Forhindrer forretningshemmeligheder indsigt i persondata?

Med henvisning til forretningshemmeligheder har pensionsselskab afvist at give indsigt i lægekonsulents vurdering af en sag. Men er det et gyldigt argument? Formand for IT-Politisk Forening kommenterer sagen her.

Kan en begrundelse om at beskytte forretningshemmeligheder bruges som argument for at nægte folk indsigt i deres persondata? Det har vi talt med formand for IT-Politisk Forening Jesper Lund om.

IT-Politisk Forening arbejder for at »styrke borgernes rettigheder og frihed i informationssamfundet,« som det hedder på foreningens hjemmeside.

Først lidt baggrund. Spørgsmålet om forretningshemmeligheder versus indsigt i persondata er aktuelt i forbindelse med en principiel sag i Datatilsynet, som Version2 kunne berette om i forrige uge. En pensionskunde er nægtet indsigt i dokumenter vedrørende vedkommendes egen pensionssag.

Konkret har kunden søgt indsigt i en rapport udarbejdet af en lægekonsulent, samt i den ledsagende interne korrespondance hos Juristernes og Økonomernes Pensionskasse (JØP).

I dokumenter som Version2 er i besiddelse af, argumenterer JØPs advokat for at nægte indsigtsret ved at henvise til databeskyttelsesforordningens bestemmelser om forretningshemmeligheder, samt bestemmelser i databeskyttelsesloven om virksomheders forretningsgrundlag og -praksis.

Datatilsynet forventer at træffe en afgørelse i sagen om halvanden måneds tid, så i mellemtiden har Version2 bedt Jesper Lund, om at kommentere sagen.

Så hold fast og spænd lovhjelmen på, vi skal ud på en bumlet vej brolagt med lovgivningsmæssige detaljer og spidsfindige lovfortolkninger, der forsøger at forbinde individets rettigheder med virksomhedernes forretningsgrundlag.

Forretningshemmelighed som værn mod indsigt?

JØPs advokats begrundelse for at nægte indsigt i lægekonsulentens vurderinger og tilhørende korrespondance grundet forretningshemmeligheder sker med henvisning til databeskyttelsesforordningens artikel 15, stk. 4 hvori det hedder »Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.«

Der står altså ikke noget direkte om forretningshemmeligheder, men i en såkaldt præambelbetragtning nr. 63 til databeskyttelsesforordningen fremgår, at sådanne rettigheder omfatter forretningshemmeligheder.

Præambelbetragtninger har til hensigt at forklare baggrunden og formålet med en forordning og i nr. 63 hedder det blandt andet:

»Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af.«

Det gælder imidlertid kun for andres forretningshemmeligheder, ikke den dataansvarliges egne forretningshemmeligheder, argumenterer Jesper Lund og henviser til en vejledning fra EUs Artikel 29-Gruppe, som blev nedsat for at rådgive om databeskyttelse og privatlivets fred.

I vejledningen hedder det på side 18:

»Dataansvarlige kan dog ikke påberåbe sig beskyttelse af deres forretningshemmeligheder som en undskyldning for at nægte at give den registrerede adgang eller oplysninger.«

Automatiske beslutninger og forretningshemmeligheder

Bed du i øvrigt mærke i formuleringen »navnlig den ophavsret, som programmerne er beskyttet af« fra præambelbetragtning nr. 63?

Præambelbetragtning nr. 63 omtaler forretningshemmeligheder i forbindelse med »logikken der ligger bag en automatisk behandling af personoplysninger«, og Jesper Lund undrer sig da også over, at JØPs advokat henviser til præambelbetragtning nr. 63 og forretningshemmeligheder.

»I forhold til præambelbetragtning 63 havde jeg forestillet mig, at begrundelsen om forretningshemmeligheder ville blive anvendt i forhold til eksempelvis algoritmer i forbindelse med automatiske afgørelser, hvor indsigtsretten omfatter ‘meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.’, jf. GDPR artikel 15, stk. 1, litra h.,« skriver Jesper Lund i en mail til Version2.

Artikel 29-Gruppen ser også præambelbetragtning nr. 63 som primært rettet mod ophavsret til programmer:

»Betragtning 63 sikrer de dataansvarlige en vis beskyttelse med hensyn til at afsløre forretningshemmeligheder og af intellektuel ejendomsret, der kan være særlig relevant i forbindelse med profilering. Det anføres i betragtningen, at denne indsigtsret ikke bør ‘krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af.’«

I de dokumenter Version2 har set, er der ikke umiddelbart noget der indikerer, at lægekonsulenten har benyttet profilering eller automatiske afgørelser i sin vurdering, men da Version2 ikke har set lægekonsulentens rapport og tilhørende korrespondance, har vi spurgt JØP, om pensionsselskabet og/eller deres lægekonsulenter anvender software til at profilere/udregne en score for pensionskunder, der ansøger om en ydelse.

JØP oplyser, at selskabet ikke anvender scoring/profiler i forbindelse med afgørelse om hvilken ydelse en pensionskunde skal tildeles. Læs mere her.

Brede undtagelser i databeskyttelsesloven

Udover begrundelsen om forretningshemmeligheder henviser JØPs advokat til databeskyttelseslovens §22 og tilhørende bemærkninger, der omhandler begrænsninger i registreredes muligheder for at få indsigt i egne data:

»Det fremgår af bemærkningerne til § 22, stk. 1, i forslaget til databeskyttelsesloven, at en dataansvarlig i en række tilfælde vil kunne nægte at udlevere personoplysninger i forbindelse med
en indsigtsanmodning, hvis den dataansvarlige virksomheds forretningsgrundlag eller
forretningspraksis vil lide væsentlig skade.«

Databeskyttelsesloven lægger en række begrænsninger på muligheden for indsigt i data som der ellers er lagt op til i databeskyttelsesforordningen. IT-Politisk Forening protesterede da også i et høringssvar til loven i 2017 mod de mange undtagelser for dataindsigt.

Foreningen fik dog ikke meget ud af sine protester, og Jesper Lund vurderer da også, at JØPs advokat har gode muligheder baseret på §22, som har nogle ret brede undtagelser fra indsigtsretten.

»Som § 22 i databeskyttelsesloven er formuleret, er det temmelig uklart hvilke begrænsninger som kan blive indfortolket her. Folketinget har vedtaget nogle ret brede og generelle undtagelser fra indsigtsretten - selv om GDPR artikel 23 forlanger specifikke undtagelser,« lyder det fra Jesper Lund.

Han henviser blandt andet til at Metro Service for nylig fik medhold i, at en anmodning om indsigt i optagelser fra TV-overvågning kunne afvises grundet hensynet til den offentlige sikkerhed og efterforskning af strafbare forhold.

»Det skete selvom Metro Service ikke beskæftiger sig med hverken den offentlige sikkerhed eller politimæssig efterforskning,« siger Jesper Lund og fortsætter:

»På den baggrund er det ikke utænkeligt, at Datatilsynet vil mene at indsigtsretten kan begrænses på grund af ikke nærmere definerede hensyn til JØP.«

Ekstra indsigtsret ved AI, men …

Uanset hvilken afgørelse Datatilsynet når frem til, viser den principielle pensionssag, at henvisning til forretningshemmeligheder er noget, som vil blive anvendt til at begrænse retten til at få indsigt i egne data.

Der har gennem længere tid været fokus på AI der kan anvendes til at træffe automatiske afgørelser, og behovet for at AI-systemernes beslutninger kan forklares og forstås af mennesker.

»Automatiserede beslutninger uden en menneskelig indblanding eller forståelse vil lade hånt om europæiske ideer om autonomi og menneskelig værdighed,« som det eksempelvis hedder i en artikel fra International Data Privacy Law.

En af hensigterne med GDPR var at sikre muligheden for indsigt i automatiske afgørelser.

»Når der er tale om en automatisk afgørelse giver GDPR nogle ekstra rettigheder i forhold til
indsigt, nemlig retten til som minimum at modtage ‘meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.’,« forklarer Jesper Lund med henvisning til artikel 15 i GDPR

Han har dog nogle forbehold for, hvorvidt det rent faktisk vil ske:

»Undtagelsen fra indsigtsretten for forretningshemmeligheder vil utvivlsomt blive et væsentligt stridspunkt, når AI vinder frem, og den registrerede vil have ‘meningsfulde oplysninger om logikken’ vedrørende de anvendte algoritmer. Hvis hensynet til forretningshemmeligheder desuden kan bruges direkte på personoplysninger, for eksempel en AI-beregnet score for kreditværdighed eller lignende - fordi denne score måske kan afsløre noget om algoritmen, der er en forretningshemmelighed - vil ganske væsentlige dele af det, som GDPR skal beskytte, blive udvandet. Det vil være en meget bekymrende udvikling.«

Jesper Lund forudser, at vi kommer til at se retssager i den forbindelse, der kommer hele vejen til EU-Domstolen.

En vej, brolagt med lovgivningsmæssige detaljer og spidsfindig lovfortolkning, som forsøger at forbinde individets rettigheder med virksomhedernes forretningsgrundlag i en stadig mere digitaliseret verden.

Artiklen er opdateret efter JØP er vendt tilbage med et svar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Tung og deprimerende kost, men super gennemgang af de relevante paragraffer, man skal have ved hånden, når man møder den frygtede sorte bjælke i sine aktindsigtssvar. Er straks printet ud og sat ind i min private håndbog for dataaktivister. Ikke at jeg gør mig forhåbninger om at kunne hamle op med bjælkemalerne rent juridisk - men man kan da altid forsøge at bluffe lidt med et par velvalgte paragraffer og citater - det har i enkelte tilfælde virket...

Men som frygtet kan GDPR godt vise sig at være lidt af en papirtiger - både pga. at osten består mest af huller, og fordi viljen til at håndhæve GDPR kan ligge et meget lille sted i Danmark.

  • 9
  • 1
Bjarne Nielsen

Af bitter erfaring, så vil jeg overlade juraen til de mere kyndige, for jeg prøver hele tiden at bruge sund fornuft og rimelighedsbetragtninger - og det kommer der sjældent noget godt ud af, når der er jura og paragraffer involveret.

Lad mig i stedet pege på, at slaget nærmest er tabt rent sprogligt, i og med at vi taler om forretningshemmeligheder vs. persondata. Udgangspunktet ville være et helt andet, hvis vi i stedet snakkede om forretningsdata og personhemmeligheder. Er det rimeligt? Ups, der gjorde jeg det igen, altså lavede en rimelighedsbetragtning.

Apropos, så har jeg været med på en lytter i en agtindsigt, hvor en offentlig aktør nærmest tiggede en privat virksomhed om at sige ordet 'forretningshemmelighed', for ellers ville samme aktør være tvunget til at udlevere oplysninger til agtindsigten. Og sjovt nok, så var der senere i materialet sorte bjælker i aktørens materiale med henvisning til førnævnte firmas 'forretningshemmeligheder'. Jeg kan af gode grunde ikke sige, om det var rimeligt (sic!), men jeg husker at det forekom mig utroligt bekvemt, at man som offentlig aktør kunne undslå sig indsigt på den måde bare ved at have været forudseende nok til at få en privat virksomhed med.

  • 10
  • 0
Anne-Marie Krogsbøll

Lad mig i stedet pege på, at slaget nærmest er tabt rent sprogligt, i og med at vi taler om forretningshemmeligheder vs. persondata. Udgangspunktet ville være et helt andet, hvis vi i stedet snakkede om forretningsdata og personhemmeligheder. "

Super pointe, Bjarne Nielsen.

  • 2
  • 0
Yoel Caspersen Blogger

agtindsigt

Ja, det er vel egentlig det, det handler om, selv om det primært er akterne, man typisk beder om ;)

Undskyld - jeg kunne ikke lade være, nu hvor du selv bragte det sproglige i fokus. Og ja, juraen er en svær størrelse, nogle gange kunne man godt kortvarigt ønske sig tilbage til ordlyden og ånden i Jyske Lov.

  • 8
  • 1
Simon Mikkelsen

Af bitter erfaring, så vil jeg overlade juraen til de mere kyndige, for jeg prøver hele tiden at bruge sund fornuft og rimelighedsbetragtninger

Jura handler ikke om at have ret men om at få ret.

Der er ikke de store forskelle på jura og en krig, bortset fra at de bruger forskellige våben og krigslist der kan være alt fra paragraffer og patenter til måder at få modparten må give op.

  • 6
  • 0
Henrik Biering Blogger

... men den mangler desværre stadig at redegøre for hvordan en vurdering af en specifik persons sag som kan betragtes som en forretningshemmelighed, når lov om forretningshemmeligheder entydigt fastslår at oplysningerne skal have handelsværdi, fordi de er hemmelige.

Kan pensionsselskabet redegøre for denne handelsværdi, som man mener at miste, hvis personen fik indsigtsret? Hvem er det man vil sælge disse specifikke personoplysninger til? Og hvor man mener at kunne miste denne handelsværdi qua personens indsigtsret.

At oplysningerne kan have en værdi ved at skævvride afgørelser for de personer, der ikke ender med at føre retssag mod selskabet er helt evident. Men det kan næppe betegnes som en handelsværdi.

  • 11
  • 0
Log ind eller Opret konto for at kommentere