GDPR-chikane

Indsigtsretten i persondataforordningen er fornuftig og vigtig, og den skaber gennemsigtighed for de registrerede – men flere eksempler viser, at den også egner sig glimrende til chikane, skriver Jakob Dedenroth Bernhoft i denne uges ’Privacy på spidsen’.

TV2.dk kunne for få dage siden berette om, at en daginstitution var blevet anmodet om at fremskaffe alle billeder og videoer af et barn, som havde gået i institutionen. Det var barnets forældre, som havde bedt om det med henvisning til persondataforordningens regler om indsigt i persondata. Et billede er nemlig også persondata.

Det skulle efter sigende betyde, at den pågældende institution nu skal gennemgå 6000 billeder og 335 videoer for at identificere barnet og sløre alle andre genkendelige børn, der optræder sammen med barnet.

Årsagen til sløringen er, at man som dataansvarlig ikke må udlevere persondata til andre end den registrerede person, med mindre vedkommende har givet samtykke til det. Så her er problemet, at institutionen ikke må give forældre et billede med barnet, hvis der også optræder andre genkendelige børn på billedet. De andre børn skal derfor sløres.

I udgangspunktet fornuftigt
Indsigtsretten fremgår af artikel 15 i persondataforordningen og er en af de mange rettigheder, man har som registreret person. Bestemmelsen er i udgangspunktet fornuftig nok, for det skal være gennemsigtigt for den registrerede person, hvem der behandler vedkommendes persondata. Denne rettighed er så vigtig, at man har valgt at nævne den i indgangsbønnen til persondataforordningen, nemlig i artikel 5.

Artikel 15 indeholder imidlertid ikke nogen stopklods. Alle kan bede en dataansvarlig om indsigt i vedkommendes personoplysninger uden nogen særlig årsag. Og det er ganske gratis og med en frist for den dataansvarlige på 30 dage.

Der er ikke noget i vejen for, at den dataansvarlige, som bliver bedt om indsigt i persondata, drøfter med den registrerede person, hvad det er for oplysninger, som vedkommende er nærmere interesseret i. Det kan være med til at begrænse den dataansvarliges arbejde med at finde de pågældende persondata frem, og den registrerede person undgår på den anden side at få tonsvis af materiale, hvis det i virkeligheden blot er få data, vedkommende skal bruge. Det kan fungere, hvor den registrerede person har en reel interesse i at få indsigt.

Chikane
Desværre har man set eksempler på, at en registreret person beder om indsigt bare for at chikanere. I Norge rygtes det, at nogle fagforeninger er begyndt at bede medlemmernes tidligere arbejdsgiver om indsigt i al persondata vedrørende det pågældende medlem.

Det foregår således, at hvis et medlem er blevet opsagt og mener, at opsigelsen er uberettiget, kontakter medlemmet fagforeningen for at få rådgivning og eventuel assistance til at føre en sag. Fagforeningen indleder en dialog med den pågældende arbejdsgiver om sagen. Så langt så godt. Det er sådan, spillereglerne er på det arbejdsretslige område.

Fagforeningerne har imidlertid fundet en ’kreativ’ måde at bruge persondataforordningen på. De beder den tidligere arbejdsgiver om indsigt i medlemmets persondata. Ikke nødvendigvis, fordi de har brug for det. De ved, at det sætter arbejdsgiveren på overarbejde. Og i nogle tilfælde har fagforeningen fuldt overblik over, hvad det er for persondata, som arbejdsgiveren ligger inde med om medlemmet. Så hvis arbejdsgiveren ikke rammer plet, ikke får opsporet al persondata om medlemmet, så går fagforeningen bare videre til det norske Datatilsyn med en klage. Så ud over at arbejdsgiveren måske har brugt mange ressourcer på at fremfinde persondata, så får han også lige en sag på halsen.

Ikke fair
Er der ikke en vej ud af dette for arbejdsgiveren? Jo, den sidder fagforeningen med, for i forbindelse med begæringen om indsigt, så fremsætter fagforeningen samtidig tilbud om at frafalde begæringen, hvis arbejdsgiveren betaler et beløb, som svarer til en eller flere månedslønninger. Og så kan medlemmet med fagforeningen i hånden gå grinende ned i banken.

Er der fair? Nej, for sådan havde det aldrig været tiltænkt at indsigtsreglerne skulle bruges. Det havde man ikke lige tænkt på, da man skrev forordningen. Reel beskyttelsesværdig indsigt, jo tak, men da ikke til brug for chikane…

Kan udløse konkurser
Tilbage til sagen om daginstitutionen. Jeg kender ingenting til baggrunden for, at forældrene beder om indsigt i billeder og videoer. Baggrunden kan være helt reel, eller det kan være chikane. Lad os nu sige, det er for at chikanere daginstitutionen, så har de da ramt plet

Landsorganisationen Danske Daginstitutioner (LDD) mener, at lignende sager kan udløse konkurser blandt daginstitutionerne. Og man må sige, at den pågældende institution må være kommet på overarbejde ved at skulle gennemgå 6000 billeder og 335 videoer.

Men hvorfor har institutionen egentlig så mange billeder og videoer liggende? Hvorfor ikke bare billeder og videoer for den sidste måneds tid. Formålet med at gøre billeder og videoer tilgængelige er ifølge TV2-artiklen, at forældre til børnene kan følge lidt med i, hvad der sker med de små poder, mens de er i intuitionen.

Slet dog billederne
Hvis det er formålet, så mener jeg det er svært at forsvare, at institutionen – at dømme efter antallet af billeder og videoer – har billeder og videoer for adskillige år liggende. Der gælder et princip om opbevaringsbegrænsning, og man kunne vel argumentere for, at offentliggjorte billeder og videoer har udtømt deres formål efter ganske få uger, og at de derefter skal slettes. Og vupti, så er arbejdet med at finde billeder og videoer frem til forældrene pludselig blevet en lille opgave.

Det ændrer dog ikke ved, at indsigtsretten er ganske god til chikane, og det er noget, som jeg mener, at man skal have set på. Der skal indbygges nogle stopklodser i indsigtsretten, så den ikke bare varetager den registreredes interesser, men også et hensyn til den dataansvarlige. Ellers ender vi med den rene GDPR-chikane.

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle