Persondatalovgivningen er et heftigt debatteret emne i nyere tid, og det er der god grund til. I takt med den accelererende teknologiske udvikling og muligheder for at udnytte data på helt nye måder, bliver personoplysninger mere og mere værdifulde og kan (mis-)bruges på flere forskellige måder.
Hvad er persondata?
Persondata er alle typer oplysninger, som relaterer sig til en identificeret eller identificerbar person. Der kan både være tale om navn, adresse, køn og alder. Der kan også være tale om billeder af genkendelige personer – og med genkendelige menes blot billeder af personer, som én eller flere personer er i stand til at identificere ud fra billedet.
Der kan endda være tale om oplysninger, som ikke umiddelbart identificerer den pågældende, fx en nummerplade, et fingeraftryk og DNA-sekvenser – altså oplysninger, hvor man skal bruge hjælpemidler for at identificere den pågældende.
Hvad beskyttes, og hvorfor beskyttes det?
Det overordnede beskyttelseshensyn er privatlivets fred. Retten til privatliv er sikret i så godt som alle verdens lande enten via en forfatning eller en international forpligtelse som fx Den Europæiske Menneskerettighedskonvention.
Man beskytter privatlivets fred, fordi folks personoplysninger som det klare udgangspunkt ikke angår nogen andre end én selv.
Der foregår en konstant debat mellem hensynet til privatlivets fred og hensynet til den nationale sikkerhed og forebyggelsen og efterforskning af kriminalitet. Særligt overvågning af privates telefon- og internettrafik er en debat, som ingen ende synes at tage.
Det er der selvfølgelig en god grund til. For der findes ikke noget klart svar, og det afhænger helt og aldeles af politiske/etiske overvejelser og prioriteter. Dette er en af de primære grunde til, at forskellige landes persondatalovgivning er så forskellig.
Man ved fra Edward Snowdens afsløringer, at USA har taget meget let på deres borgeres ret til privatliv til fordel for national sikkerhed i forbindelse med NSAs omfattende overvågning af private.
Anderledes er prioriteringen i EU, hvor flere tiltag er blevet skudt ned, fordi EU-domstolen arbejder med en høj prioritering af EU-borgernes ret til privatliv. Bl.a. derfor er der en helt ny forordning (EU-lov som gælder direkte i alle medlemslande) på vej, som laver gennemgribende ændringer og intensiverer beskyttelsen af europæiske borgeres ret til privatliv. Denne er omtalt kort nedenfor i afsnit 2.6.1.
Udgangspunktet er, at ingen må behandle dine personlige oplysninger. Udgangspunktet er dog modificeret i mange tilfælde, herunder når man giver sit samtykke til behandling. Det er fx tilfældet, når man skriver sig op som bruger på et socialt medie. Her siger man i forbindelse med oprettelsen ja til, at det pågældende medie gerne må bruge ens personlige oplysninger. Dette gøres typisk med en henvisning til en persondatapolitik, som man samtykker til.
Hvad udgør et gyldigt samtykke?
Ifølge persondatalovgivningen skal et gyldigt samtykke være frivilligt, specifikt, informeret og udtrykkeligt.
Det betyder, at man klart og tydeligt informeres om, hvordan ens personlige oplysninger behandles, og man har mulighed for at sige fra i forhold til den pågældende behandling.
Når man skriver sig op til en tjeneste over internettet, vil man typisk blive præsenteret for en aftjekningsboks, hvor man kan erklære sig enig eller uenig i persondatapolitikken. Denne boks må ikke være tjekket af på forhånd – man skal altså aktivt give sit samtykke til behandling af ens personlige oplysninger. Hvis teksten tilknyttet boksen indeholder et link til persondatapolitikken, er kravet om et specifikt, informeret og udtrykkeligt samtykke som udgangspunkt overholdt, forudsat persondatapolitikken i øvrigt er fyldestgørende ifølge persondatalovgivningen.
Hvilken behandling kræver samtykke?
Hvis andre behandler ens personlige oplysninger vedrørende helbredsmæssige, seksuelle, politiske, religiøse og andre følsomme forhold, er det helt klare udgangspunkt, at der skal gives et udtrykkeligt samtykke. Det samme gør sig gældende, hvis der er tale om behandling af oplysninger om strafbare forhold – fx indhentelse af en straffeattest. I ganske få tilfælde kræves dog ikke samtykke.
Andre ikke-følsomme oplysninger kræver som udgangspunkt også samtykke, men kan nogle gange behandles uden. Se om dette nedenfor.
Hvilken behandling kræver ikke samtykke?
En af de hyppigst brugte undtagelser til kravet om samtykke er, hvis behandlingen af oplysningerne er nødvendig i forbindelse med en aftale mellem parterne. Fx må en arbejdsgiver gerne behandle oplysninger såsom en ansats navn, alder, adresse, kontooplysninger og lignende, fordi disse oplysninger er nødvendige for arbejdsgiveren for at udbetale løn og indberette skat.
En anden almindeligt brugt undtagelse er interesseafvejningsbestemmelsen: hvis vedkommende, som behandler ens personlige oplysninger har en større interesse i at behandle dem, end man har i, at oplysningerne ikke bliver behandlet, kræves ikke samtykke.
Et eksempel: Datatilsynet har tidligere accepteret, at en skole loggede elevernes internettrafik for at forhindre, at eleverne downloadede ulovligt materiale, pornografi eller voldeligt og/eller racistisk indhold.
Når denne undtagelse bruges, stilles dog næsten altid krav om, at man informerer de berørte om indsamlingen og behandlingen af oplysningerne på forhånd.
Hvorfor gælder der forskellige regler i verden?
Tradition og kultur varierer betydeligt fra land til land rundt om i verden. Det samme er også tilfældet inden for Europas grænser, hvilket har medført en del problemer, fordi personlige oplysninger i højere grad bliver behandlet på tværs af grænser, især pga. internettets udbredelse.
Sammen med det faktum, at den nuværende europæiske persondatalovgivning er baseret på et direktiv fra 1995, har det længe været nødvendigt med en revision af lovgivningen. Persondataforordning træder i kraft i maj 2018 og kommer til at gælde direkte i alle EU's lande og erstatter eksisterende national persondatalovgivning.
Kort om den nye forordning
Den nye forordning tager i højere grad brugen af moderne teknologi ind i overvejelserne og introducerer højere krav til behandling af personlige oplysninger. Den introducerer også meget høje bøder for overtrædelse, hvilket er en nyskabelse i forhold til det eksisterende bødeniveau i Danmark.
Det kan koste helt op til 20 mio. euro eller 4 % af årlig koncernomsætning (alt efter, hvad der er højest) at overtræde forordningen.
Et eksempel: Googles samlede koncernomsætning for 2015 var lige under 500 mia. kr. Hvis persondataforordningen var trådt i kraft i 2015, og Google overtrådte den, ville de risikere en bøde på 20 mia. kr. Googles samlede overskud for 2015 var 108 mia. kr. Bøden ville altså kunne have reduceret deres samlede overskud med 18,5 %.