Dit liv er i Facebooks hænder
Du kan ikke sikre dig mod misbrug. Ligger der først oplysninger om og billeder af dig på Facebook, så er de så godt som ude af dine hænder. Facebook kan stort set gøre, hvad de vil. Den danske lovgivning er sakket håbløst bagud i forhold til de muligheder, som udviklingen af internettet medfører. Det viser Datatilsynets nye beskrivelse af reglerne i persondataloven vedrørende sociale netværk på internettet. Vi kigger nærmere på, hvor galt det står til.
af Kristian Levring Madsen
Retssikkerheden vakler
Den 2. oktober i år fandt Datatilsynet det endelig nødvendigt at beskrive individets rettigheder, hvis man selv eller andre lægger personlige oplysninger (herunder billeder) ind på sociale netværk. Datatilsynet er den statslige myndighed, der fører tilsyn med persondataloven – og altså dem, som skal sikre dig mod, at dine personlige oplysninger bliver misbrugt.
Men i sin regelgennemgang har Datatilsynet gjort sig umanerlig mange bestræbelser på at undgå at love nogen noget angående håndhævelse af loven. Formuleringerne er fyldt af "eventuelt" og "i nogle tilfælde", og dermed har Datatilsynet gjort deres regelsæt så vagt, at man kan konkludere, at Datatilsynet reelt ikke håndhæver persondataloven på sociale netværk som Facebook. Det må siges at være noget af et problem for vores generelle retssikkerhed, eftersom 1,2 millioner danskere har en profil på netop Facebook.
Ekstra Bladet skrev d. 16 oktober om problemet i artiklen Facebook 'ejer' 10.000.000.000 fotos, og også på arbejdspladsen og blandt venner og familie bliver det ofte diskuteret, når der bliver uploadet billeder fra den sidste firmafest: Hvem har rettighederne? Spørgsmålet kan deles op i to:
Problemet med retssikkerheden på de sociale netværk er dog ikke ny. Jeg har tidligere skrevet en artikel her på Kforum, der handlede om, at der lå billeder og adresser på påståede pædofile i Facebook-gruppen Vi kræver en højere straf for seksuelle overgreb på børn.
Artiklen førte til, at Politiken undersøgte sagen – og at Politiet i den forbindelse udtalte, at de ikke havde nogen sanktionsmuligheder, da det var et civilretsligt anliggende. Men hvis individet heller ikke har nogen civile rettigheder på sociale netværk, hvor står vi så? Så står vi der, hvor 1,2 millioner danskere har samme rettigheder på Facebook, som den gennemsnitlige nordkoreaner har over for Kim Jong-il. Og som gennemgangen nedenfor viser, så lader det ikke til, at Datatilsynet har tænkt sig at gøre noget for at ændre på det faktum.
Når du offentliggør oplysninger om dig selv på Facebook
På et enkelt punkt er Datatilsynets artikel dog forholdsvis klar: Hvis man selv lægger oplysninger om eller billeder af sig selv på Facebook, så accepterer man også, at man afgiver rettighederne:
Når du offentliggør billeder af eller oplysninger om dig selv, gør du det samtidig muligt for andre at bruge oplysningerne. Datatilsynet vil som oftest ikke kunne hjælpe dig med at få andre til at slette de oplysninger eller billeder, som du selv har offentliggjort.
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Vær opmærksom på, at der står "oplysninger" i citatet. Det betyder, at der er givet frit spil, hvad angår alder, adresse, telefonnummer, interesser, oplysninger om arbejde, familie, hårfarve, politiske orientering og alt muligt andet, som du måtte have lagt ud på Facebook. Alt dette er nu i Facebooks (og muligvis alle mulige andres) hænder.
Administration gør Facebook til dataansvarligSpørgsmålet er efterfølgende, om persondataloven ikke i det mindste kan sikre, at Facebook ikke videresælger disse oplysninger eller billeder. Artiklen er mildt sagt ikke helt klar, men svaret er sandsynligvis ”nej”:
Hvad gælder for de oplysninger, som sociale netværk er ansvarlige for?
De sociale netværk er dataansvarlige for de oplysninger, de behandler i forbindelse med deres administration af din profil.
Danske sociale netværk er omfattet af den danske persondatalov. Det vil sige netværk, der drives af virksomheder, der hører hjemme i Danmark.
Hvis det sociale netværk hører hjemme i et land uden for EU og indsamler personoplysninger fra Danmark, gælder den danske persondatalov i nogle tilfælde.
Hvis indsamlingen af oplysninger i Danmark sker fra et socialt netværk i et andet EU-land, kan det være omfattet af det andet lands persondatalov.
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Her er det interessante første afsnit efter overskriften: ”De sociale netværk er dataansvarlige for de oplysninger, de behandler i forbindelse med deres administration af din profil.” I forbindelse med oprettelsen af en profil på Facebook har man givet netværket tilladelse til at ”administrere” oplysninger om en selv – og dermed har man også gjort Facebook til dataansvarlige.
Det skal man være forsigtig med – for hvis Facebook vælger at videresælge disse oplysninger, er det tvivlsomt, om der er nogen sanktionsmuligheder. Eller som der står i tredje afsnit: "Hvis det sociale netværk hører hjemme i et land uden for EU og indsamler personoplysninger fra Danmark, gælder den danske persondatalov i nogle tilfælde."
Så dermed ved du, at persondataloven beskytter ”i nogle tilfælde". Men hvad pokker skal du, jeg og de andre 1.2 mio. danskere på Facebook bruge "i nogle tilfælde" til? Hvornår mon ”i nogle tilfælde” træder i kraft? Der er ingen hits på ”Facebook” i Datatilsynets afgørelsesarkiv, så der er øjensynlig ingen praksis til at danne præcedens. Desuden angiver Datatilsynet selv, at ”De fleste regler i persondataloven hviler på et skøn, dvs. en konkret vurdering af, om grænserne for, hvad man kan tillade sig, er overtrådt.” (Kilde: Kort om persondataloven: www.datatilsynet.dk). Når man tager udgangspunkt i Datatilsynets vage formuleringer, så giver det en bestemt ikke ro i sindet at vide, at sådan noget er op til et skøn.
Nummeret til Zuckerberg
Hvis man så kommer i den uheldige situation, at Facebook har solgt et af de billeder, som man har uploadet, og det derefter ender i Kentucky Fried Chickens markedsføringsmateriale, så angiver artiklen, at den eneste til at tage affære er en selv. Du skal ringe til Facebook (hvis der er en, der har nummeret til Zuckerberg, så læg det gerne i kommentarfeltet. For alle tilfældes skyld):
Hvis du er utilfreds med noget, som et socialt netværk gør som dataansvarlig [eksempelvis hvis Facebook videresælger dit telefonnummer], skal du i første omgang kontakte det sociale netværk og forklare, hvad det handler om. Det gælder også, hvis du ønsker at få din profil slettet - det må du tage op med det sociale netværk, og du skal måske give dem flere oplysninger, så de er sikre på, at du er berettiget til at kræve profilen slettet.
Afhængigt af, hvor i verden det sociale netværk hører hjemme, vil Datatilsynet eventuelt kunne behandle spørgsmålet. Dette kan f.eks. ske, hvis det sociale netværk ikke vil give dig ret i noget, som du kan kræve efter persondataloven.
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Så efter at man først har givet Facebook ekstra oplysninger, så kan Datatilsynet eventuelt behandle spørgsmålet. Min konklusion bliver i stedet: Når først man har lagt sit telefonnummer op på Facebook, så har man ingen sanktionsmuligheder i forhold til videresælgelse. Facebook ejer rettighederne.
Hvis du vil være bedre beskyttet, så brug i stedet eksempelvis Berlingskes nye Din By som dit primære sociale netværk. Så er man nemlig omfattet af persondataloven - både i forhold til egen og andres offentliggørelse af oplysninger og billeder.
Når andre offentliggør oplysninger om dig på Facebook
Hvis det skulle ske, at andre lagde billeder op på Facebook, som man ikke synes, burde have været distribueret, så er artiklen så venlig at redegøre for, at her er man også ene om at skulle rede trådene ud:
Hvis du ønsker at protestere mod, at en anden person har offentliggjort oplysninger om og billeder af dig på et socialt netværk, er det i første række noget, du skal tage op med den anden person. Du bør kontakte vedkommende. Den person, som har offentliggjort oplysningerne, er ansvarlig for det og skal tage stilling til din protest.
Hvis den ansvarlige ikke vil fjerne oplysningerne - og det er en person, som bor i Danmark - vil Datatilsynet eventuelt kunne hjælpe dig. Datatilsynet kan ikke hjælpe dig med at få fjernet oplysninger, som du ikke kan kræve slettet efter persondataloven. Det kan f.eks. være udtalelser og oplysninger, som er omfattet af ytringsfriheden."
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Som i alle de øvrige formuleringer gør Datatilsynet meget ud af at være så vag som muligt: Datatilsynet vil eventuelt kunne hjælpe dig. Så er der da ikke lovet for meget. Datatilsynet kunne lige så godt have skrevet: "Internettet er det vilde vesten. And there's nothing you can do about it. Punktum."
Kan det virkelig passe, at det er o.k. for Datatilsynet at skrive så vagt formuleret en regelbeskrivelse om noget, der involverer så stor en del af den danske befolkning? I så fald kan man vist konstatere, at udviklingen af lovgivningen har noget svært ved at holde trit med udviklingen af internettet.
Artiklen er skrevet på baggrund af et blogindlæg på Det Levende Ord.
Den 2. oktober i år fandt Datatilsynet det endelig nødvendigt at beskrive individets rettigheder, hvis man selv eller andre lægger personlige oplysninger (herunder billeder) ind på sociale netværk. Datatilsynet er den statslige myndighed, der fører tilsyn med persondataloven – og altså dem, som skal sikre dig mod, at dine personlige oplysninger bliver misbrugt.
Men i sin regelgennemgang har Datatilsynet gjort sig umanerlig mange bestræbelser på at undgå at love nogen noget angående håndhævelse af loven. Formuleringerne er fyldt af "eventuelt" og "i nogle tilfælde", og dermed har Datatilsynet gjort deres regelsæt så vagt, at man kan konkludere, at Datatilsynet reelt ikke håndhæver persondataloven på sociale netværk som Facebook. Det må siges at være noget af et problem for vores generelle retssikkerhed, eftersom 1,2 millioner danskere har en profil på netop Facebook.
Ekstra Bladet skrev d. 16 oktober om problemet i artiklen Facebook 'ejer' 10.000.000.000 fotos, og også på arbejdspladsen og blandt venner og familie bliver det ofte diskuteret, når der bliver uploadet billeder fra den sidste firmafest: Hvem har rettighederne? Spørgsmålet kan deles op i to:
- Hvilke rettigheder har man i forhold Facebook, hvis man selv offentliggør oplysninger om eller billeder af sig selv?
- Hvilke rettigheder har man, hvis andre offentliggør oplysninger om eller billeder af en?
Problemet med retssikkerheden på de sociale netværk er dog ikke ny. Jeg har tidligere skrevet en artikel her på Kforum, der handlede om, at der lå billeder og adresser på påståede pædofile i Facebook-gruppen Vi kræver en højere straf for seksuelle overgreb på børn.
Artiklen førte til, at Politiken undersøgte sagen – og at Politiet i den forbindelse udtalte, at de ikke havde nogen sanktionsmuligheder, da det var et civilretsligt anliggende. Men hvis individet heller ikke har nogen civile rettigheder på sociale netværk, hvor står vi så? Så står vi der, hvor 1,2 millioner danskere har samme rettigheder på Facebook, som den gennemsnitlige nordkoreaner har over for Kim Jong-il. Og som gennemgangen nedenfor viser, så lader det ikke til, at Datatilsynet har tænkt sig at gøre noget for at ændre på det faktum.
Når du offentliggør oplysninger om dig selv på Facebook
På et enkelt punkt er Datatilsynets artikel dog forholdsvis klar: Hvis man selv lægger oplysninger om eller billeder af sig selv på Facebook, så accepterer man også, at man afgiver rettighederne:
Når du offentliggør billeder af eller oplysninger om dig selv, gør du det samtidig muligt for andre at bruge oplysningerne. Datatilsynet vil som oftest ikke kunne hjælpe dig med at få andre til at slette de oplysninger eller billeder, som du selv har offentliggjort.
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Vær opmærksom på, at der står "oplysninger" i citatet. Det betyder, at der er givet frit spil, hvad angår alder, adresse, telefonnummer, interesser, oplysninger om arbejde, familie, hårfarve, politiske orientering og alt muligt andet, som du måtte have lagt ud på Facebook. Alt dette er nu i Facebooks (og muligvis alle mulige andres) hænder.
Administration gør Facebook til dataansvarlig
Hvad gælder for de oplysninger, som sociale netværk er ansvarlige for?
De sociale netværk er dataansvarlige for de oplysninger, de behandler i forbindelse med deres administration af din profil.
Danske sociale netværk er omfattet af den danske persondatalov. Det vil sige netværk, der drives af virksomheder, der hører hjemme i Danmark.
Hvis det sociale netværk hører hjemme i et land uden for EU og indsamler personoplysninger fra Danmark, gælder den danske persondatalov i nogle tilfælde.
Hvis indsamlingen af oplysninger i Danmark sker fra et socialt netværk i et andet EU-land, kan det være omfattet af det andet lands persondatalov.
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Her er det interessante første afsnit efter overskriften: ”De sociale netværk er dataansvarlige for de oplysninger, de behandler i forbindelse med deres administration af din profil.” I forbindelse med oprettelsen af en profil på Facebook har man givet netværket tilladelse til at ”administrere” oplysninger om en selv – og dermed har man også gjort Facebook til dataansvarlige.
Det skal man være forsigtig med – for hvis Facebook vælger at videresælge disse oplysninger, er det tvivlsomt, om der er nogen sanktionsmuligheder. Eller som der står i tredje afsnit: "Hvis det sociale netværk hører hjemme i et land uden for EU og indsamler personoplysninger fra Danmark, gælder den danske persondatalov i nogle tilfælde."
Så dermed ved du, at persondataloven beskytter ”i nogle tilfælde". Men hvad pokker skal du, jeg og de andre 1.2 mio. danskere på Facebook bruge "i nogle tilfælde" til? Hvornår mon ”i nogle tilfælde” træder i kraft? Der er ingen hits på ”Facebook” i Datatilsynets afgørelsesarkiv, så der er øjensynlig ingen praksis til at danne præcedens. Desuden angiver Datatilsynet selv, at ”De fleste regler i persondataloven hviler på et skøn, dvs. en konkret vurdering af, om grænserne for, hvad man kan tillade sig, er overtrådt.” (Kilde: Kort om persondataloven: www.datatilsynet.dk). Når man tager udgangspunkt i Datatilsynets vage formuleringer, så giver det en bestemt ikke ro i sindet at vide, at sådan noget er op til et skøn.
Nummeret til Zuckerberg
Hvis man så kommer i den uheldige situation, at Facebook har solgt et af de billeder, som man har uploadet, og det derefter ender i Kentucky Fried Chickens markedsføringsmateriale, så angiver artiklen, at den eneste til at tage affære er en selv. Du skal ringe til Facebook (hvis der er en, der har nummeret til Zuckerberg, så læg det gerne i kommentarfeltet. For alle tilfældes skyld):
Hvis du er utilfreds med noget, som et socialt netværk gør som dataansvarlig [eksempelvis hvis Facebook videresælger dit telefonnummer], skal du i første omgang kontakte det sociale netværk og forklare, hvad det handler om. Det gælder også, hvis du ønsker at få din profil slettet - det må du tage op med det sociale netværk, og du skal måske give dem flere oplysninger, så de er sikre på, at du er berettiget til at kræve profilen slettet.
Afhængigt af, hvor i verden det sociale netværk hører hjemme, vil Datatilsynet eventuelt kunne behandle spørgsmålet. Dette kan f.eks. ske, hvis det sociale netværk ikke vil give dig ret i noget, som du kan kræve efter persondataloven.
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Så efter at man først har givet Facebook ekstra oplysninger, så kan Datatilsynet eventuelt behandle spørgsmålet. Min konklusion bliver i stedet: Når først man har lagt sit telefonnummer op på Facebook, så har man ingen sanktionsmuligheder i forhold til videresælgelse. Facebook ejer rettighederne.
Hvis du vil være bedre beskyttet, så brug i stedet eksempelvis Berlingskes nye Din By som dit primære sociale netværk. Så er man nemlig omfattet af persondataloven - både i forhold til egen og andres offentliggørelse af oplysninger og billeder.
Når andre offentliggør oplysninger om dig på Facebook
Hvis det skulle ske, at andre lagde billeder op på Facebook, som man ikke synes, burde have været distribueret, så er artiklen så venlig at redegøre for, at her er man også ene om at skulle rede trådene ud:
Hvis du ønsker at protestere mod, at en anden person har offentliggjort oplysninger om og billeder af dig på et socialt netværk, er det i første række noget, du skal tage op med den anden person. Du bør kontakte vedkommende. Den person, som har offentliggjort oplysningerne, er ansvarlig for det og skal tage stilling til din protest.
Hvis den ansvarlige ikke vil fjerne oplysningerne - og det er en person, som bor i Danmark - vil Datatilsynet eventuelt kunne hjælpe dig. Datatilsynet kan ikke hjælpe dig med at få fjernet oplysninger, som du ikke kan kræve slettet efter persondataloven. Det kan f.eks. være udtalelser og oplysninger, som er omfattet af ytringsfriheden."
Kilde: Persondataloven og Sociale netværk, www.datatilsynet.dk
Som i alle de øvrige formuleringer gør Datatilsynet meget ud af at være så vag som muligt: Datatilsynet vil eventuelt kunne hjælpe dig. Så er der da ikke lovet for meget. Datatilsynet kunne lige så godt have skrevet: "Internettet er det vilde vesten. And there's nothing you can do about it. Punktum."
Kan det virkelig passe, at det er o.k. for Datatilsynet at skrive så vagt formuleret en regelbeskrivelse om noget, der involverer så stor en del af den danske befolkning? I så fald kan man vist konstatere, at udviklingen af lovgivningen har noget svært ved at holde trit med udviklingen af internettet.
Artiklen er skrevet på baggrund af et blogindlæg på Det Levende Ord.
