Beskyttelsen af persondata er forældet

Et direktiv fra 1995 er grund­laget for persondatabeskyttelsen i EU. Datatilsynet mener, overvågning af borgerne har taget overhånd.

Af Morten Rasmussen,  fredag 05. sep 2008 kl. 00:45

En fortsat række af forslag om øget registrering og udveksling af personlige oplysninger får nu Datatilsynet til at efterlyse en mere forsigtig brug af ordet 'terror'.

I kølvandet på terrorangrebet mod USA 11. september 2001 var der i Danmark og flere andre lande enighed om, at en forbedret overvågning, registrering og udveksling af persondata var afgørende for politiets og efterretningstjenesternes mulighed for at efterforske terrormistænkte.

Men i dag, umiddelbart før syvårsdagen for terrorangrebet, risikerer terror-argumentet at føre til en uforholdsmæssig stor udveksling af personlige oplysninger, lyder det fra Datatilsynet, der kontrollerer offentlige og private virksomheders overholdelse af persondataloven.

Gentagne advarsler
»Vi har ved flere forslag advaret mod, at man i kampen mod terror vedtager regler og bestemmelser, der ikke står i et rimeligt forhold til formålet,« siger Datatilsynets direktør Janni Christoffersen og nævner blandt andet, at tilsynet tidligere på året vurderede et forslag om fælles EU-regler for udveksling af personoplysninger mellem forskellige landes politi.

Med forslaget fik myndighederne mulighed for at videregive personfølsomme oplysninger til private virksomheder, hvis det kan afværge 'en alvorlig trussel mod den offentlige sikkerhed'. Som eksempel blev der henvist til handel med stjålne køretøjer.

»I sidste ende er det en politisk afgørelse, hvor grænsen skal gå. Men som tilsynsmyndighed undrer vi os over, at et biltyveri betragtes som en alvorlig trussel og som argument for en ret vidtgående udveksling af personlige oplysninger,« forklarer Janni Christoffersen om forslaget, der i øvrigt blev vedtaget uden ændringer af et stort set enigt folketing.

På samme måde havde Datatilsynet kommentarer til et forslag, der forpligter flyselskaberne til at gemme passageroplysninger i op til 13 år.

Uden en konkret begrundelse i den enkelte passagers forhold bør det ikke være muligt at gemme oplysningerne i mere end fem år, lød det fra Datatilsynet, som efterlyser en overordnet, international tilsynsmyndighed for udveksling af persondata mellem lande og myndigheder. I dag findes der ganske vist den såkaldte Artikel 29-arbejdsgruppe, hvor EU-landenes datatilsyn kan rådgive om de gældende regler. Men det er ikke nok, mener Janni Christoffersen.

»Af hensyn til muligheden for at efterforske terror er der sket en stigning i behovet for samarbejde og udveksling af personoplysninger mellem forskellige landes myndigheder. Men det gør det også helt nødvendigt, at lovgivningen i alle lande beskytter oplysningerne, hviket vi ikke kan være sikre på lige nu. Udviklingen kræver også, at tilsynsmyndighederne har mulighed for at samarbejde. Men netop det har vi desværre set nedprioriteret på det seneste,« siger Janni Christoffersen.

Overhalet indenom
Ifølge Charlotte Bagger Tranberg, ekspert i EU-ret og persondata-ret ved Aalborg Universitet, er person­databeskyttelsen i det hele taget blevet overhalet indenom af terror-lovgivningen. Hun peger på, at der siden angrebet mod USA er vedtaget en lang række nye regler, der styrker myndighedernes mulighed for at overvåge og registrere persondata. Vigtigst er de to terrorpakker fra 2002 og 2006 samt logningsbekendtgørelsen, der trådte i kraft i september 2007.

»Men persondatabeskyttelsen er stort set stadig baseret på et EU-direktiv fra 1995, altså fra før krigen mod terror. Det betyder, at den ikke i tilstrækkelig grad tager højde for de overvågningsmuligheder, der er opstået med udbredelsen af mobiltelefoner og internet samtidig med, at udvekslingen af oplysninger i dag involverer langt flere lande end tidligere,« siger Charlotte Bagger Tranberg.

I EU-systemet er man opmærksom på, at beskyttelsen af persondata ikke er fulgt med den teknologiske udvikling. Derfor har Europa-Kommissionen netop søgt eksperter til en gruppe, der skal evaluere direktivet fra 1995, blandt andet med henvisning til at 'den omfattende udvikling af ny informations- og kommunikationsteknologi nødvendiggør behovet for specifikke retningslinjer for, hvordan man i praksis skal administrere principperne for data-beskyttelse'.

Med Lissabon-traktaten blev der desuden åbnet op for, at EU i højere grad kan lovgive om beskyttelse af persondata. Men på grund af Irlands nej til traktaten, er det endnu uklart, hvordan og hvorvidt den bliver implementeret.

Ingeniøren har forgæves forsøgt at få en kommentar fra justitsminister Lene Espersen (K).

- For internettrafik, skal oplysninger registreres og gemmes for hver 500. såkaldte pakke - en hel net-session.

- For telefoni, herunder SMS'er og MMS'er, skal samtlige samtaler registreres. Data om det opkaldende og det opkaldte nummer, samtalens varighed samt telefonernes unikke 'cpr-numre', de såkaldte IMSI- og IMEI-numre skal gemmes. Det samme skal oplysninger om aktiverede mobilmaster.

- Der er nu registreret og gemt 200 milliarder poster. En internet-pakke tæller som én post; en telefonsamtale registreres som to poster, én for hver part i samtalen. Antallet af poster ventes at stige med 50-75 procent om året.

- Telekommunikationsindustrien bekræfter over for Ingeniøren, at Politiets Efterretningstjeneste har indhentet data, der er gemt efter bekendtgørelsen.

- I arbejdskraft og udstyr har bekendtgørelsen kostet virksomhederne 200 millioner kroner. De årlige udgifter er på godt 50 millioner kroner. Ét teleselskab, A+, opkræver et månedligt 'terrorlogningsgebyr' på 6,25 kroner.

Kilder: Telekommunikationsindustrien samt logningsbekendtgørelsen