Big Data - nogle juridiske aspekter Søren Sandfeld Jakobsen Professor, ph.d. Juridisk Institut Aalborg Universitet

Søren Sandfeld Jakobsen 2014 Agenda Hvad er Big Data – juridisk set? Ejendomsretten – kan man eje data? Persondataretten – kan persondataloven/udbudsbekendtgørelsen stille sig i vejen? Ophavsretten – hvad nu hvis Big Data indebærer brug af beskyttet materiale? Markedsføringsretten – beskyttelse af forretningshemmeligheder Straffeloven (industrispionage) Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Hvad er Big Data? Big data is like teenage sex: Everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it (Dan Ariely) Det er en udfordring, at der er et uklart regelgrundlag vedr. anvendelse af persondata. Oplevelsen er, at man ikke kan være sikker på det juridiske grundlag, når man fx køber analyser hos større aktører, der baserer sig på personlige oplysninger (Anders Reinhardt, Head of Global Business Intelligence, Velux Gruppen) Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Hvad er Big Data - 2 Kort def.: Indsamling, opbevaring, analyse, behandling og fortolkning af meget store mængder af data Andre definitioner lægger vægt på tre nøgleord: Volume: Refererer til de massive mængder af data, der indsamles og genereres af forskellige organisationer Velocity: Refererer til den hastighed, som data nu kan analyseres med Variety: Refererer til den variation af forskellige typer af data, der genereres og som potentielt kan bruges, fx data fra offentlige myndigheders hjemmesider og databaser (fx Danmarks Statistik, OIS-basen mv.), betalingspligtige databaser (fx Krak, Google Street view mv.), kunde- og leverandørdatabaser, blogs, sociale medier, data fra GPS'er, overvågningsdata etc. Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Hvem ejer data? Kan man overhovedet påberåbe sig ejendomsret til data i ”rå” forstand? Næppe! Alle er formentlig berettiget til at råde over data – med respekt af de regler, der begrænser denne råden, navnlig persondata- og immaterialretslovgivningen Handler altså mere om råden eller kontrol end om formelt ejerskab Løses ofte aftaleretligt (jf. fx sociale medier/tjenesters standardvilkår om retten til at anvende brugergenerede data, som befinder sig hos tjenesten) Ved Big Data sker der en digital indsamling af data – dvs. kopiering, ikke fysisk fjernelse/flytning af data. Allerede derfor næppe nogen ejendomsretlig krænkelse i traditionel forstand Sml. § 90 i den tyske BGB Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Ophavsretten Involverer Big Data indsamling af ophavsretsbeskyttet materiale, fx tekst eller fotos på sociale medier mv., kan det være i strid med OHL (ulovlig kopiering), hvis ej samtykke. Vanskeligt at indhente samtykke! Ved fx visse sociale medier (fx YouTube og Instagram) følger det af brugervilkårene, at tredjemand i et vist omfang gerne må anvende det uploadede materiale Større og/eller gentagne og systematiske udtræk fra databaser kan være i strid med databasebeskyttelsen i OHL § 71. Idet Big Data netop ofte er karakteriseret ved store udtræk fra forskellige databaser, udfordrer Big Data generelt databasebeskyttelsen Fra OIS’ brugervilkår: ”Data fra www.ois.dk må alene tilgås manuelt som enkeltopslag, og enhver automatiseret indhentning af data fra denne side er således ikke tilladt.” Søren Sandfeld Jakobsen 2014

Markedsføringsloven/straffeloven Beskyttelse af forretningshemmeligheder, jf. MFL § 19 Retter sig dog primært mod personer indefra virksomheden selv (der på utilbørlig måde benytter erhvervshemmeligheder) og er derfor næppe særlig relevant Hacking, jf. strfl § 263, stk. 2 (uberettiget adgang til oplysninger eller programmer i et informationssystem) – (forhåbentlig) næppe relevant Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Persondataloven Er kun relevant, hvis tale om ”behandling” af personhenførbare data, jf. PDL § 3, nr. 1 og 2 Big Data vil nok altid udgøre behandling i lovens forstand Hvis behandling af anonyme data ikke tale om personhenførbare data – og i så fald ingen problemer Men hvis loven finder anvendelse, skal det være klart, hvem der er dataansvarlig hhv. databehandler, evt. jurisdiktionsspørgsmål afklares (hvis lands regler?), de grundlæggende principper for al behandling være opfyldt, der være positiv hjemmel til behandlingen, den registreredes grundrettigheder respekteres, der evt. ske anmeldelse til Datatilsynet Ved Big Data, hvor flere aktører kan indgå, og hvor oplysningerne kan hidrøre fra mange databaser, sociale medier osv., kan det være vanskeligt at afgøre, hvem der er dataansvarlig/databehandler Geomatic fremhæver blandt andet, at data fra sociale medier kan bruges til at kortlægge, om potentielle låntagere eller forsikringstagere udviser såkaldt hasarderet adfærd. Eller til at kortlægge, hvordan forskellige typer af kunder bruger nettet og kommer ind på virksomhedernes egne hjemmesider (hvilket igen skaber mulighed for at målrette online markedsføringen på fx Google og Facebook). Trafik og online salg giver til sammen en stor mængde af data om kunder og marked, som SAXO.com bruger til at målrette sin markedsføring. Dette gøres ved at supplere SAXO.com´s egne data med demografiske data om bl.a. kundernes indkomst, løn, husstand, alder og geografiske lokalisering (der hentes fra User Report, der opsamler data på nettet). Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Persondataloven 2 Grundprincipper, jf. PDL § 5 Navnlig kravene om formålsbestemthed og proportionalitet udfordres ved Big Data Hjemmel, jf. §§ 6-8 Samtykke ofte ikke muligt eller realistisk Alm. data: interesseafvejningsreglen afgørende! Følsomme data: svært at finde hjemmel! Persondata, som den registrerede selv har offentliggjort (fx på sociale medier), må frit anvendes Den registreredes grundrettigheder, §§ 28-31 Hvordan opfyldes særligt oplysningsretten? Anmeldelse til Datatilsynet For private virksomheder som HR kun hvis behandling af følsomme data, jf. § 49 God databehandlingsskik: Databehandlingen skal være rimelig og lovlig Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt Datakvalitet: Fornøden ajourføring og kontrol. Sikre sig, at der ikke behandles urigtige eller vildledende oplysninger – foretage berigtigelse Sletning: når man ikke længere har brug for oplysningerne Alm. data må bl.a. behandles, hvis behandlingen er nødvendig for, at den dataansvarlige kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse (interesseafvejningsreglen) Pligt for den dataansvarlige til at give oplysninger ved indsamling (iflg. Data tilsynets indenfor 10 dage efter indsamling) - §§ 28 og 29 Ret til indsigt i oplysninger om en selv - § 31 Ret til at gøre indsigelse - § 35 Ret til at kræve urigtige oplysninger rettet, slettet eller blokeret - § 37 Ret til at tilbagekalde et samtykke - § 38 Søren Sandfeld Jakobsen 2014

Udbudsbekendtgørelsen Snævre muligheder for teleudbydere for at anvende trafik- og lokaliseringsdata! Trafikdata må kun anvendes mhp. debitering og afregning for samtrafik Ellers kræves samtykke Lokaliseringsdata må kun bruges, hvis de er gjort anonyme eller der er givet samtykke Trafik- og lokaliseringsdata må som klar HR heller ikke videregives Søren Sandfeld Jakobsen 2014

Søren Sandfeld Jakobsen 2014 Afslutning Som jurist skal man ifm. Big Data nøje overveje Er der tale om personhenførbare data? Hvis ja, er det så følsomme eller ikke-følsomme data? Og hvordan sikrer man sig så, at man overholder grundprincipperne for al databehandling og den registreredes grundrettigheder? Samt udbudsbekendtgørelsen (for teleudbydere)? Foretager man udtræk fra beskyttede databaser, jf. OHL § 71? Endnu ingen praksis på området, så tale om ubetrådt grund! Søren Sandfeld Jakobsen 2014