Moderne teknologi udfordrer på mange måder privatlivet. De digitale teknologier vi omgiver os med og dagligt benytter os af sporer rutinemæssigt vores adfærd. Mobiltelefoners fysiske placering gemmes af teleselskaber, aktivitet på internettet følges via cookies, og software til ansigtsgenkendelse noterer hvornår vi optræder på billeder.
Samtidig bliver det stadigt nemmere at lagre og dele data, blandt andet ved at samkøre forskellige dataregistre.
Og endelig har maskinlæring gjort det lettere at anvende alle disse data, ved at finde mønstre og bruge disse til at profilere enkeltpersoner. De reklamer de fleste af os modtager når vi færdes på internettet er skræddersyede til os, fordi vores data passer med en bestemt profil, som er skabt på baggrund af analyse af vores og mange andres data.
Beskyttelse af privatlivet har traditionelt været en hjørnesten i det liberale demokrati. Især statsmagten skulle ikke uden videre have lov til at overvåge og blande sig i hvad borgerne sagde og gjorde. Men udviklingen af de moderne teknologier er gået meget, meget stærkt. I dag indskrænkes privatlivet i lige så høj grad af private aktører. Beskyttelsen af vores privatliv har haft svært ved at følge med.
Udfordringen skyldes imidlertid ikke kun den rivende teknologiske udvikling. Den skyldes også vores uafklarede forhold til privatliv som rettighed og værdi. Én afgørende grund til, at det har vist sig vanskeligt, at holde beskyttelsen af privatlivet opdateret er, at det er langt mindre klart, hvorfor og hvordan vi skal beskytte privatlivet, end man kunne ønske sig. Denne uklarhed gør det selvsagt vanskeligt at formulere regelsæt.
Rettigheder og GDPR
Privatliv er juridisk beskyttet i blandt andet EUs charter om grundlæggende rettigheder, både af artikel 7, om retten til privat- og familieliv, og artikel 8, om beskyttelse af personoplysninger. Begge er imidlertid, ligesom de øvrige rettigheder i chartret, underlagt artikel 52s bestemmelser om at, der kan indføres begrænsninger, ”såfremt disse er nødvendige og faktisk svarer til mål af almen interesse […] eller et behov for beskyttelse af andres rettigheder og friheder.”
Lignende bestemmelser optræder i kronjuvelen i den europæiske databeskyttelse, GDPR-forordningen. Forordningen fungerer som en opdatering af det tidligere databeskyttelsesdirektiv, og var ambitiøs i sit udgangspunkt. Med GDPR skulle borgerens privatlivsbeskyttelse definitivt præciseres og stadfæstes. Men ligesom i chartret gives mulighed for lovligt at behandle data, når dette tjener et legitimt formål, når kun den nødvendige data indsamles (såkaldt dataminimering), og når begrænsningen er proportionel (artikel 23).
Kravet om proportionalitet som optræder i disse regelsæt betyder altså, lidt generelt formuleret, at dataindsamling i tilstrækkelig grad skal tjene et legitimt formål. Hvis dette ikke er tilfældet, så er dataindsamlingen ulovlig, men når det er tilfældet kan den være lovlig, selvom borgeres privatliv derved indskrænkes.
Hvorfor, kan man spørge, skal vi give sådanne muligheder for, at indskrænke privatlivet? Svaret er selvfølgelig, at der i mange sammenhænge er gode grunde til at indsamle data. Offentlige myndigheder, forskere, og virksomheder bruger data på mange forskellige måder, som forbedrer borgernes liv. Med måske det mest fortærskede eksempel, så anvender politi og efterretningstjenester ind imellem indsamlede data til at opklare og forhindre meget alvorlige forbrydelser. Hvis man udelukkede al indsamling af data ville man i mange henseender stille borgerne dårligere.
Proportionalitetskravet giver derfor mulighed for dataindsamling, men sætter samtidig grænser for den, som skal sikre at det kun er i netop de tilfælde, hvor dataindsamlingen gør tilstrækkeligt meget gavn, at vi indskrænker privatlivet.
To udfordringer for proportionalitet
Et proportionalitetskrav er derfor nok en god ide, men det oplagte spørgsmål er selvfølgelig, hvornår helt præcist dataindsamling er proportionel? For at besvare dette spørgsmål skal man i virkeligheden kunne svare på to forskellige spørgsmål.
For det første: hvad er det der skal sammenlignes? En afvejning af proportionalitet kigger på indskrænkning af privatliv på den ene side og legitime formål på den anden. Men hvad helt præcist er privatliv, og hvordan måler man dets værdi? Og hvilke formål er legitime? At forhindre alvorlige forbrydelser er nok et legitimt formål, mens støtte til markedsføringen af den nyeste sæson af ”Ex on the beach” nok ikke er. Men hvad med alle mulige formål mellem disse to yderpositioner?
Selv hvis man kan svare klart på det første spørgsmål, så venter det andet spørgsmål, som er endnu vanskeligere at besvare: Hvordan afgør man om afvejningen af privatliv mod legitime formål falder ud til den ene side eller til den anden? Ligesom med den gamle vits, ”hvad er højest – rundetårn eller et tordenskrald?”, så er det langt fra indlysende. hvordan man skal sammenligne de tilsyneladende vidt forskellige ting. Og hvordan bestemmer man i øvrigt hvilken vej vægten tipper? Det vil sige, hvad er den nødvendige balance mellem de gode formål på den ene side, og en bestemt mængde tabt privatliv på den anden side, for at dataindsamlingen er proportionel?
I krig og kærlighed…
Proportionalitet findes naturligvis i andre sammenhænge. Det er kernen i cost-benefit analyser, hvor man forsøger at
vurdere om den økonomiske gevinst ved en investering står mål med udgiftens
størrelse. Og det findes i strafferetslige sammenhænge, hvor det er et
almindeligt synspunkt at en straf bør være proportionel med forbrydelsen – vi skal
ikke straffe butikstyveri med livstidsfængsel, eller rovmord med bøde.
Udfordringen kan illustreres ved at sammenligne med sådan en anden sammenhæng, hvor proportionalitet spiller en afgørende rolle. I moderne teorier om retfærdig krig er krigens legitime formål at forsvare uskyldige mod overgreb. Men i modsætning til hvad det gamle mundheld om, at ”alle kneb gælder” hævder, så kan krigshandlinger kun retfærdiggøres, hvis de i tilstrækkelig grad tjener dette formål.
Det betyder, at proportionalitet i krig, i hvert fald i princippet, kan være relativt enkelt at vurdere. I den ene vægtskål er de lidelser krigshandlingen forhindrer, ved at reducere fjendens evne til at begå overgreb på uskyldige. I den anden vægtskål er de lidelser krigshandlingen forårsager, for eksempel ved at dræbe og lemlæste soldater og civile.
Det er naturligvis mere kompliceret end som så. Mange vil mene, at fjendtlige soldaters lidelser ikke tæller lige så meget som uskyldiges lidelser. Og så er man nødt til at vurdere hvor meget de fjendtlige soldater har gjort sig selv til legitime mål. Samtidig kan det være overordentlig vanskeligt at vurdere effekten af en krigshandling, både de lidelser den forårsager og de lidelser den forhindrer.
Disse komplikationer til trods har vi dog en relativt klar teori om proportionalitet. Vi ved hvad der skal sammenlignes, hvordan det skal sammenlignes, og hvad der skal til for at vægtskålen tipper.
Hvad så med privatliv og GDPR?
Det samme kan desværre ikke siges om privatliv.
I den berømte Tele2-sag fra 2016 hævder EU-domstolen, at den universelle logning af metadata fra borgernes mobiltelefoner er et ”indgreb i de grundlæggende rettigheder… [som] må anses for at være særligt alvorligt.” Men den forklarer ikke hvordan den er nået frem til denne vurdering, eller hvordan ”særligt alvorligt” skal forstås.
Det bliver endnu værre i spørgsmålet om proportionalitet. Her skriver domstolen ganske enkelt, at logningen ”overskrider… det strengt nødvendige.” Det er, i en bogstavelig tolkning, forkert. Den universelle logning vil givetvis ind imellem føre til, at man kan forhindre en forbrydelse, som ikke ville blive forhindret, hvis man ikke loggede universelt. I den forstand er universel logning strengt nødvendig – der findes ikke en mindre indgribende form for logning der i præcis samme grad vil tjene det legitime formål.
Domstolens synspunkt giver kun mening når det fortolkes som en afvejning af proportionalitet: universel logning giver ikke tilstrækkeligt meget bedre beskyttelse mod kriminalitet end mindre indgribende former for logning, til at den kan retfærdiggøres. Men ved ikke engang at anerkende denne afvejning bliver det naturligvis aldeles uigennemskueligt hvordan domstolen har foretaget den.
På lignende vis understreger den europæiske tilsynsførende for databeskyttelse, EU's rådgiver og vagthund på området, i sin seneste vejledning gentagne gange hvor central afvejningen er, kun for at springe let og elegant hen over hvordan den konkret skal foretages.
Som forskerne Dariusz Kloza og Laura Drechsler konkluderer i en nylig analyse, ”synes der at være ingen, som ved præcist hvordan man skal vurdere proportionalitet i forbindelse med beskyttelsen af personlige data”.
Indtil vi udvikler en detaljeret teoretisk forståelse for, hvordan vi skal afveje hensynet til privatliv mod andre hensyn, træffer vi uundgåeligt disse beslutninger i blinde. Hvor vanskeligt det end er, bliver vi nødt til at afklare, hvor meget privatliv, som er ”nok”.
Ingen kommentarer:
Send en kommentar