Big Data - nogle juridiske aspekter

1. Big Data- nogle juridiske aspekter Søren Sandfeld Jakobsen Professor, ph.d. Juridisk Institut Aalborg Universitet

2. Agenda • Hvad er Big Data – juridisk set? • Ejendomsretten – kan man eje data? • Persondataretten – kan persondataloven/udbudsbekendtgørelsen stille sig i vejen? • Ophavsretten – hvad nu hvis Big Data indebærer brug af beskyttet materiale? • Markedsføringsretten – beskyttelse af forretningshemmeligheder • Straffeloven (industrispionage) Søren Sandfeld Jakobsen 2014

3. Hvad er Big Data? • Big data is like teenage sex: Everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it (Dan Ariely) • Det er en udfordring, at der er et uklart regelgrundlag vedr. anvendelse af persondata. Oplevelsen er, at man ikke kan være sikker på det juridiske grundlag, når man fx køber analyser hos større aktører, der baserer sig på personlige oplysninger (Anders Reinhardt, Head of Global Business Intelligence, Velux Gruppen) Søren Sandfeld Jakobsen 2014

4. Hvad er Big Data - 2 • Kort def.: Indsamling, opbevaring, analyse, behandling og fortolkning af meget store mængder af data • Andre definitioner lægger vægt på tre nøgleord: • Volume: Refererer til de massive mængder af data, der indsamles og genereres af forskellige organisationer • Velocity: Refererer til den hastighed, som data nu kan analyseres med • Variety: Refererer til den variation af forskellige typer af data, der genereres og som potentielt kan bruges, fx data fra offentlige myndigheders hjemmesider og databaser (fx Danmarks Statistik, OIS-basen mv.), betalingspligtige databaser (fx Krak, Google Street view mv.), kunde- og leverandørdatabaser, blogs, sociale medier, data fra GPS'er, overvågningsdata etc. Søren Sandfeld Jakobsen 2014

5. Hvem ejer data? • Kan man overhovedet påberåbe sig ejendomsret til data i ”rå” forstand? • Næppe! Alle er formentlig berettiget til at råde over data – med respekt af de regler, der begrænser denne råden, navnlig persondata- og immaterialretslovgivningen • Handler altså mere om råden eller kontrol end om formelt ejerskab • Løses ofte aftaleretligt (jf. fx sociale medier/tjenesters standardvilkår om retten til at anvende brugergenerede data, som befinder sig hos tjenesten) • Ved Big Data sker der en digital indsamling af data – dvs. kopiering, ikke fysisk fjernelse/flytning af data. Allerede derfor næppe nogen ejendomsretlig krænkelse i traditionel forstand Søren Sandfeld Jakobsen 2014

6. Ophavsretten • Involverer Big Data indsamling af ophavsretsbeskyttet materiale, fx tekst eller fotos på sociale medier mv., kan det være i strid med OHL (ulovlig kopiering), hvis ej samtykke. • Vanskeligt at indhente samtykke! • Ved fx visse sociale medier (fx YouTube og Instagram) følger det af brugervilkårene, at tredjemand i et vist omfang gerne må anvende det uploadede materiale • Større og/eller gentagne og systematiske udtræk fra databaser kan være i strid med databasebeskyttelsen i OHL § 71. • Idet Big Data netop ofte er karakteriseret ved store udtræk fra forskellige databaser, udfordrer Big Data generelt databasebeskyttelsen Søren Sandfeld Jakobsen 2014

7. Markedsføringsloven/straffeloven • Beskyttelse af forretningshemmeligheder, jf. MFL § 19 • Retter sig dog primært mod personer indefra virksomheden selv (der på utilbørlig måde benytter erhvervshemmeligheder) og er derfor næppe særlig relevant • Hacking, jf. strfl § 263, stk. 2 (uberettiget adgang til oplysninger eller programmer i et informationssystem) – (forhåbentlig) næppe relevant Søren Sandfeld Jakobsen 2014

8. Persondataloven • Er kun relevant, hvis tale om ”behandling” af personhenførbare data, jf. PDL § 3, nr. 1 og 2 • Big Data vil nok altid udgøre behandling i lovens forstand • Hvis behandling af anonyme data ikke tale om personhenførbare data – og i så fald ingen problemer • Men hvis loven finder anvendelse, skal • det være klart, hvem der er dataansvarlig hhv. databehandler, • evt. jurisdiktionsspørgsmål afklares (hvis lands regler?), • de grundlæggende principper for al behandling være opfyldt, • der være positiv hjemmel til behandlingen, • den registreredes grundrettigheder respekteres, • der evt. ske anmeldelse til Datatilsynet Søren Sandfeld Jakobsen 2014

9. Persondataloven 2 • Grundprincipper, jf. PDL § 5 • Navnlig kravene om formålsbestemthed og proportionalitet udfordres ved Big Data • Hjemmel, jf. §§ 6-8 • Samtykke ofte ikke muligt eller realistisk • Alm. data: interesseafvejningsreglen afgørende! • Følsomme data: svært at finde hjemmel! • Persondata, som den registrerede selv har offentliggjort (fx på sociale medier), må frit anvendes • Den registreredes grundrettigheder, §§ 28-31 • Hvordan opfyldes særligt oplysningsretten? • Anmeldelse til Datatilsynet • For private virksomheder som HR kun hvis behandling af følsomme data, jf. § 49 Søren Sandfeld Jakobsen 2014

10. Udbudsbekendtgørelsen • Snævre muligheder for teleudbydere for at anvende trafik- og lokaliseringsdata! • Trafikdata må kun anvendes mhp. debitering og afregning for samtrafik • Ellers kræves samtykke • Lokaliseringsdata må kun bruges, hvis de er gjort anonyme eller der er givet samtykke • Trafik- og lokaliseringsdata må som klar HR heller ikke videregives Søren Sandfeld Jakobsen 2014

11. Afslutning • Som jurist skal man ifm. Big Data nøje overveje • Er der tale om personhenførbare data? • Hvis ja, er det så følsomme eller ikke-følsomme data? • Og hvordan sikrer man sig så, at man overholder grundprincipperne for al databehandling og den registreredes grundrettigheder? • Samt udbudsbekendtgørelsen (for teleudbydere)? • Foretager man udtræk fra beskyttede databaser, jf. OHL § 71? • Endnu ingen praksis på området, så tale om ubetrådt grund! Søren Sandfeld Jakobsen 2014