Professor: Frygten for at handle i strid med GDPR bremser anvendelse af ny teknologi
Datatilsynets GDPR-afgørelser risikerer at stille sig i vejen for brugen af ny teknologi, fordi myndigheder og virksomheder frygter at handle i strid med reglerne, skriver Henrik Palmer Olsen.
Henrik Palmer Olsen
Fhv. Prodekan for forskning, Professor i retslære, Det Juridiske Fakultet, Københavns UniversitetDatatilsynet er en vigtig autoritet på databeskyttelsesområdet, og dets afgørelser og udtalelser studeres derfor ofte nøje og giver i mange tilfælde anledning til skærpet forsigtighed i forhold til brug af teknologi, der involverer persondata.
Derfor er det særlig vigtigt at Datatilsynet begrunder sine afgørelser og udtalelser grundigt og vejleder om, hvordan man kan overholde GDPR. Hvis ikke dette sker, er der en risiko for, at Datatilsynet utilsigtet kommer til at stille sig hindrende i vejen for brug af ny teknologi på områder, hvor det ellers kunne være samfundsmæssigt tjenligt.
Hvis myndigheder og virksomheder oplever usikkerhed om, hvor grænserne går, vil de typisk af frygt for at få kritik af Datatilsynet være mere tilbageholdne, end de strengt taget behøver at være. Nogle eksempler kan illustrere dette.
GDPR kan spænde ben for brugen af ny teknologi
I en sag fra marts måned traf Datatilsynet afgørelse om brug af et system til ansigtsgenkendelse. Systemet var påtænkt opsat ved et fitnesscenter i Hillerød til brug for adgangskontrol på følgende måde: Brugere kan vælge at uploade en ansigtsscanning til centerets computer, hvorefter ansigtsscanneren ved indgangen vil genkende brugeren, som herefter får adgang. Brugerne giver herigennem tilladelse til ansigtsscanningen. Dette er uproblematisk. Databeskyttelsesforordningen fra 2018 har til formål at beskytte EU’s borgeres persondata og udstikke retningslinjer for forsvarlig behandling af persondata.
For at sikre, at reglerne overholdes, skal hver medlemsstat have en uafhængig offentlig myndighed til at føre tilsyn med anvendelsen af forordningen. I Danmark varetager Datatilsynet denne opgave.
Efter GDPR’s ikrafttræden er der dog opstået usikkerhed omkring rækkevidden for forordningens bestemmelser.
Datatilsynet peger nu imidlertid på, at brugere, der ikke har givet samtykke, eller personer, der i øvrigt kommer ind i det område foran centeret, hvor scanneren er aktiv, får scannet deres ansigt uden samtykke.
Datatilsynet træffer herefter afgørelse om at tildele centeret en advarsel om, ”… at det sandsynligvis vil være i strid med databeskyttelsesforordningen” at anvende systemet på denne måde, fordi ”… der herved vil ske behandling af biometriske data med det formål entydigt at identificere en fysisk person, som ikke har ønsket at samtykke til behandlingen, hvilket er forbudt …”
Spørgsmålet er imidlertid, om ikke Datatilsynet her udstrækker fortolkningen af GDPR meget vidt. Det planlagte system var påtænkt opsat således, at scanning af personer, der ikke var registreret i systemet – og altså ikke havde givet samtykke – ikke kunne genkendes.
Disse Scanninger blev derfor slettet omgående. Systemet kunne dermed kun identificere personer, der havde givet samtykke. Dermed er det tvivlsomt, om scanningen overhovedet er en biometrisk personoplysning.
I artikel 4 er en sådan oplysning defineret som personoplysninger, der ”… muliggør eller bekræfter en entydig identifikation…”. I en såkaldt præambelbetragtning til forordningen – præambel 26 – står der, at det afgørende for, om en fysisk person er identificerbar, er, om det med rimelighed kan antages, at nogen vil kunne identificere personen.
Hvis en ansigtsscanning slettes omgående, efter at den er foretaget, hvor sandsynligt er det så, at den scannede person vil kunne identificeres entydigt? Datatilsynet tager i sin afgørelse det nødvendige forbehold ”sandsynligvis” men giver ikke yderligere vejledning.
Virkningen er, at mange, som følge af datatilsynets udtalelse, vil trække sig helt fra brugen af denne teknologi, og dermed kommer forordningen til at få langt vidererækkende konsekvenser end tiltænkt.
Et eksempel fra it-system på jobcenter
Et andet eksempel vedrører it-systemet Asta, som blev brugt på et jobcenter til at vurdere, hvor hurtigt en ledig person vil kunne få et nyt job. De ledige, der blev vurderet af it-systemet, havde givet samtykke til dette. Datatilsynet bør være mere opmærksomme på den betydelige virkningskraft, deres udtalelser og afgørelser formentlig utilsigtet har.
Professor, Københavns Universitet
Datatilsynet var blevet bedt om at se nærmere på systemet og kom derfor med en udtalelse om systemets forenelighed med GDPR.
For det første udtalte tilsynet, at samtykke i almindelighed ikke kan danne grundlag for lovlig databehandling i det offentlige. Tilsynet begrunder dette med, at ”den offentlige myndighed har kontrol over den registreredes forsørgelsesgrundlag”, og i en sådan situation ”vil et samtykke efter Datatilsynets opfattelse sjældent kunne anses for frivilligt og dermed udgøre et gyldigt behandlingsgrundlag”.
Efter tilsynets mening vil ledige ”kunne føle sig presset til at samtykke til behandlingen, for eksempel for at undgå at fremstå besværlig eller lignende”.
Det er rimeligt nok at lægge til grund, at borgere kan føle sig presset af en offentlig myndighed til at give et samtykke. Et samtykke under pres er ikke frivilligt. Men meget afhænger også af, hvordan samtykket er indhentet.
I den konkrete situation er spørgsmålet, hvordan jobcentrets sagsbehandlere bedst muligt kan prioritere de ressourcer, der er til rådighed i jobcentret med henblik på at hjælpe ledige i job, herunder hvordan man bedst muligt tilrettelægger et godt forløb for de enkelte ledige.
Ville det i en sådan situation skabe et urimeligt pres på borgeren, hvis man eksempelvis bad borgeren tage stilling til, hvordan han/hun ønsker sin sag behandlet?
Datatilsynet bør give plads til konkrete vurderinger
I præambel 43 står der, at der skal tages hensyn til, om ”… der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation.”
Men hermed lægges der jo netop op til en konkret vurdering og ikke et almindeligt forbud.
Derfor bør en vurdering efter GDPR indebære en vurdering af, under hvilke betingelser og på hvilken måde det er muligt for en offentlig myndighed at have en dialog med borgeren om de forskellige måder at vurdere borgerens situation på, uden at dette opfattes som en trussel eller et pres.
Denne nuancering kommer imidlertid slet ikke med i tilsynets udtalelse. I stedet hedder det blot: ”Da samtykke efter artikel 6, stk. 1, litra a, ikke kan anvendes som behandlingsgrundlag, og da bestemmelsens litra b, c, d og f, ikke er relevante i den foreliggende situation, vil det alene være litra e om offentlig myndighedsudøvelse, der potentielt vil kunne danne grundlag for behandlingen.”
Herefter er det ikke overraskende, hvis kommuner og andre offentlige myndigheder læser dette som et de facto forbud mod at bruge samtykke som behandlingsgrundlag, selv om der ikke i lovgivningen er dækning for et sådan totalforbud.
Observerer man reaktionerne på Asta-udtalelsen, kan man da også se, at udtalelsen har givet anledning til, at kommuner og andre over en bred kam nu træder tilbage fra at bruge Asta og lignende systemer i jobcentrene. Tilsynets praksis bør efter min vurdering i højere grad medvirke til at finde løsninger på sikker og forsvarlig brug af ny teknologi.
Professor, Københavns Universitet
Udtalelsen får altså betydning langt ud over den konkrete sag og påvirker, hvordan offentlige myndigheder generelt anskuer deres muligheder for at bruge ny teknologi som et led i deres forvaltning.
Datatilsynet bør bidrage til forsvarlig brug af ny teknologi
Min pointe med disse eksempler er, at datatilsynet efter min opfattelse bør være mere opmærksomme på den betydelige virkningskraft, deres udtalelser og afgørelser formentlig utilsigtet har ud over de konkrete sager, som de tager stilling til.
Derfor bør tilsynets praksis efter min vurdering i højere grad medvirke til at finde løsninger på sikker og forsvarlig brug af ny teknologi.
Datatilsynet har nok i dag for få ressourcer til at udføre denne vigtige opgave, som vil kræve udstrakt dialog med både private og offentlige myndigheder om påtænkte teknologiske løsninger.
Derfor bør vores kommende regering prioritere at tilsynet styrkes med flere ressourcer og tekniske kompetencer, således at tilsynet kan få en mere proaktiv rolle i forhold til at fremme viden om, hvordan tekniske løsninger kan bringes i overensstemmelse med GDPR’s mål om at fremme persondatabeskyttelsen til gavn for Europas digitale økonomi.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Få GRATIS nyheder fra Danmarks største politiske redaktion
