Dataetik, rimelighed og GDPR

Dataetik, rimelighed og GDPR

Dataetik er et begreb, der har fået meget offentlig omtale og politisk opmærksomhed i de senere år. Begrebet er imidlertid en noget fluffy størrelse, og det er uklart, hvilke forpligtigelser det implicerer for den dataansvarlige, ligesom det er uklart, hvordan begrebet er relateret til persondataforordningen. I denne artikel vil vi forsøge at skabe sammenhæng mellem dataetik og persondataretten.

Hvad er dataetik?

Der findes ikke en kanoniseret definition af dataetik. Etik kan udlægges som et alment accepteret system af opfattelser, som er kontrollerende for opførsel og handlinger. Dataetik bliver altså et system af regler, som er bestemmende for, hvad man kan gøre med data.

Persondataforordningens principper i artikel 5 kan betragtes som dataetiske regler. Du skal f.eks. slette oplysninger, når du ikke længere har et formål med at behandle dem. Den underliggende etiske præmis er, at gamle oplysninger kan komme den registrerede til skade og blive brugt mod den registreredes interesser.

Et andet etisk princip kunne være, at vi skal benytte de data, vi har til rådighed til at bekæmpe sygdom. På den måde kunne man gennemgå Google-søgninger efter bestemte sygdomme eller symptomer og på den måde fastslå, hvordan influenza spreder sig geografisk og forberede vaccine-beredskab, sengepladser på hospitaler m.v.

De to eksempler viser, at dataetik kan være indlysende compliant med GDPR (det første eksempel) og omvendt meget tvivlsomt i forhold til GDPR (det andet eksempel), hvor en privat dataansvarlig anvender følsomme personoplysninger til et andet formål, end de er afgivet.

Vær skeptisk overfor dataetik

De to ovenstående eksempler viser også, at der er god grund til at være skeptisk, når nogen hævder, at de vil behandle personoplysninger på en dataetisk måde. Etikken følger nemlig ikke af loven men følger i stedet en etik, de selv har fastslået som værende korrekt. Bekæmpelse af sygdomme er jo utvivlsomt et etisk princip, som de fleste kan bakke op omkring, men det sker på bekostning af individernes personoplysninger, hvad der måske ikke umiddelbart er indlysende.

Andre dataetiske principper af tvivlsom karakter kunne være at bekæmpe al kriminalitet i samfundet gennem etablering af en biometrisk database af alle landets borgere kombineret med biometrisk TV-overvågning eller gennem etablering af en genom-database, som kan anvendes af politiet forbindelse med forbrydelser. Det kunne også være et dataetisk princip at beskytte Europas ydre grænser mod ulovlig indtrængen, og bruge data til at lade bevæbnede droner i grænseområderne med kunstig intelligens beslutte, om der skal skydes.

Dataetik og persondataretten

At lave etiske overvejelser er ikke fremmed for persondataretten. I artikel 5, stk. 1, litra a står der, at behandlingen skal være lovlig, rimelig og gennemsigtig. Lovlig vil sige, at man skal finde et retligt grundlag for sin behandling, og gennemsigtighed vil sige, at man skal opfylde oplysningsforpligtelsen i artikel 13 og 14. Rimelig er imidlertid ikke et ord, der er blevet adresseret ret meget i den juridiske litteratur. Rimelighed vil sige, at der skal foretages en etisk vurdering af behandlingen. Er det faktisk, henset til de registreredes rettigheder, og de ulemper og risici en behandling vil medføre for dem, OK at behandlingen foretages?

Datatilsynets praksis om rimelighed omfatter bl.a. begrænsninger på at bruge oplysninger om kreditværdighed ved stillingsbesættelse, at man ikke bør videregive personoplysninger til en part, der ikke er berettiget til at behandle dem og oplysning af de registrerede når deres oplysninger har været en del af et databrud. Det har således altid været en del af Datatilsynets praksis at foretage disse dataetiske eller rimeligheds overvejelser.

Da dataetik med ordet rimelighed altid er inkluderet i de persondataretlige overvejelser, kan man ikke sige at dataetik udvider persondataretten. Men dataetik kan imidlertid udvide behandlingssikkerheden, fordi mange dataetiske principper i praksis er relateret til behandlingssikkerhed. Dataetik har også den værdi, at så længe den er i overensstemmelse med persondataretten, kan den bidrage til at lægge selvvalgte begrænsninger på behandlingen, inden den er blevet til egentlig praksis eller lovgivning.

Dataetisk procedure

Dataetik behøver således på ingen måde uforeneligt med persondataretten, men i persondataretten bruges ordet rimelighed. I lyset af den foreliggende praksis og i og med at rimelighed er inkluderet i artikel 5, som altid skal opfyldes når der behandles personoplysninger, kan man sige, at der altid er et krav om, at den dataansvarlige laver dataetiske overvejelser forud for at en behandling iværksættes. På den baggrund kan det være relevant at lave en procedure, som beskriver de dataetiske overvejelser, en dataansvarlig altid vil efterleve inden behandling iværksættes.

Der er mange forskellige aktører der har lavet dataetiske principper, bl.a. Dataethics, DTU og EU Kommissionen for AI. Denne artikels forfatter har sammen med Charlotte Bagger Tranberg også formuleret et sæt principper, der supplerer principperne i artikel 5:

  • Nødvendighed: Kan man opfylde formål uden at behandle personoplysninger, skal man gøre det
  • Autonomi og valgfrihed: Den registrerede skal tilbydes valg om hvorvidt oplysninger skal behandles
  • Begrænsning af skade: Eventuel skade for de registrerede ved behandling skal reduceres mest muligt
  • Særlige kategorier: Der skal passes bedst på børn og andre svage gruppers følsomme oplysninger
  • Etisk design: De registreredes garantier skal designes teknisk ind i løsningen
  • Respekt for rettigheder: Behandlingen skal være kompatibel med hvad der kan forventes i et frit demokratisk samfund
  • Udvidet gennemsigtighed: Det skal være gennemsigtigt, hvordan teknologien virker
  • Oplevelse: det skal vurderes om de registrerede oplever at deres oplysninger behandles med eller mod deres interesse
  • Fravær af utilitarisme: Den dataansvarlige bør ikke opstille sine egne mål, som underminerer persondataretten
  • Erkendelse: Selv om nogle behandlinger er mulige og synes nyttige, så er de ikke nødvendigvis etiske.

Links

En grundig gennemgang af dataetik og Rimelighed af Charlotte Bagger Tranberg og Henning Mortensen:
https://www.karnovgroup.dk/artikler/rr-09-2019-kan-dataetik-siges-at-folge-de-persondataretlige-regler

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin