20.2.2016   

DA

Den Europæiske Unions Tidende

C 67/13


Resumé af udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse med titlen »Meeting the challenges of big data: A call for transparency, user control, data protection by design and accountability« (udfordringerne ved massedata — behov for gennemsigtighed, brugerkontrol, indbygget databeskyttelse og ansvarlighed)

(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes websted www.edps.europa.eu)

(2016/C 67/05)

»The right to be let alone is indeed the beginning of all freedom« (retten til privatlivets fred er grundlaget for enhver frihedsret)  (1).

Hvis massedata forvaltes ansvarligt, kan de give betydelige fordele og effektivitetsgevinster for både samfundet og den enkelte — bl.a. inden for sundhed, videnskabelig forskning og miljø. Der udtrykkes imidlertid alvorlig bekymring med hensyn til konsekvenserne af behandling af meget store mængder af data for enkeltpersoners rettigheder og frihedsrettigheder, herunder retten til privatlivets fred. Udfordringerne og risiciene i forbindelse med massedata skaber således behov for mere effektiv databeskyttelse.

Teknologier må ikke sætte grænser for vores værdier og rettigheder, men på den anden side må fremme af innovation og beskyttelse af grundlæggende rettigheder heller ikke opfattes som uforenelige størrelser. Nye forretningsmodeller, hvor nye muligheder udnyttes for at indsamle, overføre, kombinere og genbruge store mængder af personlige oplysninger til uforudsete formål, har sat principperne om databeskyttelse under fornyet pres, og dette nødvendiggør grundige overvejelser om, hvordan de anvendes.

EU-lovgivningen om databeskyttelse er blevet videreudviklet for at beskytte vores grundlæggende rettigheder og værdier, herunder retten til privatlivets fred. Spørgsmålet er ikke, om vi skal anvende lovgivningen om databeskyttelse på massedata, men snarere hvordan vi kan anvende den på nyskabende vis i nye miljøer. De gældende principper for databeskyttelse, bl.a. med hensyn til gennemsigtighed, proportionalitet og formålsbegrænsning, danner det grundlag, som vi behøver for at sikre mere dynamisk beskyttelse af vores grundlæggende rettigheder i en verden præget af massedata. De skal dog suppleres med »nye« principper, som i årenes løb er blevet opstillet for bl.a. ansvarlighed og indbygget beskyttelse af privatlivets fred og privatvenlige standardindstillinger. EU's databeskyttelsesreformpakke forventes at styrke og modernisere bestemmelserne (2).

EU har til hensigt at optimere væksten og konkurrenceevnen ved at udnytte massedata. Men det digitale indre marked må ikke ukritisk importere databaserede teknologier og forretningsmodeller, som er blevet en del af den økonomiske udvikling i andre dele af verden. I stedet skal vi udvise lederskab gennem udvikling af en ansvarlig persondatabehandling. Internettet har udviklet sig således, at overvågning — sporing af menneskers adfærd — efterhånden betragtes som en uundværlig del af indtægtsmodellen hos nogle af de mest succesrige selskaber. Denne udvikling gør, at vi må foretage en kritisk vurdering og søge efter andre løsningsmodeller.

Under alle omstændigheder og uanset de valgte forretningsmodeller skal organisationer, som behandler store mængder af personlige oplysninger, overholde den gældende databeskyttelseslovgivning. Den Europæiske Tilsynsførende for Databeskyttelse mener, at ansvarlig og bæredygtig udvikling på området for massedata skal baseres på fire grundlæggende elementer:

Organisationerne skal være meget mere gennemsigtige med hensyn til, hvordan de behandler persondata.

Brugerne skal i højere grad have kontrol over, hvordan deres data bruges.

Organisationerne skal indarbejde brugervenlig databeskyttelse i deres produkter og tjenester.

Organisationerne skal i højere grad stilles til ansvar for deres handlinger.

For så vidt angår gennemsigtighed skal enkeltpersoner tydeligt informeres om de behandlede data, herunder data, som oplyses eller udledes om dem. Blandt andet skal de informeres bedre om, hvordan deres oplysninger bruges, og til hvilke formål, herunder logikken bag de algoritmer, der anvendes til at fastslå formodninger og forudsigelser om dem.

Brugerkontrol medvirker til at sikre, at enkeltpersoner bedre kan registrere og gøre indsigelser mod urimelig forskelsbehandling og fejl. Dette vil bidrage til at forebygge sekundær brug af data til andre formål end de forventelige. Takket være nye former for brugerkontrol får den enkelte om nødvendigt flere og mere velfunderede valgmuligheder, ligesom vi også får bedre muligheder for selv at gøre brug af vores persondata.

Retten til indsigt og dataportabilitet samt effektive opt-out-mekanismer kan blive en forudsætning for at give brugerne mere kontrol over deres data, og disse elementer kan også bidrage til udvikling af nye forretningsmodeller og mere effektiv og gennemsigtig brug af persondata.

Ved at indarbejde databeskyttelsen i systemerne og processerne og tilpasse den, så der sikres reel gennemsigtighed og brugerkontrol, kan de registeransvarlige desuden nyde godt af fordelene ved massedata og samtidig sikre, at den enkeltes værdighed og friheder respekteres.

Databeskyttelse er imidlertid kun en del af løsningen. EU har behov for at gøre brug af de nye tilgængelige værktøjer på en mere sammenhængende måde, bl.a. på området for forbrugerbeskyttelse, bekæmpelse af monopoler, forskning og udvikling, for at sikre garantier og valgmuligheder på markedet, hvor tjenester med fokus på beskyttelse af privatlivets fred kan trives.

For at tage hånd om udfordringerne ved massedata er vi nødt til at give plads til innovation samtidig med, at vi beskytter de grundlæggende rettigheder. Det er nu op til selskaber og andre organisationer, der investerer mange ressourcer i nyskabende metoder til brug af persondata, at anlægge den samme nyskabende tankegang ved gennemførelse af databeskyttelseslovgivningen.

På baggrund af tidligere bidrag fra den akademiske verden og flere forskellige lovgivere og andre interessenter ønsker Den Europæiske Tilsynsførende for Databeskyttelse at fremme nye, åbne og velfunderede drøftelser i og uden for EU. Dette skal bl.a. sikres ved i højere grad at inddrage civilsamfundet, designere, selskaber, akademikere, offentlige myndigheder og lovgivere i spørgsmålet om, hvordan vi bedst kan udnytte branchens kreative potentiale til at gennemføre lovgivningen og sikre privatlivets fred og andre grundlæggende rettigheder.

6.   Næste skridt: at omsætte principperne til praksis

For at tage hånd om udfordringerne ved massedata er vi nødt til at give plads til innovation, samtidig med at vi beskytter de grundlæggende rettigheder. Det forudsætter, at de fastsatte principper i europæisk databeskyttelseslovgivning opretholdes, men anvendes på nye måder.

6.1.   Fremtidsorienteret regulering

Forhandlingerne om forslaget til en generel forordning om databeskyttelse er gået ind i den afgørende fase. Vi har opfordret EU-lovgiverne til at vedtage en databeskyttelsesreformpakke, som styrker og moderniserer lovgivningsrammerne, så de forbliver effektive i massedataenes tidsalder, idet de styrker den enkeltes tillid og tiltro, når man er online, og til det digitale indre marked (3).

I udtalelse nr. 3/2015, som blev ledsaget af anbefalinger til den fulde ordlyd i den foreslåede forordning, gjorde vi det klart, at de nuværende principper for databeskyttelse, bl.a. med hensyn til nødvendighed, proportionalitet, dataminimering, formålsbegrænsning og gennemsigtighed, forsat skal være centrale principper. De udgør det grundlag, som vi behøver for at beskytte vores grundlæggende rettigheder i en verden præget af massedata (4).

Samtidig skal disse principper styrkes og anvendes mere effektivt og på mere moderne, fleksible, kreative og nyskabende måder. De skal desuden suppleres med nye principper med hensyn til bl.a. ansvarlighed samt indbygget beskyttelse af privatlivets fred og privatvenlige standardindstillinger.

Øget gennemsigtighed, reel ret til indsigt og dataportabilitet samt effektive opt-out-mekanismer kan blive en forudsætning for at give brugerne mere kontrol over deres data, og dette kan også bidrage til at fremme mere effektive markeder for persondata til gavn for både forbrugere og virksomheder.

Endelig vil det være afgørende, at vi udvider EU's databeskyttelseslovgivnings dækningsområde, så det omfatter organisationer, der målretter mod enkeltpersoner i EU, og giver databeskyttelsesmyndighederne de nødvendige beføjelser til at anvende rimelige retsmidler, herunder bøder, som foreskrevet i forslaget til forordningen, hvis vi vil håndhæve vores lovgivning effektivt i det globale miljø. I denne henseende spiller reformprocessen en central rolle.

For at sikre, at reglerne håndhæves effektivt, skal de uafhængige databeskyttelsesmyndigheder både tildeles de fornødne retlige beføjelser, retskraftige instrumenter og de ressourcer, der er nødvendige for at sikre en kapacitet, som matcher væksten blandt databaserede virksomheder.

6.2.   Sådan vil Den Europæiske Tilsynsførende for Databeskyttelse fremme denne debat

Selv om effektiv regulering er afgørende, skal der mere til. De selskaber og andre organisationer, der investerer mange ressourcer i at frembringe nyskabende metoder til brug af persondata, skal anlægge den samme nyskabende tankegang ved gennemførelse af principperne for databeskyttelse. Til gengæld skal databeskyttelsesmyndighederne håndhæve og belønne effektiv overensstemmelse og undgå at pålægge aktørerne unødvendigt bureaukrati og papirarbejde.

Den Europæiske Tilsynsførende for Databeskyttelse sigter som anført i sin strategi for 2015-2019 mod at fremme disse bestræbelser.

Vi agter at nedsætte en ekstern rådgivningsgruppe på det etiske område bestående af anerkendte og uafhængige eksperter med erfaringer inden for flere discipliner, som kan udforske sammenhængene mellem menneskerettigheder, teknologi, markeder og forretningsmodeller i det 21. århundrede, foretage dybtgående analyser af konsekvenserne af massedata, vurdere de deraf følgende ændringer af vores samfund og bidrage til at udpege de problemstillinger, som skal gøres til genstand for en politisk proces (5).

Vi vil desuden udvikle en model for hæderlige informationspolitikker for EU-organer, der tilbyder onlinetjenester, som kan formidle bedste praksis til alle registeransvarlige.

Endelig vi vil tilskynde til drøftelser med henblik på bl.a. at udpege, fremme og promovere bedste praksis for at øge gennemsigtigheden og brugerkontrollen og udforske mulighederne for persondatalagre og dataportabilitet. Den Europæiske Tilsynsførende for Databeskyttelse har til hensigt at tilrettelægge en workshop om beskyttelse af massedata for politiske beslutningstagere og personer, som håndterer store mængder af personlige oplysninger hos EU's institutioner og eksterne eksperter. Desuden vil myndigheden udpege områder, hvor der er behov for yderligere konkret vejledning, og fremme arbejdet i Internet Privacy Engineering Network (IPEN) som et tværfagligt knudepunkt for viden til brug for teknikere og eksperter på området for beskyttelse af privatlivets fred.

Bruxelles, den 19. november 2015.

Giovanni BUTTARELLI

Den Europæiske Tilsynsførende for Databeskyttelse


(1)  Public Utilities Commission mod Pollak, 343 U.S. 451, 467 (1952) (Justice William O. Douglas, dissens).

(2)  Den 25. januar 2012 vedtog Kommissionen en pakke af reformer af EU's databeskyttelsesregler. Pakken omfatter i) en meddelelse (COM(2012) 9 final), ii) et forslag til en generel forordning om databeskyttelse (»forordningsforslag«) (COM(2012) 11 final) og iii) et forslag til et direktiv om databeskyttelse på det strafferetlige område (COM(2012) 10 final).

(3)  Den Europæiske Tilsynsførende for Databeskyttelses udtalelse nr. 3/2015.

(4)  Vi må modstå fristelsen til at udvande det nuværende beskyttelsesniveau i et forsøg på at imødekomme et behov for en slappere tilgang til lovgivning om massedata. Databeskyttelsen skal fortsat gælde for hele databehandlingen — ikke blot brugen af dataene, men også indsamlingen af dem. Desuden er der ingen grund til at indføre generelle undtagelser for behandling af pseudonyme data eller offentligt tilgængelige data. Definitionen af persondata skal bibeholdes, men burde yderligere præciseres i selve forordningens tekst. Navnlig skal den omfatte alle data, som vedrører enkeltpersoner, der identificeres eller udpeges, eller som kan identificeres eller udpeges af den registeransvarlige eller nogen anden part.

(5)  Den europæiske tilsynsførende for databeskyttelses udtalelse nr. 4/2015.