Privatliv og databeskyttelse
Retten til privatliv er en så grundlæggende menneskeret, at den berører alle borgere.
Udviklingen og anvendelsen af nye teknologier lægger fortsat pres på retten til privatliv og beskyttelsen af personoplysninger. Både i Danmark og EU er der derfor i 2023 taget initiativer, der skal sikre en bedre beskyttelse af borgernes rettigheder.
Retten til privatliv og databeskyttelse er nemlig fortsat udfordret.
I Danmark lægger Justitsministeriet i et lovudkast op til at justere de danske logningsregler efter en dom fra EU-Domstolen fra 2022. Institut for Menneskerettigheder vurderer, at der fortsat er risiko for, at reglerne strider mod EU-retten.
Politiet har i dag mulighed for at anvende teknologier med ansigtsgenkendelse, når danskere færdes i det offentlige rum eller samles til demonstrationer. Ansigtsgenkendelse kan bruges, uden at der er fastsat klare regler i politi- og retsplejeloven om, hvordan og hvornår politiet må bruge ansigtsgenkendelse på offentlige steder.
Heller ikke private selskaber sikrer i tilstrækkelig grad, at borgernes privatliv og personoplysninger beskyttes i praksis. Det viser det irske datatilsyns afgørelser fra januar 2023 og september 2023, som pålagde henholdsvis Meta og TikTok store bøder for manglende overholdelse af GDPR-reglerne. Der er derfor behov for en styrket håndhævelse af databeskyttelsesreglerne over for techgiganterne.
Analysebureauet Analyse & Tal dokumenterede i en rapport fra januar 2023 på opdrag fra Dataetisk Råd omfanget af de digitale tjenesters indsamling af data om deres brugere. Rapporten viser, hvilke risici der er forbundet med de store techvirksomheders forretningsmodel.
Indhold på siden
- Regeringen arbejder for, at EU-Kommissionen bliver håndhævende myndighed overfor techgiganterne i forhold til. databeskyttelsesforordningen (GDPR).
- Folketinget sikrer, at politiets brug af ansigtsgenkendelse sker på baggrund af klar og præcis hjemmel i politi- og retsplejelov.
- Folketinget ændrer lovgivningen om, at teleselskaber skal gemme oplysninger om telefonopkald og sms (logning), så generel og udifferentieret logning begrænses.
Vores
vigtigste
anbefalinger
Redaktion afsluttet 1. marts 2024
Techgiganter skal overholde GDPR
Techgiganter som Google, Meta og TikTok har de seneste år modtaget flere domme for at overtræde databeskyttelsesreglerne. Der er derfor behov for et vedvarende fokus på, at techgiganterne efterlever deres forpligtelser i forhold til at beskytte brugeres data.
Da de fleste tech-giganter i Europa har etableret sig i Irland, bliver tilsynet i mange tilfælde varetaget af irske myndigheder. Det danske datatilsyn skal således anmode det irske datatilsyn om at håndhæve reglerne over for techgiganterne, når sagerne vedrører danske borgere.
Der har de senere år været flere afgørelser fra det irske datatilsyn mod Meta og Tiktok. Dommene er fulgt op på bindende afgørelser fra Det Europæiske Databeskyttelsesråd. Sagerne viser, at techgiganternes adfærd har betydning for databeskyttelsen i hele Europa, og at det i flere sager har været nødvendigt at anvende en tvistbilæggelsesmekanisme i GDPR, hvor Det Europæiske Databeskyttelsesråd pålægger et nationalt datatilsyn at træffe en bestemt afgørelse.
For at styrke håndhævelsen af GDPR overfor techgiganterne foreslår Institut for Menneskerettigheder, at tilsynet med techgiganterne placeres hos EU-Kommissionen. Samme tilsynsmodel er valgt i de nye EU-forordninger om digitale tjenester (DSA’en) og digitale markeder (DMA’en). Tilsynsopgaven med de store techvirksomheder kræver nemlig betydelige ressourcer, og virksomhedernes praksis påvirker borgere i samtlige EU-lande.
Et centralt tilsyn af GDPR-reglerne hos EU-Kommissionen kan være med til at sikre, at der gribes hurtigt og effektivt ind i konkrete sager, og kan sikre, at reglerne fortolkes og håndhæves ens på tværs af EU-landene. Idet tilsynet fortolker for eksempel dataminimeringsprincippet eller vilkår for samtykke i én enkelt sag, kan det få virkning for alle relevante EU-borgere. Det er dog helt afgørende, at tilsynet sikres tilstrækkelige ressourcer og den nødvendig faglighed til at løfte opgaven.
Forslaget er i tråd med anbefalinger fra regeringens ekspertgruppe om techgiganter. Ekspertgruppens delrapportering fra juni 2023 foreslår, at håndhævelse af GDPR overfor techgiganterne styrkes ved blandt andet at placere tilsynet hos EU-Kommissionen.
Politiets brug af ansigtsgenkendelse i det offentlige rum bør lovreguleres
I Danmark har politiet mulighed for at anvende ansigtsgenkendelsesteknologier og derigennem identificere danskere, der færdes i det offentlige rum eller samles til demonstrationer.
Ansigtsgenkendelse kan både bruges til at gennemse materiale på nettet eller andet billedmateriale og til at overvåge borgere i det offentlige rum via kameraer, der er placeret på for eksempel offentlige pladser og trafikknudepunkter. Teknologien kan anvendes i realtid med ingen eller minimal forsinkelse – eller efterfølgende.
Ligesom andre teknologiske værktøjer, som bruges i politiarbejdet – for eksempel DNA-analyser – er der også i selv den mest avancerede ansigtsgenkendelsesteknologi visse fejlmarginer. Teknologien er blandt andet blevet kritiseret for at identificere særligt kvinder og personer med et ikkevestligt udseende forkert.
Hverken politiloven eller retsplejeloven indeholder klare regler om, hvordan og hvornår politiet må bruge ansigtsgenkendelse på offentlige steder.
Manglen på lovhjemmel er ifølge Institut for Menneskerettigheder betænkelig, fordi politiets brug af ansigtsgenkendelse er et alvorligt indgreb i retten til privatliv og kan have konsekvenser for ytrings- og forsamlingsfriheden. Myndighedernes overvågning i form af for eksempel billedidentifikation af politiet kan nemlig lægge en dæmper på borgernes lyst til at deltage i offentlige møder og demonstrationer. Det fremgår af data fra en kommende undersøgelse, hvor 12 procent af de adspurgte gav udtryk for, at de afholder sig fra at deltage i debat i det offentlige rum af frygt for myndighedernes overvågning.
Ansigtsgenkendelse på offentlige steder bør derfor kun anvendes, når det er strengt nødvendigt, og når det står mål med alvoren af den kriminalitet, der efterforskes. Politiet bør i udgangspunktet ikke kunne bruge ansigtsgenkendelse uden en retskendelse, og der bør være effektivt tilsyn og klageadgang for at beskytte borgere, som er blevet genstand for ansigtsgenkendelse.
EU’s kommende forordning om kunstig intelligens regulerer i et vist omfang brug af ansigtsgenkendelse i det offentlige rum til kriminalitetsbekæmpelse. EU-forordningen er omfattet af det danske retsforbehold og kommer ikke til at gælde i Danmark.
Logning af teledata kan (fortsat) være i strid med menneskeretten
Staten har siden 2007 pålagt danske teleselskaber at gemme oplysninger om alle borgeres opkald og sms’er. De loggede teledata kan senere bruges af politiet til efterforskning af terror og grov kriminalitet. Teleselskaberne er forpligtet til at gemme oplysningerne om al kommunikation fra deres kunder i et år.
I lyset af en EU-dom fra 2022 lagde Justitsministeriet i 2023 op til at begrænse politiets adgang til teledata, så politiet ikke længere i sager om grov kriminalitet kan bruge teledata, som er indsamlet med henblik på terrorbekæmpelse. Det fremgår af et lovudkast, som blev sendt i høring i december 2023.
Justitsministeriet anerkender, at politiet ikke kan få adgang til loggede teledata, der er indsamlet for at beskytte statens sikkerhed, i deres efterforskning af grov kriminalitet.
Institut for Menneskerettigheder vurderer, at Justitsministeriet bør foretage yderligere justeringer af reglerne, end lovudkastet lægger op til. De danske logningsregler risikerer nemlig på flere områder at være i strid med EU-retten.
Teleselskaberne risikerer at blive pålagt at foretage logning af alle danskere i længere tid, end hvad der må anses for ekstraordinære undtagelsessituationer af hensyn til statens sikkerhed. Samtidig risikerer logning af større geografiske områder i praksis at blive så indgribende, at der reelt bliver tale om logning af alle personer, hvilket som udgangspunkt er forbudt.
Institut for Menneskerettigheder har gjort opmærksom på disse forhold i et analysenotat fra september 2023 og i et høringssvar over lovudkastet fra januar 2024.
Danske tiltag 2023
Regeringen vedtager digitaliseringsstrategi 2024-2027
Regeringen præsenterede i november 2023 en ny digitaliseringsstrategi, der blandt andet skal anvende digitale løsninger til at udvikle den offentlige tilsyns- og kontrolindsats og til at øge deling af oplysninger i sundhedssektoren. Derudover skal et nyt nævn for sundhedsapps anbefale sundhedsapps til borgere og sundhedspersoner. Samtidig skal der være øget fokus på den dataindsamling, som sker via apps.
Lov hæver aldersgrænse for børns samtykke til 15 år
Ny lov hæver aldersgrænsen fra 13 til 15 år for børns samtykke til, at en informationstjeneste må behandle barnets personoplysninger. De nye regler gælder blandt andet for e-handel, onlinespil og sociale medier. Forældremyndighedsindehaveren skal godkende barnets samtykke eller selv samtykke til behandling af barnets personoplysninger, når barnet er under 15 år. Grænsen på 15 år er valgt, fordi det harmonerer med øvrige aldersgrænser, for eksempel børns samtykke i sundhedsvæsenet. Ændringen sker med afsæt i anbefalingerne fra regeringens ekspertgruppe om techgiganter, der anbefalede en grænse på 16 år.
Ekspertgruppe om techgiganter afgiver delrapport
Regeringens ekspertgruppe om techgiganter har afgivet en delrapportering om techgiganternes forretningsmodeller. Ekspertgruppen præsenterer her 13 anbefalinger, der skal sikre en styrket demokratisk kontrol med tech-giganters praksis og negative indvirkning på borgernes rettigheder. Anbefalingerne retter sig mod platformenes datahøst, fastholdelsesmekanismer, adfærdspåvirkning og ansvar over for børn og unge. Regeringen er enig i anbefalingerne og vil arbejde for at gennemføre dem både i Danmark og i EU.
Principielle afgørelser i 2023
Menneskerettighedsdomstol: Ansigtsgenkendelse er et væsentligt indgreb i privatlivet
Den Europæiske Menneskerettighedsdomstol har i en dom fra 4. juli 2023 fastlagt, at politiets brug af ansigtsgenkendelsesteknologi udgør et indgreb i privatlivet. Domstolen fastslog desuden, at anvendelse og udstrækningen af ansigtsgenkendelsesteknologi kræver detaljerede regler og stærke retsgarantier mod misbrug og vilkårlig magtanvendelse.
Det irske datatilsyn pålægger Tiktok milliardbøde
Tiktok blev 1. september 2023 pålagt at betale en bøde på 345 millioner euro af det irske datatilsyn.
Afgørelsen blev truffet efter en bindende afgørelse fra Det Europæiske Databeskyttelsesråd, der fandt, at Tiktok havde overtrådt princippet om rimelighed i GDPR ved virksomhedens behandling af personoplysninger om børn i alderen 13-17 år. Det var samtidig for nemt at omgå Tiktoks foranstaltninger vedrørende aldersverifikation, ligesom Tiktoks ”public by default”-indstillinger var i strid med principperne om databeskyttelse gennem design og standardindstillinger, dataminimering og gennemsigtighed. Tiktok har appelleret afgørelsen til EU-Domstolen.
Østre Landsret: PET og Rigsarkivet skulle ikke destruere dagbog
I en dom 6. september 2023 tog landsretten stilling til, om Politiets Efterretningstjeneste (PET) og Rigsarkivet skulle udlevere eller destruere kopier fra en forfatters dagbog. Landsretten nåede frem til, at der skulle ske arkivering af dele af dagbogen, som utvivlsomt havde historisk interesse.
Landsretten fandt dog også, at PET i forbindelse med arkivering af forfatterens dagbog havde krænket artikel 8 i Den Europæiske Menneskerettighedskonvention om ret til respekt for privatliv. PET havde ikke vurderet, om det var nødvendigt og proportionalt at arkivere de dele af dagbogskopien, som ikke havde haft betydning for efterretningstjenestens arbejde.
Dagbogen blev ikke fremlagt under retssagen, og landsretten kunne derfor ikke vurdere, hvilke dele af dagbogen, myndighederne fortsat kunne opbevare. PET og Rigsarkivet blev derfor frifundet. Sagen er anket til Højesteret.
Datatilsynet: Brøndby IF må udvide brugen af ansigtsgenkendelse
Datatilsynet har 9. juni 2023 givet lov til, at Brøndby IF må anvende (mobil) ansigtsgenkendelse ved udebanekampe i Danmark. Datatilsynet har også givet Brøndby IF lov til ved hjemmebanekampe at udvide den eksisterende brug af ansigtsgenkendelse, så billeder fra overvågningskameraer på Brøndby Stadion kan indgå i systemet til automatisk ansigtsgenkendelse.
Datatilsynet: Google Chromebook videregiver for meget til Google
Datatilsynet vurderer, at det ikke er lovligt for kommunerne at videregive personoplysninger til Google til alle de formål, som det er tilfældet i dag. Datatilsynet har derfor 30. januar 2024 givet 53 kommuner påbud om at bringe behandlingen af oplysninger ved brug af Google Workspace i folkeskolen i overensstemmelse med reglerne i folkeskoleloven.
Datatilsynet anviser, at kommunerne kan efterleve påbuddet ved, at kommunerne videregiver personoplysninger til Google til færre formål end i dag, at Google afstår fra at behandle oplysningerne til en række formål, eller at Folketinget ændrer reglerne, så det er muligt at videregive oplysninger til Google til flere formål end i dag. Kommunerne skal overholde påbuddet fra 1. august 2024, men skal senest 1. marts 2024 oplyse, hvordan de vil overholde det.
Seneste nyt om privatliv og databeskyttelse
-
NyhedInstitut for Menneskerettigheder og talerskolen Røst søger ti talere i alderen 18-30 år, der gerne vil styrke deres retoriske talent og sætte menneskerettighederne på dagsordenen i Operaen i København.
-
NyhedI Danmark er der endnu ingen udtrykkelige love eller regler for politiets brug af ansigtsgenkendelse. Et problem for retssikkerheden, lyder det fra Institut for Menneskerettigheder.
-
NyhedLovudkast vil begrænse politiets adgang til oplysninger om opkald og sms’er. Men logning af teledata går stadig for vidt i forhold til menneskeretten, vurderer Institut for Menneskerettigheder i høringssvar.
Udgivelser om privatliv og databeskyttelse
-
ÅrsberetningUdgivelseInstitut for Menneskerettigheders beretning for 2023 beskriver udviklingen for menneskerettigheder i Danmark med fokus på fire områder.
-
PublikationUdgivelseI ny analyse gennemgår Institut for Menneskerettigheder, hvordan brugen af ansigtsgenkendelse griber ind i retten til privatliv og databeskyttelse, og anbefaler, at det kun bruges med klar og præcis hjemmel i politi- og retsplejelov.