GDPR: Hvad er sammenhængen mellem dataetik og persondataretten?

By 
Henning Mortensen
January 24, 2020

Dataetik er hot topic - og med flere og flere tjenester, der også benytter sig af AI-baserede teknologier, bliver etik og data ofte knyttet sammen i samme kontekst som GDPR og persondata. I dette blogindlæg ser vi på dataetik i krydsfeltet mellem lovpraksis, GDPR og "rimelighed" - og hvad det i praksis betyder.

Dataetik er et begreb, der har fået meget offentlig omtale og politisk opmærksomhed i de senere år. Begrebet er imidlertid en noget fluffy størrelse, og det er uklart, hvilke forpligtigelser det implicerer for den dataansvarlige, ligesom det er uklart, hvordan begrebet er relateret til persondataforordningen. I denne artikel vil vi forsøge at skabe sammenhæng mellem dataetik og persondataretten.

Hvad er dataetik?

Der findes ikke en bredt vedtaget definition af dataetik som begreb. Etik i sig selv kan defineres som et alment accepteret system af opfattelser, som er kontrollerende for opførsel og handlinger. Dataetik bliver altså til et system af regler, som er bestemmende for, hvad man kan gøre med data.

Persondataforordningens principper i artikel 5 kan betragtes som dataetiske regler: Du skal f.eks. slette oplysninger, når du ikke længere har et formål med at behandle dem. Den underliggende etiske præmis er, at gamle oplysninger kan komme den registrerede til skade og blive brugt mod den registreredes interesser.

Et andet etisk princip kunne være, at vi skal benytte de data, vi har til rådighed til at bekæmpe sygdom. På den måde kunne man gennemgå Google-søgninger efter bestemte sygdomme eller symptomer og på den måde fastslå, hvordan influenza spreder sig geografisk og forberede vaccine-beredskab, sengepladser på hospitaler m.v.

De to eksempler viser, at dataetik kan være indlysende compliant med GDPR (i det første eksempel) og omvendt også meget tvivlsomt i forhold til GDPR (det andet eksempel), hvor en privat dataansvarlig anvender følsomme personoplysninger til et andet formål, end de er afgivet.

Vær skeptisk overfor dataetik

De to ovenstående eksempler viser også, at der er god grund til at være skeptisk, når nogen hævder, at de vil behandle personoplysninger på en dataetisk måde. Etikken følger nemlig ikke af loven, men i stedet en etik, de selv har fastslået værende korrekt. Bekæmpelse af sygdomme er jo utvivlsomt et etisk princip, som de fleste kan bakke op omkring, men det sker på bekostning af individernes personoplysninger - noget der måske ikke umiddelbart er indlysende.

Andre dataetiske principper af tvivlsom karakter kunne være at bekæmpe al kriminalitet i samfundet gennem etablering af en biometrisk database af alle landets borgere kombineret med biometrisk TV-overvågning eller gennem etablering af en genom-database, som kan anvendes af politiet forbindelse med forbrydelser. Det kunne også være et dataetisk princip at beskytte Europas ydre grænser mod ulovlig indtrængen, og bruge data til at lade bevæbnede droner i grænseområderne med kunstig intelligens beslutte, om der skal skydes.

Dataetik og persondataretten

At lave etiske overvejelser er ikke fremmed for persondataretten. I artikel 5, stk. 1, litra a står der, at behandlingen skal være lovlig, rimelig og gennemsigtig. Lovlig vil sige, at man skal finde et retligt grundlag (hjemmel) for sin behandling, og gennemsigtighed vil sige, at man skal opfylde oplysningsforpligtelsen i artikel 13 og 14. Rimelig er imidlertid ikke et ord, der er blevet adresseret ret meget i den juridiske litteratur. Rimelighed vil sige, at der skal foretages en etisk vurdering af behandlingen: Er det faktisk, henset til de registreredes rettigheder, og de ulemper og risici en behandling vil medføre for dem, OK at behandlingen foretages?

Datatilsynets praksis om rimelighed omfatter bl.a. begrænsninger på at bruge oplysninger om kreditværdighed ved stillingsbesættelse, at man ikke bør videregive personoplysninger til en part, der ikke er berettiget til at behandle dem og oplysning af de registrerede, når deres oplysninger har været en del af et databrud. Det har således altid været en del af Datatilsynets praksis at foretage disse dataetiske eller rimeligheds-overvejelser.

Da dataetik med ordet "rimelighed" altid er inkluderet i de persondataretlige overvejelser, kan man ikke sige, at dataetik udvider persondataretten. Men dataetik kan imidlertid udvide behandlingssikkerheden, fordi mange dataetiske principper i praksis er relateret til behandlingssikkerhed. Dataetik har også den værdi, at så længe den er i overensstemmelse med persondataretten, kan den bidrage til at lægge selvvalgte begrænsninger på behandlingen, inden den er blevet til egentlig praksis eller lovgivning.

Dataetisk procedure for AI-teknologier og andre typer behandlinger af persondata

Dataetik behøver altså på ingen måde være uforeneligt med persondataretten, men i persondataretten bruges ordet "rimelighed" og ikke"etisk". I lyset af den foreliggende praksis og med begrebet "rimelighed" (som indgår i artikel 5 og ALTID skal være opfyldt i behandlingen af personoplysninger), kan man sige, at der altid er et krav om, at den dataansvarlige laver dataetiske overvejelser før en behandling iværksættes. På den baggrund kan det være relevant at etablere en procedure, som beskriver de dataetiske overvejelser, en dataansvarlig altid vil efterleve inden behandling iværksættes.

Der er mange forskellige aktører, der har lavet dataetiske principper, bl.a. Dataethics, DTU og EU Kommissionen for AI.
Denne artikels forfatter har sammen med Charlotte Bagger Tranberg også formuleret et sæt principper, der supplerer principperne i artikel 5:

  • Nødvendighed: Kan man opfylde formålet uden at behandle personoplysninger, skal man gøre det
  • Autonomi og valgfrihed: Den registrerede skal tilbydes valg om, hvorvidt oplysningerne skal behandles
  • Begrænsning af skade: Eventuel skade for de registrerede ved behandling skal reduceres mest muligt
  • Særlige kategorier: Der skal passes bedst på børn og andre svage gruppers følsomme oplysninger
  • Etisk design: De registreredes garantier skal designes teknisk ind i løsningen
  • Respekt for rettigheder: Behandlingen skal være kompatibel med, hvad der kan forventes i et frit, demokratisk samfund
  • Udvidet gennemsigtighed: Det skal være gennemsigtigt, hvordan teknologien virker
  • Oplevelse: det skal vurderes, om de registrerede oplever, at deres oplysninger behandles med eller mod deres interesse
  • Fravær af utilitarisme: Den dataansvarlige bør ikke opstille sine egne mål, som underminerer persondataretten
  • Erkendelse: Selvom nogle behandlinger er mulige og synes nyttige, så er de ikke nødvendigvis etiske

Links

En grundig gennemgang af dataetik og Rimelighed af Charlotte Bagger Tranberg og Henning Mortensen:
https://www.karnovgroup.dk/artikler/rr-09-2019-kan-dataetik-siges-at-folge-de-persondataretlige-regler

Lyst til flere vinkler på GDPR, privacy, dataetik og dataansvarlighed?



Så gør som mere end 3000 andre og få vores privacy-newsletter i din indbakke - sign up her

Flere blogs indenfor området

Se alle blogs

Reflektioner fra Privacy Space Live: Lovgivning er vigtig - andre ting betyder mere

NIS2 for begyndere: 10 spørgsmål og svar om cyberdirektivet og dets betydning

Stor enighed: Dem der allerede arbejder med en ISO standard er godt klædt på til NIS2