Vi skal have dataetik. Dataetik er godt. Sådan lyder det i den offentlige debat i disse uger og måneder.
Jeg er ikke modstander af dataetik. Men selve ordet dataetik er farligt, fordi det indikerer, der er tale om et valg. Og det gør mig bekymret.
Det gør det, fordi der altid i databeskyttelsesretten har været en regel med et indhold, der indeholder store dele af det, der nu kaldes dataetik.
Forskellen på reglen og etikken er bare, at etik er op til den enkelte. Regler skal derimod respekteres af alle – og der er sanktioner, hvis man ikke vil respektere samfundets krav til god opførsel. Det gælder i trafikken – og det gælder ved brug af data.
De virksomheder og myndigheder, der lader sig forlede til at tro, at der er valgfrihed, fordi de tolker det som et etisk valg, risikerer at falde i en fælde – og blive ramt af GDPR’s berømte sanktioner (for virksomheder bøder på op til 20 millioner euro, for myndigheder op til 16 millioner kroner).
Den vigtigste regel af dem alle
Så lad os kort genopfriske den helt centrale regel i databeskyttelsesretten med den tydelige fællesmængde med dataetikken – det bankende hjerte bag alle de andre artikler i databeskyttelsesforordningen: GDPR’s generalklausul.
I Danmark kaldte vi det tidligere ‘god databehandlingsskik’. Andre lande kaldte det fairness. Nu står der i forordningen, at personoplysninger skal behandles: »lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.«
Og nej, der er ikke frit valg på alle hylder i forhold til selv at bestemme, hvad lovlig, rimelig og gennemsigtig brug af data er. Der er faktisk ufattelig megen tilsynspraksis om, hvad der mere præcist ligger i kravene til god databehandlingsskik/fairness.
For det første ser den praksis om god databehandlingsskik, der blev etableret under persondataloven, ud til at leve videre.
Det danske datatilsyn har for eksempel meldt ud, at den hidtidige praksis om, at offentlige myndigheder som udgangspunkt ikke kan bruge oplysninger, der er blevet indsamlet ulovligt af andre dataansvarlige, stadig gælder.
Det er et tegn på, at praksis består – som også forudset i betænkningen om databeskyttelsesforordningen.
Denne tidligere praksis kunne opdeles i tre hovedkategorier:
- Sager, hvor tilsynet brugte god databehandlingsskik til at understrege, at dataansvarlige skal overholde andre regler om behandling af personoplysninger – herunder regler uden for persondataloven. Det er kravet om ‘lovlighed’.
- Sager, hvor det var tvivlsomt, hvor langt fortolkningen af mere præcise regler kunne strækkes, eller der var mindre ‘huller’, der hindrede opnåelse af formålet med de specielle bestemmelser. Det er de blandede bolcher – bygget på kravet om rimelighed.
- Den tredje kategori er, hvor persondatalovens § 5, stk. 1, var den eneste hjemmel for krav til dataansvarlige. Den del af praksis var ‘ren’ rimelighed/fairness og kunne ‘underopdeles’ i krav til gennemsigtighed (transparens), omsorgspligt og loyalitet/ordentlighed.
Gennemsigtighed betyder forudsigelighed og ingen luskeri
Gennemsigtighed i databeskyttelsesretten drejer sig ikke (kun) om indsigt. Det vigtigste er faktisk information og forudsigelighed.
De registrerede skal på forhånd vide, at oplysninger bruges. Ingen overraskelser, ingen luskeri. Hemmelig databehandling er en af de databeskyttelsesretlige dødssynder – kun til brug under politiefterforskninger og lignende (eller af skumle totalitære stater).
Derfor blev der i mange sager stillet krav om information til registrerede, før data blev brugt.
Det skete især, når dataansvarlige planlagde eller burde kunne forudse senere intensiv behandling af potentielt fortrolige oplysninger, og de registrerede samtidig afgav og mistede rådighed over oplysningerne, før de dataansvarlige behandlede dem.
Borgerne skal vide på forhånd, at de bliver set over skulderen
Det lyder mærkeligt – men eksempler er samkøring i kontroløjemed, hvor der dannes nye oplysninger ved selve samkøringen, for eksempel om at personen har modtaget offentlige ydelser og feriepenge samtidigt (hvilket er ulovligt).
Denne nye oplysning om ‘snyd’ er dog ikke som sådan ‘givet’ af borgeren selv – men skabt ved at samkøre oplysninger fra dagpengesystemet med feriekonto. Derfor krævede tilsynet, at borgeren på forhånd fik at vide, at der blev samkørt.
Det er også arbejdsgiveres kontrol af ansattes internetbrug og e-mails. Her krævede tilsynet, at de registrerede skulle kende til mulighederne for kontrol, før de gav data fra sig ved at bruge deres arbejds-PC til datingssider eller mails til vennerne om den trælse chef.
Det samme gælder for lønoplysninger, hvor der skulle informeres, inden de spredes til større personkredse.
I ingen af disse tilfælde giver den registrerede aktivt oplysningen til en anden – den dannes bare. Derfor brugte man god databehandlingsskik til at skabe gennemsigtighed (transparens) ved at kræve, at de registrerede fik at vide, at dataene blev brugt.
En anden af disse ‘underkategorier’ handlede – som skrevet ovenfor – om omsorg for de betroede oplysninger.
Eksempelvis skulle dataansvarlige myndigheder lade være med at videregive personoplysninger, hvis (for meget) tydede på, at en samarbejdspart ikke var berettiget til at behandle oplysningerne. Et andet eksempel var den velkendte pligt til begrænse skade ved sikkerhedsbrud og datalæk, såsom at sørge for at få det fjernet fra internettet.
Fluffy ordentlighed på Crazy Daisy
Den sidste undergruppe af sager, hvor god databehandlingsskik var den eneste hjemmel i tilsynspraksis, fokuserede på loyalitet eller hvad man med et gammeldags ord kan kalde ordentlighed.
Dette er den mest ‘fluffy’ kategori. Den bæres af en tankegang om, at man skal vise hensyn og ikke udnytte folk i en svag position – og slog for eksempel ud i praksis i forbindelse med indhentelse af samtykke til at tage fingeraftryk fra unge ved diskoteker, hvor de måtte forventes at være påvirkede af alkohol eller feststemning.
Her krævede tilsynet, at Crazy Daisy efterfølgende tjekkede, om de unge nu faktisk var med på, at deres fingeraftryk blev brugt til adgangskontrol.
Danmark kan ikke have egen praksis, når det gælder ‘bedste praksis’
Men der er formentlig mere i god databehandlingsskik i dag, end der var tidligere. Vi er nemlig gået fra et direktiv til en forordning – og det vil sige, at det ikke kun er det danske datatilsyn, der bestemmer praksis.
Der er altså ny praksis på vej. Jeg har holdt øje med Det Europæiske Databeskyttelsesråd. Der sker noget. De kommer med anbefalinger af meget konkret karakter og bruger noget nyt: ‘Bedste praksis’.
Rådet skriver, at dets anbefalinger til bedste praksis skal anvendes aktivt af de dataansvarlige – og knytter dette sammen med artikel 25 om databeskyttelse via design og indstillinger.
Det er en meget aktivistisk kobling – Danmark har nemlig ikke den samme manøvremargin på artikel 25, som vi har på lovlighed, rimelighed og gennemsigtighed.
Vi kan altså ikke på samme måde have vores egen nationale praksis. Og der er allerede i de eksisterende beskrivelser af bedste praksis et tydeligt fingerpeg om, at åbenhed (også kaldet gennemsigtighed eller transparens) slår meget tydeligt igennem i alle rådets anbefalinger.
Det passer også meget godt med, at ordlyden af databeskyttelsesforordningens artikel 5, stk. 1, litra a, er ændret i forhold til persondatadirektivets tilsvarende bestemmelse, idet netop gennemsigtighed er tilføjet.
De udtalelser, jeg især har bidt mærke i, er ‘Guidelines on transparency’ under Regulation 2016/679 og ’Guidelines on Automated individual decision making and Profiling for the purposes of Regulation’ 2016/67). De kan læses sådan, at for eksempel myndigheder skal begynde at etablere mekanismer, der giver borgerne mulighed for selv at tilgå deres personoplysninger.
Profileres der ved at samkøre mange oplysninger til et billede af for eksempel borgerens overholdelse af regler eller forældreevne, skal borgerne altså også have adgang til profilerne og beskrivelser af, hvordan de profiler dannes.
Men det er ikke nok til at være bedste praksis. Nej. De registrerede skal have mulighed for at selv opdatere eller tilføje informationer til data og profiler.
Og hold fast: Dette bør samles for alle behandlinger, der foretages af den dataansvarlige – det vil sige en samlet indgang til hver myndigheds behandlingsaktiviteter; et databeskyttelsesretligt dashboard.
Meget taler for, at disse anbefalinger tegner retningen for fremtidens lovlighed, rimelighed og gennemsigtighed – altså bliver styrende for ‘god databehandlingsskik’.
\ ForskerZonen
Denne artikel er en del af ForskerZonen, som er stedet, hvor forskerne selv kommer direkte til orde.
Her skriver de om deres forskning og forskningsfelt, bringer relevant viden ind i den offentlige debat og formidler til et bredt publikum.
ForskerZonen er støttet af Lundbeckfonden.
Hold øje med generalklausulen
Databeskyttelsesforordningen er en ret ny retsakt. Det er derfor generalklausulen – forordningens overordnede regel og ’bankende hjerte’ – man virkelig skal holde øje med.
Den er så at sige etikken i juraen, og det er her, man kan se, hvorhen retten vil udvikle sig.
Det er den regel, der vil blive brugt til at tilpasse forordningen.
Den er også – om jeg gætter ret – den indbyggede hammer, hvis databrugen løber amok, og de præcise regler ikke kan sikre respekt for ‘ånden i forordningen’.
Og som afslutning: Der er næppe tvivl om, at dataetik er vigtig – men etik er et valg, etik er frivilligt og der står normalt ikke nogen med en bødeblok, når du opfører dig uetisk.
Mellem de velkendte og detaljerede regler i GDPR og dataetikken er der imidlertid et grænseland – en fællesmængde. Det grænseland kan kaldes god databehandlingsskik, fairness eller bedste praksis.
Dette (for mig) kære barn har mange navne – men uanset betegnelsen er det her, hvor en stor del af dataetikken så at sige er suget op af databeskyttelsesrettens svamp; den brede, generelle regel om lovlighed, rimelighed og gennemsigtighed.
Og det bekymrer mig, hvis virksomheder og myndigheder får den opfattelse, at efterlevelse af denne del af god dataetik er valgfri – for lov er lov, og lov skal holdes.
