UVT, Alm.del - 2008-09 - Endeligt svar på spørgsmål 129: Spm. om ministerens talepapir fra samrådet 10/9-09, til justitsministeren

”Ministeren bedes i et kommende samråd kort gennemgåartikel 29-gruppens responsum om beskyttelsesproblemervedr. overførsel af personoplysninger i sociale netværksamt kommentere, hvilke konsekvenser ministeren forven-ter at dette responsum vil få og endelig, hvilken opfølgningministeren finder at dette responsum skal have?”

1.I samrådsspørgsmålet anmodes der om, at jeg for detførste gennemgår den såkaldte artikel 29-gruppes udtalelseom online sociale netværk, og at jeg for det andet forkla-

Inden jeg kommer nærmere ind på disse spørgsmål, vil jegstarte med nogle få ord om artikel 29-gruppen og dens ar-bejde.

Der er tale om et rådgivende og uafhængigt organ, der be-står af repræsentanter for de forskellige datatilsyn i EUsamt af en repræsentant for EU-Kommissionen. Datatilsy-net er Danmarks repræsentant i artikel 29-gruppen.

Artikel 29-gruppen har bl.a. til opgave at afklare spørgs-mål om konsekvenserne af databeskyttelseslovene i EU.Dette skal bidrage til en ensartet anvendelse af de nationa-le persondatalove i EU, der implementerer databeskyttel-sesdirektivet.2

Det skal for en god ordens skyld nævnes, at artikel 29-gruppens udtalelser mv. – herunder også den udtalelse omsociale netværk, som dette samråd handler om – ikke erretligt bindende for de enkelte medlemsstater.

Udtalelserne er således snarere udtryk for, hvordan regler-ne i databeskyttelsesdirektivet efter arbejdsgruppens opfat-telse bør forstås. Dette ændrer selvfølgelig ikke på, at vi iDanmark skal være opmærksomme på de analyser og vur-deringer, som artikel 29-gruppen kommer med. De er oftebåde nyttige og relevante.

3.Jeg vil nu vende blikket mod artikel 29-gruppens udta-lelse af 12. juni 2009 om såkaldte online sociale netværk.

Facebook er et eksempel på et online socialt netværk, somde fleste nok hurtigt kommer til at tænke på. Men det kan3

måske være på sin plads fra start af at fremhæve, at udta-lelsen ikke indeholder en vurdering af netop Facebooksbeskyttelse af persondata. Udtalelsen forholder sig der-imod generelt til online sociale netværk.

I udtalelsen behandles en del forskellige persondataretligespørgsmål og emner, som kan have betydning i forbindelsemed behandling af personoplysninger i sociale netværk.Jeg vil tillade mig blot at gennemgå udtalelsens hovedele-menter i grove træk, og jeg beder udvalget om forståelsefor, at min besvarelse til tider kan blive noget teknisk.

Et af de spørgsmål, som artikel 29-gruppens udtalelse be-handler, er databeskyttelseslovgivningens geografiske an-vendelsesområde, og det er gruppens vurdering, at EU-landenes databeskyttelseslovgivning i de fleste tilfælde måantages også at gælde for f.eks. virksomheder, der udøveraktiviteter inden for EU, men som har hovedsæde uden forEU.

Herudover behandles spørgsmålet om sikkerhed og privat-livsindstillinger. Og i den forbindelse understreger artikel29-gruppen, at sikker databehandling er grundlæggendefor, at man kan have tillid til de sociale netværk. Sådannenetværk skal træffe de fornødne tekniske og organisatori-ske sikkerhedsforanstaltninger – både på tidspunktet, hvorsystemerne designes, og når den konkrete databehandlingfinder sted. Sikkerhedsforanstaltningerne skal sikre data-sikkerheden og forhindre uautoriseret databehandling.

Artikel 29-gruppen peger endvidere på, at udbydere af so-ciale netværk skal tilbyde privatlivs-venlige standardind-stillinger i forhold til adgangen til brugernes oplysninger.Denne anbefaling hænger sammen med, at kun et mindre-tal af brugere efter gruppens vurdering er opmærksommepå at ændre i adgangen til deres oplysninger.

Brugerne skal således have mulighed for selv at bestemmeover adgangen til oplysninger i deres profil. Dette bør skeved, at det sociale netværk sørger for, at netværket teknisk5

er indrettet på den måde, at den enkelte person skal med-dele et udtrykkeligt samtykke, hvis uvedkommende vilhave adgang til profiloplysningerne.

Artikel 29-gruppen forholder sig også til spørgsmålet om,hvilken information et socialt netværk bør give brugerne.Gruppen udtaler, at sociale netværk skal sørge for infor-mation til brugerne om en række forhold, bl.a. forståeligog klar information om, hvordan og til hvilke formål detsociale netværk behandler personoplysninger og informa-tion om mulige konsekvenser for privatlivet ved at offent-liggøre oplysninger på et socialt netværk.

Herudover bør det sociale netværk give information om, atoplysninger og billeder af andre kun må offentliggøresmed samtykke fra de pågældende, ligesom der bør givesinformation om lagring og sletning af profiloplysninger.

Desuden behandles i udtalelsen spørgsmålet om sletning afprofiloplysninger. Der peges på, at når en bruger beslutter6

sig for at slette sin profil, skal profiloplysninger som ud-gangspunkt slettes. Dog kan det være berettiget at opbeva-re profiloplysningerne i en afgrænset periode, f.eks. hvisoplysningerne indgår i en efterforskning af kriminelle for-hold.

Det fremhæves også, at såfremt en bruger er inaktiv i enperiode, skal profilen gøres inaktiv, så den ikke længere ersynlig, og efter en periode bør profilen slettes helt.

Endelig behandler udtalelsen spørgsmålet om, i hvilketomfang brugerne af de sociale netværk som dataansvarligeskal leve op til databeskyttelseslovgivningen, og hvornårde er undtaget herfra efter en regel om private aktiviteter.Det er nemlig således, at visse databehandlinger, som enprivatperson foretager med henblik på aktiviteter af rentprivat karakter, ikke er omfattet af databeskyttelseslovgiv-ningen.

4.Dette var en meget kort gennemgang af hovedelemen-terne i artikel 29-gruppens udtalelse om sociale netværk.Jeg vil nu vende mig mod spørgsmålet om, hvilke konse-kvenser og hvilken opfølgning denne udtalelse får.

Jeg vil starte med, at fremhæve Datatilsynet – der som be-kendt fører tilsyn med, at persondataloven overholdes, ogsom deltager som dansk repræsentant i artikel 29-gruppen– har oplyst mig om, at de anbefalinger og fortolkningsbi-drag, som artikel 29-gruppens udtalelse rummer, efter til-synets opfattelse er i god tråd med den danske persondata-lov og praksis i medfør af denne.

Datatilsynet har endvidere oplyst, at tilsynet vil inddrageog bruge udtalelsen fra artikel 29-gruppen i sin behandlingaf en række konkrete sager om sociale netværk, der fortiden er under behandling i Datatilsynet. Disse sager ved-rører i øvrigt mange af de spørgsmål og emner, som er be-skrevet i artikel 29-gruppens udtalelse.

Datatilsynet har herudover tilkendegivet, at det i forhold tiludenlandske sociale netværk er nyttigt at kunne henvisetil, at der er en fælles opfattelse i EU – både når det enkel-te datatilsyn behandler en problemstilling nationalt, ognår artikel 29-gruppen som samlet gruppe skal besvare el-ler følge op på spørgsmål vedrørende sociale netværk.

Med hensyn til det videre forløb omkring artikel 29-gruppens udtalelse har Datatilsynet endvidere oplyst migom, at det er forventeligt, at der kommer reaktionerog/eller henvendelser til gruppen foranlediget af udtalel-sen.

Under alle omstændigheder har Datatilsynet oplyst, at arti-kel 29-gruppen planlægger at følge op på udtalelsen ved –formentlig senere på året – at invitere enkelte sociale net-værk til en såkaldt høring i gruppen.

Det kan således konstateres, at der vil blive fulgt op på ud-talelsen på nationalt, såvel som internationalt niveau, og at9

artikel 29-gruppens konklusioner vil kunne bruges i for-bindelse med de persondataretlige problemstillinger, somforekommer i forbindelse med, at der i sociale netværkbehandles personoplysninger.