GDPR: Persondata-rettens historie - Privacy er så gammelt som menneskets historie

By 
Henning Mortensen
October 20, 2019

“Intet kommer af ingenting – undtagen lommeuld” skulle den danske multikunstner Storm P. engang have sagt. Sådan er det også med de persondataretlige regler. Forud for GDPR er der gået en lang tradition, hvor lovgiverne har haft fokus på at beskytte individernes privatliv – herunder deres personlige oplysninger. I denne (lidt bibliofile) artikel gennemgås persondatarettens historie i både en dansk og international kontekst.

Privacy er så gammelt som menneskets historie. Mennesket har altid haft et behov for at have en privatsfære omkring sig – f.eks. når der skulle besørges, ved at tildække visse dele af kroppen og - i lidt mere moderne tid - når der er blevet tænkt tanker, som var i opposition til tidens magthavere. Historisk har begrebet ”privacy” derfor især haft en betydning som en modsætning til ”offentlig” – ved at sondre mellem individet og kollektivet. I en samfundsmæssig kontekst findes der også eksempler i arabisk, romersk og engelsk lovgivning på visse begrænsninger i statens mulighed for at intervenere i private hjem. I en moderne kontekst er det dog især Samuel D. Warren og Louis D. Brandeis artikel "The Right to Privacy" fra 1890, der fastslår, at borgerne bør have ret til at beskytte privatlivets fred. Artiklens baggrund var en reaktion mod, at man med moderne teknologi kunne tage fotografier af det, der sker i realtid, og at tabloid-pressen begyndte at kunne formidle historier hurtigt til et bredt publikum.

1900-tallet

Op gennem første halvdel af 1900-tallet gjorde verdenskrige og økonomiske kriser, at der ikke var meget politisk fokus på emnet. Med det politiske klima efter 2. verdenskrig gjorde det muligt at vinde bred opbakning til mere idealistiske tanker. Dette ses bl.a. i artikel 12 i The Universal Declaration of Human Rights (United Nations, 1948), Artikel 8 i the European Convention of Human Rights (Council of Europe, 1950) og senere i artikel 17 i The International Covenant on Civil and Political Rights (United Nations, 1966). Disse tekster fastlægger en overordnet idealistisk ret, som skal sikre individerne mod staternes indgriben i privatlivet, familien, hjemmet og korrespondance, f.eks. den nævnte artikel 12 som lyder: ”No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence…”.

Danmark i 1960’erne - 1990’erne

I Danmark tog udviklingen fart i slutningen af 1960’erne. På baggrund af en betænkning udgivet af Administrationsrådets udvalg om styring og koordinering af EDB-udviklingen i forvaltningen fra december 1969, nedsatte Justitsministeriet et registerudvalg i 1970. Registerudvalget fik i henhold til sit kommissorium til opgave ”at overveje de problemer vedrørende privates retsbeskyttelse, som er forbundet med oprettelse og brug af offentlige og private registre, navnlig under hensyn til den tekniske udvikling på dette område.” Baggrunden for nedsættelsen af registerudvalget var, at der i 60’erne havde været politisk debat om private oplysningsbureauers virksomhed tillige med samspillet mellem private og offentlige EDB-registre. Tilsvarende problemstillinger var også rejst i de øvrige nordiske lande, og i 1971 tilskyndede Nordisk Råd regeringerne til at samarbejde om at tilvejebringe en effektiv beskyttelse af borgernes oplysninger (privacy). Generelt så man en betydelig politisk interesse for emnet i mange europæiske lande fra slutningen af 60’erne til starten af 70’erne.

Registerudvalgets arbejde gennem 70’erne med området resulterede i 1973 i betænkning 687: ”Delbetænkning om private registre” og i 1976 betænkning 767: ”Delbetænkning om offentlige registre”. Disse to betænkninger blev grundlaget for de første danske love på området: "Lov om private registre m.v." og "Lov om offentlige myndigheders registre" blev begge vedtaget efter folketingsforhandlinger den 8. juni 1978 med ikrafttrædelse den 1. januar 1979. Begge love var i kraft op gennem 80’erne og 90’erne, omend de begge blev justeret flere gange.

Den internationale udvikling af privacy fra 1970'erne til i dag

I 1970’erne var privacy også genstand for debat i flere internationale fora. Europarådet nedsatte i 1972 en ekspertkomite “on the protection of privacy vis-a-vis electronic data banks” som i 1973 og 1974 gav anledning til, at der blev vedtaget to resolutioner. Samtidig udarbejdede Europarådet - på baggrund af medlemslandenes nationale lovgivninger - nogle basale principper for beskyttelse af personoplysninger. Med udgangspunkt i dette arbejde udarbejdede Europarådet konvention 108, ”Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data”, som blev vedtaget i 1981, hvori en række basale principper for elektronisk behandling af personoplysninger fastlægges. Denne konvention er stadig det eneste internationale og retligt bindende dokument hvad angår privacy. Europarådet har desuden vedtaget en række anbefalinger til anvendelsen af konventionen på konkrete områder – bl.a. ”Digital Tracking and other Surveillance Technologies” (2013) og ”processing of personal data in the context of employment” (2015), for at nævne et par af de nyere.

Moderne teknologi vs. privacy: OECD

OECD initierede i sit Data Bank Panel fra 1969 et arbejde, som skulle studere konsekvenserne ved privacy inden for den teknologiske udvikling. Panelet afholdt en offentlig høring i Wien i 1977 og offentliggjorde en række forhold, som måtte tillægges særlig vægt, når det gjaldt modsatrettede hensyn som privacy versus brug af moderne teknologi. På den baggrund nedsatte man i 1978 en ad hoc Group of Experts on Transborder Data Barriers and Privacy Protection, som skulle foreslå nogle guidelines og basale regler for transborder data flow og privacy. Arbejdsgruppen koordinerede tæt med Europarådet og kunne offentliggøre sit arbejde i 1980 under overskriften ”OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”. OECDs guidelines er ikke retligt bindende, og de er mere orienteret mod de grundlæggende rettigheder end Europarådets konvention. OECDs guidelines blev opdateret i 2013 for i højere grad at kunne adressere risikohåndtering og internationalt samarbejde. OECDs arbejde har givet anledning til at andre lande og regioner har arbejdet med privacy – f.eks. er APECs privacy framework fra 2005 baseret på OECDs principper fra 1980.

Retten til privacy: Et par ord om USA ogretten til privacy

I USA var der også fokus på betydningen af den stigende automatiserede behandling af personoplysninger. I 1973 foreslog US Secretary’s Advisory Committee on Automated Personal Data Systems under Department of Health, Education, and Welfare (HEW) fem principper, Fair Information Practice, i rapporten "Records, Computers and the Rights of Citizens". Denne rapport blev udgangspunktet for USAs Privacy Act fra 1974. Loven blev evalueret af The Privacy Protection Study Commission, som I 1977 udgav rapporten Personal Privacy in an Information Society. Disse principper er formuleret før både Europarådet og OECDs principper, og flere amerikanere er således af den opfattelse, at den moderne tilgang til privacy er blevet skabt i USA. Fair Information Practice Principles (FIPP) findes bade i en udgave fra Federal Trade Commission, med fem principper og i en udgave fra US Department of Homeland Security med otte principper. I USA er der desuden sektorlovgivning på en række områder inden for privacy.

Europa og privacy i 1980’erne - 1990’erne

I EF/EU var der også politisk fokus på privatlivets fred. I 1990 kunne Europa-Kommissionen således fremsætte forslag til et direktiv på området. Forslaget blev i de følgende år genstand for intense politiske forhandlinger. Således kunne Europa-Parlamentet i 1992 fastlægge 95 ændringsforslag til forslaget, hvorefter Europa-Kommissionen fremkom med et nyt forslag i 1992. Dette reviderede forslag blev forhandlet i Rådet frem til 1995, hvorefter en endelig vedtagelse af direktiv 95/46/EF (databeskyttelsesdirektivet) endelig kunne ske, med en implementeringsfrist på tre år.

I 1999 besluttede Det Europæiske Råd, at der skulle udarbejdes et katalog over grundlæggende rettigheder I EU. Kataloget skulle baseres på Europarådets konvention fra 1950, praksis fra EU-Domstolen og andre relevante rettigheder og principper og forfattes af en række aktører fra Rådet, Kommissionen, EU Parlamentet og nationale parlamenter. Gruppen blev kaldt Det Europæiske Konvent. Allerede i år 2000 vedtog Konventet et udkast til EU’s Charter om Grundlæggende Rettigheder som senere på året blev vedtaget af Europa-Parlamentet, Ministerrådet og EU-Kommissionen. Charteret fik retsvirkning fra 2009 med vedtagelsen af Lissabon-traktaten. Chartret har en særlig rolle, fordi det i artikel 8 meget præcist fastslås, at ”Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende”.

Danmark slut 90’erne

Da 95/46/EF var et direktiv, skulle det implementeres i dansk lovgivning og dermed vedtages i Folketinget. Under Justitsministeriet blev derfor nedsat et Udvalg om Registerlovgivningen i 1996, der i henhold til kommissoriet fik til opgave at ”overveje og vurdere, hvorledes en fremtidig lovgivning om behandling af personoplysninger m.v. bør udformes, således at der opnås den rette balance mellem på den ene side hensynet til at sikre borgernes privatliv og personlige integritet og på den anden side hensynet til at bevare og til stadighed udbygge en effektiv offentlig administration og et privat erhvervsliv, som ikke pålægges unødige byrder”.

Udvalget udgav betænkning 1345 i 1997, som indeholdt forslag til Lov om behandling af personoplysninger. Lovforslaget blev fremsat i Folketinget som L 82 i folketingsåret 1997-98. Forhandlingerne var vanskelige. Det var derfor nødvendigt at justere lovforslaget ad flere omgange og genfremsætte det, således som L 44 fra folketingsåret 1998-99 og som L 147 fra folketingsåret 1999-2000, hvor det endelig blev vedtaget 26. maj 2000. Knasterne i forhandlingerne var især videregivelse mellem myndigheder på det sociale område og brug af personoplysninger til markedsføring, hvor Danmark tidligere i registerlovene havde en bedre retsstilling end direktivet tilbød. Det kan diskuteres, om det vedtagne forslag var på kant med direktivet, eftersom Danmark bl.a. introducerede særlige regler for behandling af oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold.

I perioden fra 2000-2018 er Lov om behandling af Personoplysninger blevet ændret flere gange.

Persondataforordningen (GDPR)

I slutningen af 00’erne blev det klart, at der var behov for at revidere de europæiske persondataretlige regler igen. 95/46/EF var implementeret uensartet i EU-medlemslandene. Der var visse unødvendige bureaukratiske byrder i reglerne. Men vigtigst af alt kunne lovgivningen ikke følge med den teknologiske udvikling og med det trusselsbillede, der fulgte heraf.

EU-Kommissionen udarbejdede et forslag til en ny retsakt, som blev offentliggjort i januar 2012. For det første blev det foreslået at lave en forordning og ikke et direktiv, med det formål at sikre den bedst tænkelige harmonisering. For det andet blev der introduceret en række nye elementer, som f.eks. accountability, databeskyttelse gennem design, risikovurdering og konsekvensanalyse (privacy impact assessment). For det tredje blev der introduceret væsentlige bøder med det formål at sikre, at reglerne faktisk blev efterlevet.

4000 ændringsforslag med 54 individuelle (nationale) tilpasninger

Trilogforhandlingerne mellem Kommissionen, Rådet og Parlamentet var meget omfattende og parlamentet havde f.eks. knap 4.000 ændringsforslag til Kommissionens oprindelige udspil. Forordningen blev endelig vedtaget i april 2016 efter mere end 4 års forhandlinger som forordning 2016/679. Selv om der er tale om en forordning, virker retsakten på mange områder som et direktiv. På ca. 54 områder er der mulighed for at fastsætte national lovgivning. I Danmark er det således sket gennem vedtagelsen af Databeskyttelsesloven, L 68 fra folketingsåret 2017-18.

Under de danske forhandlinger i Folketinget var der især strid om § 5, stk. 3, der er formuleret som ”vedkommende minister [kan] efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed”. Dette vedrører undtagelserne i oplysningsforpligtelsen, når der sker videregivelse til behandling til andet formål end det oprindelige, jf. §§ 22-23. I tilknytning til vedtagelsen af loven, blev der derfor lavet en politisk aftale om, at folketingets retsudvalg og fagudvalg skal give opbakning til andre formål end de oprindeligt vedtagne, jf. tillægsbetænkningen af 16. maj 2018.

Konklusion

GDPR er udtryk for en lang udvikling tilbage fra slutningen af det 19. århundrede. Både praktiske hensyn især i form af regulering af anvendelse af ny teknologi såvel som ønsket om at cementere fundamentale privacy-rettigheder har været drivende for udviklingen af lovgivningen gennem perioden. På tværs af alle de forskellige retsakter og guidelines er der dog en række principper, som går igen. Samlet set kan disse principper anskues, som kernen i beskyttelse af privatlivets fred (privacy). Disse principper kan sammenfattes i nedenstående tabel:

Links

Europarådet, Konvention 108: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108
Europarådets anvendelsesvejledninger: https://www.coe.int/en/web/portal/personal-data-protection-and-privacy
OECDs guidelines (2013): http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm
EU’s Charter om Grundlæggende Rettigheder: http://www.europarl.europa.eu/charter/pdf/text_en.pdf
Persondataforordningen: https://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=DA
Databeskyttelsesloven: https://www.retsinformation.dk/Forms/r0710.aspx?id=201319