6 vigtige momenter i persondatarettens historie

“Intet kommer af ingenting – undtagen lommeuld” skulle den danske multikunstner Storm P. engang have sagt. Sådan er det også med de persondataretlige regler. Forud for GDPR, som alle har hørt om i denne tid, er der gået en lang tradition, hvor lovgiver har haft fokus på at beskytte individernes privatliv – herunder deres personlige oplysninger. I denne (lidt bibliofile) artikel vil der blive givet en kort opsummering af nogle momenter af persondatarettens historie i en dansk og international kontekst.

Privacy er så gammelt som menneskets historie. Mennesket har altid haft et behov for at have en privatsfære omkring sig – f.eks. når der skulle besørges, ved at tildække visse dele af kroppen og i lidt mere moderne tid, når der er blevet tænkt tanker, som var i opposition til tidens magthavere. Historisk har ”privacy” derfor især haft en betydning som en modsætning til ”offentlig” – ved at sondre mellem individet og kollektivet. I en samfundsmæssig betydning findes der også eksempler i arabisk, romersk og engelsk lovgivning på visse begrænsninger i statens mulighed for at intervenere i private hjem. I en moderne kontekst er det dog især Samuel D. Warren og Louis D. Brandeis artikel The Right to Privacy fra 1890, der fastslår, at borgerne bør have en ret til at beskytte deres privacy. Artiklens baggrund var en reaktion mod, at man med moderne teknologi kunne tage fotografier af det, der sker i realtid, og at tabloid-pressen begyndte at kunne formidle historier hurtigt til et bredt publikum.

1900-tallet

Op gennem første halvdel af 1900-tallet gjorde verdenskrige og økonomiske kriser, at der ikke var meget politisk fokus på emnet, men det politiske klima efter 2. verdenskrig gjorde det muligt at vinde bred opbakning til mere idealistiske tanker – bl.a. artikel 12 i the Universal Declaration of Human Rights (United Nations, 1948), Artikel 8 i the European Convention of Human Rights (Council of Europe, 1950) og senere artikel 17 i the International Covenant on Civil and Political Rights (United Nations, 1966). I disse tekster fastlægges der en overordnet idealistisk ret, som skal sikre individerne mod staternes indgriben i privatlivet, familien, hjemmet og korrespondance, f.eks. den nævnte artikel 12 som lyder: ”No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence…”.

Danmark 60’erne-90’erne

I Danmark tog udviklingen fart i slutningen af 60’erne. På baggrund af en betænkning udgivet af Administrationsrådets udvalg vedrørende styring og koordinering af edb-udviklingen i forvaltningen fra december 1969 nedsatte Justitsministeriet et registerudvalg i 1970. Registerudvalget fik i henhold til sit kommissorium til opgave ”at overveje de problemer vedrørende privates retsbeskyttelse, som er forbundet med oprettelse og brug af offentlige og private registre, navnlig under hensyn til den tekniske udvikling på dette område.” Baggrunden for nedsættelsen af registerudvalget var, at der i 60’erne havde været politisk debat om private oplysningsbureauers virksomhed tillige med samspillet mellem private og offentlige EDB-registre. Tilsvarende problemstillinger var også rejst i de øvrige nordiske lande, og i 1971 tilskyndede Nordisk Råd regeringerne til at samarbejde om at tilvejebringe en effektiv beskyttelse af privatlivets fred. Generelt er der en betydelig politisk interesse for emnet i mange europæiske lande i slutningen af 60’erne og starten af 70’erne.

Registerudvalget arbejde gennem 70’er med området og udgav i 1973 betænkning 687: ”Delbetænkning om private registre” og i 1976 betænkning 767: ”Delbetænkning om offentlige registre”. Disse to betænkninger blev grundlaget for de første danske love på område: Lov om private registre m.v. og Lov om offentlige myndigheders registre blev begge vedtaget efter folketingsforhandlinger den 8. juni 1978 med ikrafttrædelse den 1. januar 1979. Begge lovene var i kraft op gennem 80’erne og 90’erne om end de begge blev justeret flere gange.

Den internationale udvikling

I 70’erne var privacy også genstand for debat i flere internationale fora. Europarådet nedsatte i 1972 en ekspertkomite “on the protection of privacy vis-a-vis electronic data banks” som i 1973 og 1974 gav anledning til, at der blev vedtaget to resolutioner, og som gav anledning til, at Europarådet på baggrund af de medlemslandenes national love gav sig til at udarbejde nogle basale principper for beskyttelse af personoplysninger. Med udgangspunkt i dette arbejde udarbejdede Europarådet konvention 108, ”Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data”, som blev vedtaget i 1981, hvori en række basale principper for elektronisk behandling af personoplysninger fastlægges. Denne konvention er stadig det eneste internationalt retligt bindende dokument for så vidt angår privacy. Europarådet har desuden vedtaget en række anbefalinger til anvendelsen af konventionen på konkrete områder – bl.a. ”Digital Tracking and other Surveillance Technologies” (2013) og ”processing of personal data in the context of employment” (2015), for at nævne et par af de nyere.

OECD initierede i sit Data Bank Panel fra 1969 et arbejde, som skulle studere konsekvenserne ved privacy af den teknologiske udvikling. Panelet afholdt en offentlig høring i Wien i 1977 og offentliggjorde en række forhold, som måtte tillægges vægt, når det gjaldt modsatrettede hensyn som privacy versus brug af moderne teknologi. På den baggrund nedsattes i 1978 en ad hoc Group of Experts on Transborder Data Barriers and Privacy Protection, som skulle foreslå nogle guidelines og basale regler for transborder data flow og privacy. Arbejdsgruppen koordinerede tæt med Europarådet og kunne offentliggøre sit arbejde i 1980 under overskriften ”OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”. OECDs guidelines er ikke retligt bindende, og de er mere orienteret mod de grundlæggende rettigheder end Europarådets konvention. OECDs guidelines blev opdateret i 2013 for i højere grad at kunne adressere risikohåndtering og internationalt samarbejde. OECDs arbejde har givet anledning til at andre lande og regioner har arbejdet med privacy – f.eks. er APECs privacy framework fra 2005 baseret på OECDs principper fra 1980.

I USA var der også fokus på betydningen af den stigende automatiserede behandling af personoplysninger. I 1973 foreslog US Secretary’s Advisory Committee on Automated Personal Data Systems under Department of Health, Education, and Welfare (HEW) fem principper, Fair Information Practice, i rapporten Records, Computers and the Rights of Citizens. Denne rapport blev udgangspunktet for USAs Privacy Act fra 1974. Loven blev evalueret af the Privacy Protection Study Commission, som I 1977 udgav rapporten Personal Privacy in an Information Society. Disse principper er formuleret før bade Europarådet og OECDs principper og flere amerikanere er således af den opfattelse af den moderne privacy tilgang er blevet skabt i USA. Fair Information Practice Principles (FIPP) findes bade I en udgave fra Federal Trade Commission, med fem principper og I en udgave fra US Department of Homeland Security med otte principper. I USA er der desuden sektorlovgivning på en række områder.

Europa 80’erne-90’erne

I EF/EU var der også politisk fokus på privatlivets fred. I 1990 kunne Europa-Kommissionen således fremsætte forslag til direktiv på området. Forslaget blev i de følgende år genstand for intense politiske forhandlinger. Således kunne Europa-Parlamentet i 1992 fastlægge 95 ændringsforslag til forslaget, hvorefter Europa-Kommissionen fremkom med et nyt forslag i 1992. Dette reviderede forslag blev forhandlet i Rådet frem til 1995, hvorefter en endelig vedtagelse af direktiv 95/46/EF (databeskyttelsesdirektivet) endelig kunne ske, med en implementeringsfrist på tre år.

I 1999 besluttede Det Europæiske Råd, at der skulle udarbejdes et katalog over grundlæggende rettigheder I EU. Kataloget skulle baseres på Europarådets konvention fra 1950, praksis fra EU-domstolen og andre relevante rettigheder og principper og forfattes af en række aktører fra Rådet, Kommissionen, EU Parlamentet og nationale parlamenter. Gruppen blev kaldt Det Europæiske Konvent. Allerede i år 2000 vedtog Konventet et udkast til EU’s Charter om Grundlæggende Rettigheder som senere på året blev vedtaget af Europa-Parlamentet, Ministerrådet og EU-Kommissionen. Charteret fik retsvirkning fra 2009 med vedtagelsen af Lissabon-traktaten. Chartret har en særlig rolle, fordi det i artikel 8 meget præcist fastslås, at ”Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende”.

Danmark slut 90’erne

Da 95/46/EF var et direktiv, skulle det implementeres i dansk ret og dermed vedtages i Folketinget. Under Justitsministeriet blev derfor nedsat et Udvalg om Registerlovgivningen i 1996, der i henhold til kommissoriet fik til opgave at ”overveje og vurdere, hvorledes en fremtidig lovgivning om behandling af personoplysninger m.v. bør udformes, således at der opnås den rette balance mellem på den ene side hensynet til at sikre borgernes privatliv og personlige integritet og på den anden side hensynet til at bevare og til stadighed udbygge en effektiv offentlig administration og et privat erhvervsliv, som ikke pålægges unødige byrder”. Udvalget udgav betænkning 1345 i 1997, som indeholdt forslag til Lov om behandling af personoplysninger. Lovforslaget blev fremsat i Folketinget som L 82 i folketingsåret 1997-98. Forhandlingerne var vanskelige. Det var derfor nødvendigt at justere lovforslaget af flere omgange og genfremsætte det, således som L 44 fra folketingsåret 1998-99 og som L 147 fra folketingsåret 1999-2000, hvor det endelig blev vedtaget 26. maj 2000. Knasterne i forhandlingerne var især videregivelse mellem myndigheder på det sociale område og brug af personoplysninger til markedsføring, hvor Danmark tidligere i registerlovene havde en bedre retsstilling end direktivet tilbød. Det kan diskuteres, om det vedtagne forslag var på kant med direktivet i og med at Danmark bl.a. introducerede særlige regler for behandling af oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold.

I perioden fra 2000-2018 er Lov om behandling af Personoplysninger blevet ændret flere gange.

Persondataforordningen, GDPR

I slutningen af 00’erne blev det klart at der var behov for at revidere de europæiske persondataretlige regler igen. 95/46/EF var implementeret uensartet i EU-medlemslandene. Der var visse unødvendige bureaukratiske byrder i reglerne. Men vigtigst af alt kunne lovgivningen ikke følge med den teknologiske udvikling og med det trusselsbillede, der fulgte heraf. EU-Kommissionen udarbejdede et forslag til en ny retsakt, som blev offentliggjort i januar 2012. For det første blev det foreslået at lave en forordning og ikke et direktiv, med det formål at sikre den bedst tænkelige harmonisering. For det andet blev der introduceret en række nye elementer, som f.eks. accountability, databeskyttelse gennem design risikovurdering og konsekvensanalyse (privacy impact assessment). For det tredje blev der introduceret væsentlige bøder med det formål at sikre, at reglerne faktisk blev efterlevet.

Trilogforhandlingerne mellem Kommissionen, Rådet og Parlamentet var meget omfattende og parlamentet havde f.eks. knap 4.000 ændringsforslag til Kommissionens oprindelige udspil. Forordningen blev endelig vedtaget i april 2016 efter mere end 4 års forhandlinger som forordning 2016/679.
Selv om der er tale om en forordning, virker retsakten på mange områder som et direktiv. På ca. 54 områder er der mulighed for at fastsætte national lovgivning. I Danmark er det således sket gennem vedtagelsen af Databeskyttelsesloven, L 68 fra folketingsåret 2017-18. Under de danske forhandlinger i Folketinget var der især strid om § 5, stk. 3, som er affattet: ”vedkommende minister [kan] efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed” og undtagelserne i oplysningsforpligtelsen, når der sker videregivelse til behandling til andet formål end det oprindelige, jf. §§ 22-23. I tilknytning til vedtagelsen af loven, blev der derfor lavet en politisk aftale om at folketingets retsudvalg og fagudvalg skal give opbakning til andre formål end de oprindeligt vedtagne, jf. tillægsbetænkningen af 16. maj 2018.

Konklusion

GDPR er udtryk for en lang udvikling tilbage fra slutningen af 1900 århundrede. Både praktiske hensyn især i form af regulering af anvendelse af ny teknologi såvel som ønsket om at cementere fundamentale privacy rettigheder har været drivende for udviklingen af lovgivningen. På tværs af alle de forskellige retsakter og guidelines er der dog en række principper, som går igen. Samlet set kan disse principper anskues, som kernen i beskyttelse af privacy. Disse principper kan sammenfattes i nedenstående tabel:

Links

Europarådet, Konvention 108: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108
Europarådets anvendelsesvejledninger: https://www.coe.int/en/web/portal/personal-data-protection-and-privacy
OECDs guidelines (2013): http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm
EU’s Charter om Grundlæggende Rettigheder: http://www.europarl.europa.eu/charter/pdf/text_en.pdf
Persondataforordningen: https://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=DA
Databeskyttelsesloven: https://www.retsinformation.dk/Forms/r0710.aspx?id=201319

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations - easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin