GDPR: Privacy versus Databeskyttelse

24. juli 2020

I udenlandske medier anvendes ordet privacy ofte, hvorimod vi i Danmark mere taler om databeskyttelse. Er der tale om en oversættelse, eller er der en materiel forskel på de to begreber? Det er genstanden for denne artikel. 

Baggrund

Søger man på ordet privacy i den engelsksprogede udgave af GDPR vil det måske forekomme overraskende, at ordet ikke findes en eneste gang. Læser man derimod GDPR-forordningens navn nøje, vil man lægge mærke til, at det er en forordning, der omhandler ”beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger”, og at der er tale om en ”generel forordning om databeskyttelse”. Forordningen adresserer altså noget andet end privacy. Samme betragtninger går igen i artikel 1 om forordningens genstand og formål og uddybes i artikel 2: ”Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register”. GDPR handler altså om databeskyttelse og ikke privacy.

Privacy i historisk kontekst

Indholdet i privacy har eksisteret stort set så længe, man har kunnet tale om lovgivning. Der har altid været et behov for, at individerne kunne beskytte sig mod hinanden eller mod organiserede aktører. Tiltag, som beskytter individerne, findes tilbage i romersk ret. Tilsvarende findes der formuleringer fra tidlig engelsk lovgivning og i USA’s Bill of Rights, hvor der står: “The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures”. Men som selvstændigt begreb er privacy af nyere dato. Ofte anvendes Louis Brandeis formulering af privacy som “the right to be left alone”, som den første egentlige definition. Men denne definition er baseret på de garantier, som borgerne gives i Bill of Rights. Der er således tale om en lang historisk tradition, som først i nyere tid er blevet samlet i et ord. 

Brandeis definition er betydeligt udfordret i nutiden, fordi den kan efterlade et indtryk af, at privacy handler om retten til at skjule sig eller noget, og at privacy dermed kun er vigtigt for fordækte personer. Det er imidlertid en misforståelse. Privacy handler ikke om at skjule noget. Privacy tager til efterretning, at en række interessenter i form af bl.a. staten, andre offentlige myndigheder, private virksomheder eller foreninger af individer har selvstændige interesser i at tilegne sig viden om et individ for at fremme egne formål, som måske / måske ikke er i overensstemmelse med individets egen interesse. Med privacy gives således retten til begrænse disse andre aktørers mulighed for at tilegne sig viden om individet. Man kan på den måde sige, at privacy garanterer, at individet kan beholde sin personlige autonomi i samfundet ved at andre forhindres i at snage.

Forskellige former for privacy

De aktører, som gerne vil tilegne sig viden om individerne, kan gøre dette på flere forskellige måder.

Kropslig privacy

Først og fremmest kan de tage individets krop til fange eller tiltage sig retten til individets fysiske krop, bruge individets arbejdskraft og intellekt, bruge individets organer, væv, blod eller DNA til egne formål, som måske /måske ikke er i modstrid med individets interesser og ønsker. Kropslig privacy er således retten til at beskytte kroppen mod at andre tiltager sig retten til den – herunder f.eks. at DNA-sekventere individets væv.

Territorial privacy

I nær tilknytninger hertil har vi den fysiske afgrænsning af privatsfæren. Alle individer har en privatsfære omkring sig – f.eks. i form af en ligusterhæk omkring deres grund inden for hvilken de forventer at have en intakt individuel autonomi. Privatsfæren dækker også andre situationer – tænk f.eks. på toilettet, soveværelset og videoovervågning og grænserne for fysisk nærvær på arbejdspladsen eller i det offentlige rum. Territorial privacy er således retten til at bestemme over et subjektivt fastlagt territorie omkring sig.

Kommunikationsprivacy 

Retten til at kommunikere privat i form af f.eks. brevhemmeligheden er nok en af de mest kendte privacy former. Denne ret er f.eks. lagt ned i Grundloven, omend den ikke er en absolut ret. Kommunikationsprivacy dækker bredere end breve og således f.eks. også mails, telefonopkald, internetanvendelse og almindelig samtale. Sammenfattende er det retten til at bestemme, hvem der har adgang til ens kommunikation.

Informationsprivacy

Den sidste privacyform vi kan nævne er informationsprivacy – altså retten at have nogle private informationer, som individet selv bestemmer hvem de vil dele med, hvornår de vil dele den og på hvilket medie m.v. Informationsprivacy er kernen i databeskyttelse.

Privacy opsamlet

De fire former for privacy, vi har vist ovenfor, viser, at privacy er et bredt begreb, der skal sikre, at individerne kan bevare deres autonomi i forhold til andre aktørers ønsker og behov i en række forskellige situationer. Hver gang individerne ikke selv kan bestemme grænsen for deres privatsfære eller hvad f.eks. deres blod bliver brugt til, mister de en del af deres autonomi. Hvis en lov f.eks. bestemmer, at vævsprøver i forbindelse med behandlinger på hospitaler skal opsamles, DNA-sekventeres og lagres i en genom database, så er det en begrænsning af privacy – en indskrænkning i individernes autonomi. Uanset om individerne synes det er en god eller dårlig ide, fratages de retten til at bestemme og er i dette forhold ikke længere autonome individer. 

I et samfund med en demokratisk stat er loven som udgangspunkt udtryk for folkets vilje. Man kan sige, at det er en del af den samfundspagt vi har indgået med hinanden, da staten blev etableret. Men det ændrer ikke på det forhold, at en sådan lov er en indskrænkning i individernes autonomi. For at staten ikke skal tiltage sig alt for mange rettigheder og begrænse borgerne for meget, er der netop fastsat forskellige demokratiske mekanismer, som skulle sikre at de rette balancer er på plads, og det vil være for omfattende i denne artikel at berøre dette.

Privacy er et bredt begreb, som skal sikre borgernes autonomi i samfundet.

Databeskyttelse

Databeskyttelse handler om at beskytte fysiske personer, når der behandles data om dem. Databeskyttelse er fastlagt som en fundamental rettighed i EU’s charter om grundlæggende rettigheder, artikel 8: ”Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende”. GDPR operationaliserer denne grundlæggende ret således, at der ikke må behandles personoplysninger med mindre man kan finde hjemmel til det i GDPR eller en af de special-lovgivninger, som GDPR åbner op for – f.eks. sundhedsloven. Og selv når der må behandles personoplysninger, skal dette ske under iagttagelse af en række regler – herunder nogle fundamentale principper i form af bl.a. rimelighed, formålsbegrænsning, dataminimering, rigtighed og ansvarlighed. Videre udstyres individerne med nogle rettigheder til f.eks. ret til at blive oplyst og få indsigt samt at få slettet personoplysningerne. Endelig pålægges de parter, som behandler oplysningerne (dataansvarlige og databehandlere), en række krav, som skal opfyldes – f.eks. til behandlingssikkerhed, risikovurdering og styr på leverandører.

Databeskyttelse er således et mere snævert begreb end privacy og adresserer f.eks. ikke territorial privacy.  Databeskyttelse kan siges at være en delmængde af privacy, i og med at der er et næsten perfekt overlap med informationsprivacy og et betydeligt overlap med kommunikationsprivacy – i hvert fald i en digital tidsalder. 

De europæiske databeskyttelsesregler sikrer således ikke individerne en ret til privacy, men kun en ret til databeskyttelse.

Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri.

I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder.

Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin

Du er måske også interesseret i

Notat om Schrems II

Notat om Schrems II

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset...