko for, at det alligevel er muligt at genkende enkeltpersoner på grundlag af disse datasæt. Derfor spiller databeskyttelseslovgivningen en vigtig rolle med hensyn til at fastslå den grænse, hvor det er "sikkert" at offentliggøre anonymiserede og aggregerede oplysninger som led i et PSI-initiativ. 22 Når det er relevant, kan lovgivningen vedrørende informationsfrihed kræve offentliggørelse af personoplysninger, og hensynet til gennemsigtighed og adgang til oplysninger kan i nogle tilfælde have forrang frem for hensyn til databeskyttelse og beskyttelse af privatlivets fred. Området udvikler sig konstant, og der kan ske yderligere ændringer fremover. 13

14 I direktiv 95/46/EF fastsættes der en høj grænse for anonymisering Når udtrykket "anonymisering" anvendes i dette dokument, henviser det til data, der ikke længere kan betragtes som personoplysninger i henhold til artikel 2, litra a), i direktiv 95/46/EF. I artikel 2, litra a), defineres "personoplysninger" som "enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"). Ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet". 23 Betragtning 26 i direktiv 95/46/EF er også relevant, og heri hedder det videre, at med henblik på at "afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person". Det skal understreges, at dette er udtryk for en høj tærskel, således som det vil blive diskuteret yderligere i denne udtalelse. Medmindre oplysningerne kan anonymiseres for at overholde denne tærskel, finder databeskyttelseslovgivningen fortsat anvendelse. Dette betyder bl.a., at medmindre denne tærskel overholdes, skal offentliggørelse af informationerne (og enhver videreanvendelse) være "forenelig" med de oprindelige formål med dataindsamlingen, jf. artikel 6, stk. 1, litra b), i direktiv 95/46/EF. Der skal desuden foreligge et hensigtsmæssigt retsgrundlag for brugen, jf. artikel 7, litra a)-f) i direktiv 95/46/EF (f.eks. samtykke eller nødvendigheden af at overholde lovgivningen). Derimod gælder det, at hvis de pågældende oplysninger er blevet anonymiseret i betydningen i artikel 2, litra a), og betragtning 26 i direktiv 95/46/EF, finder databeskyttelsesreglerne ikke længere anvendelse, og videreanvenderne vil kunne videreanvende de pågældende oplysninger uden disse begrænsninger. Det skal endnu en gang understreges, at "anonymiserede oplysninger", som begrebet anvendes i denne udtalelse, henviser til data, der ikke længere betragtes som personoplysninger. Man bør navnlig skelne mellem anonymiserede oplysninger og data, der er blevet manipuleret ved hjælp af forskellige teknikker for at undgå risikoen for genkendelse af de pågældende personer, men som ikke har nået den tærskel, der kræves i artikel 2, litra a), og betragtning 26 i direktiv 95/46/EF. 24 I mange scenarier er disse teknikker kun egnede til begrænset offentliggørelse med henblik på videreanvendelse af kontrollerede tredjeparter, men ikke til fuld offentliggørelse og videreanvendelse under en åben licens. Det er også vigtigt at understrege, at når oplysninger offentliggøres med henblik på videreanvendelse, vil der ikke være nogen kontrol med, hvem der har adgang til de pågældende oplysninger. Sandsynligheden for, at "enhver anden person" vil have midlerne og viljen til at genkende de registrerede, vil blive forøget betydeligt. Når der er tale om at gøre oplysninger tilgængelige til videreanvendelse under PSI-direktivet, ønsker Artikel 29-Gruppen derfor og uanset fortolkningen af betragtning 26 i andre sammenhænge at gøre det fuldstændigt klart, at man skal gøre sit yderste for at sikre, at det datasæt, der skal offentliggøres, ikke må indeholde data, der kan 23 I sin erklæring af 27. februar 2013 om igangværende drøftelser om reformpakken vedrørende databeskyttelse understregede Artikel 29-Gruppen, at en fysisk person kan betragtes som identificerbar, når den pågældende inden for en gruppe personer kan skelnes fra andre og dermed behandles anderledes. Dette betyder, at begrebet identificerbar omfatter fokusering. I erklæringen præciserer man ligeledes, at identifikationsnumre, placeringsoplysninger, ipadresser, onlineidentifikationskoder eller andre specifikke faktorer vedrørende en person skal betragtes som personoplysninger. 24 I erklæringen fra 27. februar 2013 understreges det, at når det er muligt at spore en person eller (indirekte) at identificere en person med andre metoder, finder databeskyttelsesreglerne fortsat anvendelse. 14

15 genkendes ved hjælp af midler, som med rimelig sandsynlighed vil blive anvendt af enhver anden person, inklusive potentielle videreanvendere, men også andre parter, der måtte have en interesse i at få adgang til de pågældende oplysninger, herunder de retshåndhævende myndigheder. Yderligere vejledning om anonymisering og begrebet personoplysninger Der findes yderligere vejledning i anonymisering og begrebet personoplysninger i Artikel 29- Gruppens udtalelse nr. 4/2007 om begrebet personoplysninger, som blev vedtaget den 20. juni 2007 (WP 136). Artikel 29-Gruppen vil muligvis også levere yderligere vejledning om anonymiseringsteknikker i et særligt dokument i anden halvdel af Hvilke udfordringer og begrænsninger findes der for anonymisering ved videreanvendelse af PSI? Anonymisering er stadig vanskeligere at opnå med fremskridtene inden for den moderne computerteknologi og den konstante adgang til information. Genkendelse af enkeltpersoner er en stedse mere almindelig og relevant trussel. 25 I praksis findes der en meget stor gråzone, hvor en registeransvarlig, der offentliggør oplysninger, måske tror, at et datasæt er anonymiseret, men hvor en tredjepart stadig kan identificere i det mindste nogle af personerne på grundlag af oplysningerne, f.eks. ved at anvende andre offentligt tilgængelige oplysninger eller andre oplysninger, som den pågældende har adgang til. En af de største risikofaktorer er den voksende datamængde både online og offline, som både er offentligt tilgængelig og koncentreret hos erhvervsorganisationer, og som herefter kan bruges til at profilere enkeltpersoner med henblik på adfærdsbaserede reklamer og til stadig flere andre formål. Når PSI hentet fra personoplysninger, der gøres tilgængelige til videreanvendelse, kombineres med de reelle mængder af "store data", som disse organisationer allerede har til rådighed, øges sandsynligheden for, at enkeltpersoner vil kunne identificeres, eller at deres profiler kan udvides yderligere, ofte uden at de pågældende er klar over, at dette sker Hvem skal udføre aggregeringen og anonymiseringen og hvornår? Aggregering og anonymisering skal ske tidligst muligt og udføres af den registeransvarlige eller af en betroet tredjemand, der handler på vegne af den registeransvarlige eller flere registeransvarlige (og som også besidder de nødvendige specialiserede færdigheder). Det må ikke overlades til videreanvenderen at udføre anonymiseringen, f.eks. som en betingelse for en licens. Desuden er det vigtigt at sikre, at den eventuelle tredjepartsorganisation, der foretager aggregeringen og anonymiseringen, ikke er omfattet af interessekonflikter og helt klart gøres ansvarlig for, at personoplysningerne kun vil blive anvendt til at udføre anonymiseringen, samt at alle de nødvendige sikkerhedsforanstaltninger for at sikre dette er til stede. Tredjeparten bør også kunne garantere, at 25 Se f.eks. "Transparent Government, Not transparent Citizens", en rapport til den britiske premierministeres kabinet udarbejdet af Kieron O'Hara fra Southampton University i 2011, hvor forfatteren advarede om muligheden for at identificere enkeltpersoner ud fra anonymiserede data, bl.a. ved hjælp af "puslespils-identifikation", og sagde, at der ikke findes nogen fuldstændige tekniske løsninger på problemet med genkendelse efter anonymisering. Findes på: Se også "Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization" af Paul Ohm fra University of Colorado Law School, 57 UCLA Law Review 1701 (2010), der findes online på 15