Lidt om hvad privacy er

Privatlivets fred (i det følgende betegnet som “privacy”) er et komplekst og relativt både etisk og juridisk princip, der udvikler sig hele tiden under påvirkning af den moralske, politiske, samfundsmæssige så vel som den teknologiske udvikling og med geografiske, kulturelle eller individuelle forskelle.

Privacy defineres ofte som en moderne værdi eller rettighed, der er knyttet til individualiseringen af de vestlige lande i det 18. og 19. århundrede og som er blevet forstærket med den stigende statsmagt. Det første privacyprincip formuleret som en netagiv ret ud fra et liberalistisk synspunkt og som stadig har et stærkt fodfæste i især USA er “retten til at være alene” (Warren & Brandeis, 1890). En i samme kontekst gængs definition af privacy er “hvert enkelt menneskes krav på selv at bestemme hvilke oplysninger om sig selv, der kan offentliggøres eller indhentes af andre” (Alan Furman Westin, 1967). Selvom denne definition giver god mening i en digital sammenhæng, så erkendes det imidlertid mere og mere, at privacy-definitioner i et samfund med modsatrettede hensyn og interesser ikke kan være absolutte. Derfor kan der argumenteres for, at privacy mere er “forventningen om, at fortrolige personoplysninger, offentliggjort  et privat sted  ikke vil blive videregivet til andre, såfremt en offentliggørelse vil medføre enten forlegenhed eller følelsesmæssig ubehag” (Ronald B. Standler, 1997). Der tages med denne definition udgangspunkt i et gennemsnitligt sensitivt menneske og information fortolkes bredt til at omfatte oplysninger, billeder (f.eks. fotografier og videobånd) og nedsættende udtalelser. Endvidere er retten til privacy begrænset til personer, der befinder sig på et sted, der af personen med rimelighed kan forventes at være privat (f.eks, hjem, hotelværelse eller telefonboks). Sidstnævnte definition er meget præget af amerikansk tankegang, som bestemmer privacy ud fra hvad den enkelte oplever som  privacy i modsætning til europæisk retsopfattelse, hvor lovgiver ofte fastslår  hvad privacy skal være (social værdi contra individuel ret).

Det er vigtigt at understrege, at privacy er en menneskeret, jfr. artikel 12 i Verdenserklæringen om Menneskerettighederne samt den tilsvarende artikel 8 i Den Europæiske Menneskerettighedsdeklaration. Sidstnævnte konvention præciserer imidlertid en række omstændigheder, som kan retfærdiggøre en krænkelse af privatlivets fred, som f.eks. hensyn til landets sikkerhed, offentlig tryghed og nationale økonomiske forhold. At beskytte privacy er at beskytte den menneskelige værdighed, hvilket er en fremherskende europæisk forståelse af begrebet ligesom ideen om at privacy er en  værdi, som man bliver nødt til at beskytte, fordi privacy styrker tillid og tryghed blandt mennesker. Med en etisk synsvinkel kan privacy betragtes som en grundlæggende fælles kulturværdi og bør derfor ikke opfattes som et “problem”, der skal løses, fordi en sådan tilgang bygger på den forkerte antagelse om, at der er noget andet man hellere vil have i stedet. Det kan også udtrykkes på den måde, at det er i samfundets interesse, at der eksisterer “en fri zone” for det enkelte menneskes trivsel og kreativitet  og som boldværk mod statens og andres indtrængen.

I det seneste årti er privacy blevet udsat for en stigende grad af indgreb i kølvandet på terrorangrebet 11. september 2001 i USA. Den gængse opfattelse af, at beskyttelse af privacy er uforenelig med en effektiv bekæmpelse af terror er imidlertid forkert. Privacy er ikke ensbetydende med anonymitet men om kontrol med egne persondata og ansvarlighed. Udfordringen består ikke i at finde den rette balance mellem på den ene side  privacy og på den anden side sikkerhed. Det er en forkert dikotomi. Sikkerhed er ikke en modsætning til privacy, fordi der kan ikke eksistere sikkerhed uden privacy, men der er derimod tale om frihed som modpol til kontrol (Schneier, 2006). At ofre lidt af den enkeltes privacy (eller frihed) til fordel for en bedre sikkerhed, synes dog at have været mange regeringers mantra i forbindelse med gennemførelsen af terrorlovgivning. Ikke desto mindre ligger udfordringen i, at underbygge en  troværdig retsbeskyttelse og bedre kontrol med regeringsførelsen i sammenhæng med en obligatorisk brug af  privatlivsfremmende teknologier og en teknologianvendelse baseret på privacy by design.

For god ordens skyld skal det anføres, at efterretningstjenesterne udtrykkeligt undtages fra persondatalovens bestemmelser (§ 2, stk. 11). Politiets efterretningstjenestes virksomhed herunder den elektroniske efterretningsindhentning er imidlertid omfattet af domstolskontrol efter reglerne i retsplejelovens kap. 71. Dog undtages den forudgående domstolskontrol i visse tilfælde.  jfr. i øvrigt Forsvarslovens § 17, stk. 1 nr. 1, som hjemler en udvidet undtagelse for Forsvarets efterretningstjeneste.  Politiets efterretningstjeneste er endvidere sammen med Forsvarets efterretningstjeneste undergivet kontrol af Folketingets Udvalg vedrørende efterretningstjenesterne.

Som det fremgår af grundloven kan privacy under visse omstændigheder tilsidesættes, når der foreligger en dommerkendelse til f.eks. husundersøgelse eller telefonaflytning, men også når der er udstedt en lov til en såkaldt  “særegen undtagelse”. En fravigelse af hovedreglen kan principielt tjene et legitimt og fornuftigt formål, men der skal som udgangspunkt foreligge vægtige grunde  herfor. Det kan konstateres, at dansk lovgivning i dag hjemler omkring 200 sådanne undtagelser, som i praksis betyder, at en myndighed (først og fremmest politiet)  uden dommerkendelse kan krænke privacy (for det meste i betydningen det fysiske rum) for at kontrollere alt lige fra bistader, fredning, kæledyr,  momsregnskaber, opbevaring af fyrværkeri, spildevand til økologisk produktion samt våben og ammunition.

Persondatabeskyttelse kan betegnes som en lovfæstet teknisk metode til at sikre privacy. Udover grundloven og persondataloven findes der dansk  lovgivning om privacy i forvaltningsloven, offentlighedsloven, retsplejeloven samt straffeloven.

Persondataloven fra 2000, der sammen med sikkerhedsbekendtgørelsen bygger på EU´s persondatadirektiv fra 1995, er den mest detaljerede retlige udmøntning af privacy i Danmark. Den bygger på 3 grundlæggende principper:

  • Enhver behandling af persondata forudsætter enten et explicit samtykke af den person, hvis data det drejer sig om, eller at en konkret databehandling explicit er tilladt i henhold til loven
  • Behandling af personlige oplysninger drejer sig om enhver form for information om en identificeret eller identificerbar fysisk person (datasubjektet)
  • Ved behandling forstås enhver operation af  personlige oplysninger, som f.eks. indsamling, videregivelse eller opbevaring

Fordi privacy ikke er et absolut begreb vil privacy i praksis især i forbindelse med den digitale behandling af oplysninger være et spørgsmål for den dataansvarlige om at identificere, vurdere, begrænse samt håndtere konkrete risici med det formål at sikre den teknologiske beskyttelse af privacy i videst muligt omfang og ikke alene forholde sig til persondatabeskyttelse i lovens forstand (den juridiske beskyttelse). En privacy risikohåndtering (risk management) vil derfor være et væsentligt element i en privacy konsekvensanalyse (privacy impact assessment). I forhold til digitaliseringen af samfundet må det imidlertid nøgternt erkendes, at der ikke indtil videre findes en teknologisk mirakelkur, der kan sikre og opretholde en 100 % databeskyttelse eller privacy.

Den samme tilgang er ligeledes anvendelig i forhold til informationssikkerhed, hvor negativ teknisk sikkerhed (til forskel fra kvalitativ sikkerhed) kan defineres som fraværet af en række uhensigtsmæssige sårbarheder og trusler baseret på kriterier som integritet, tilgængelighed, fortrolighed og uafviselighed. Informationsikkerhed og privacy er indbyrdes forbundet med hinanden, idet sikkerhed er en proces, mens privacy er en konsekvens. Det kan  billledlig talt beskrives på den måde, at sikkerhed er den forseglede konvolut, mens privacy er en vellykket levering af konvoluttens indhold.

På denne baggrund defineres privacy som udgangspunkt bredt og selvom der er definitionsforskelle antages “privacy” at være dækkende for tilsvarende begreber, der også ses brugt  i forskellige relationer som f. eks. “privatlivets fred”, “privatsfæren”, “intimsfæren”, “privathed”, “persondatabeskyttelse”, “personlig integritet”,  ”privatlivsbeskyttelse” samt “fortrolighed”. Uanset at der givetvis er behov for en harrmonisering af metodologien, nomenklaturen og en større præcision med hensyn til begreber og definitioner, så betragtes ”privacy” indtil videre som en samlebetegnelse for beskyttelse imod bestemte risici, herunder risikoen for uretfærdighed ved urimelige bebyrdende beslutninger eller antagelser, risikoen for tab af kontrol over personlige oplysninger og risikoen for uværdighed ved udstillelse og forlegenhed. Til en vis grad baserer definitionen sig på fire katagorier af privacy: information, kommunikation, den menneskelige krop og det fysiske rum. Udfordringen består i at analysere og værdisætte disse risici. En lovmæssig konkretisering bør derfor understøtte risikovurderingen.

(indlægget, der som titlen indikerer ikke må opfattes som en udtømmende beskrivelse af emnet, er til dels gengivet fra Dansk Privacy Netværks blog)

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s

%d bloggers like this: