GDPR – et benspænd i dagligdagen

I denne kommentar dykker Jakob Dedenroth Bernhoft lidt dybere ned i Datatilsynets 40 svar på kommunernes 40 benspænd og finder djævlen i detaljen.

”GDPR-benspænd”: KL som spørger og Datatilsynet som giver svarerne. Et rigtig godt initiativ fra begge sider, synes jeg, men belyser desværre også, at GDPR er besværlig at arbejde med i dagligdagen. Det er to verdener som støder sammen. Den virkelige verden mod den mere luftige juridiske.

GDPR er i teorien god, men svær i dagligdagen
GDPR er utrolig upræcis og giver kun ganske lidt vejledning i, hvordan reglerne skal bruges i praksis. Fx må persondata kun gemmes så længe, at det er ”nødvendigt”. Det kan man bruge lang tid at overveje hvad er, for det står der ikke noget om i GDPR.

Det har et taxaselskab for et stykke tid siden måtte sande, da de fik udstukket en bøde fra Datatilsynet på 1.2 mio. kr. Efter min opfattelse havde de end ikke ramt skiven i deres vurdering af ”nødvendig”, men det fremgår af sagen, at de faktisk havde overvejet det og var kommet frem til en konklusion, som de mente var rigtigt. Det var den bare ikke. Den var til gengæld dyr.

Djævlen ligger i detaljen
KL er nu kommet med et problemkatalog med 40 spørgsmål, som Datatilsynet efterfølgende har kommenteret, nemlig ”GDPR-benspænd”. Et prisværdigt initiativ fra begge sider. Som det fremgår af indledningen: ”Datatilsynet offentliggør her en gennemgang af samtlige 40 benspænd med konkrete svar på, hvad der er op og ned.” Ja, det er konkrete svar, som vi har brug for, men nærlæser man svarerne, så er de ikke så konkrete. Det er som bekendt i detaljen, at djævlen ligger.

Se fx spørgsmål 1: "Medarbejdere i botilbud er i tvivl om, hvorvidt det er lovligt efter GDPR at hænge aktivitetsoversigter op, der viser, hvilke beboere der deltager i hvilke aktiviteter."

Her svarer Datatilsynet: ”Det vil normalt være uproblematisk at hænge sådan en oversigt op, fordi oplysningerne om, hvilken borger der deltager i hvilken aktivitet, ikke er følsomme eller i øvrigt særligt beskyttelsesværdige oplysninger. Endvidere tjener oversigten et sagligt formål”

Her har djævlen ”normalt” sneget sig ind. Hvad hvis der står, at Lars og Jens skal, til aktiviteten ”Lær at styre dit alkoholmisbrug”. Er alkoholmisbrug en sygdom og dermed en følsom oplysning? Eller måske ”fortrolig”, som er lidt mindre på ”følsomhedsskalaen” og heller ikke af den grund skal fremgå af aktivitetsoversigten?

Hvad hvis bostedet kun er for misbrugere, så vil oplysningen om ”misbrug” næppe være så problematisk, men det kunne også være et bosted for mennesker med alle typer af sygdomme og ikke bare misbrug. En aktivitet kunne være ”Resocialisering for tidligere narkomaner”. Bør det behandles mere fortroligt end alkoholmisbrug, fordi alkoholmisbrug er mere almindeligt og ikke så socialt stigmatiserende? Hvad hvis pårørende også kan se listen, når de kommer på besøg? Bør den så uanset hvad fjernes?

Det sikreste vil nok være at skrive at Lars og Jens skal møde op i lokale A.

GDPR duer ikke i dagligdagen
Min pointe er, at GDPR er til tider urimelig besværlig. I botilbuddet ovenfor er det sikkert pædagoger, som skal foretage et skøn i dagligdagen uden noget særlig godt fundament. De skal bare ringe til deres DPO. Jo, men denne vil ofte være i tvivl.

Hvis jeg skal være ærlig: der findes rigtig mange, som spekulerer i, at opdagelsesrisikoen er lille. Normalt ikke i den egentlig administration, men ude ved skranken hos den som hænger aktivitetsoversigterne op. Og så er der endnu flere, som ikke aner, at de overtræder GDPR i dagligdagen.

Jeg har en pårørende, som var indlagt på hospitalet sidste sommer. Han var udstyret med et hospitalsarmbånd, hvor hans CPR stod at læse for alle der passerede ham. Uddeling af medicin foregik på en måde, så alle hurtigt blev klar over, hvem på afdelingen, som fik hvilken medicin. Nogle fik Litium og hvis man har set tv-serien Homeland, så ved man, at Carrie fik Litium fordi hun var Bipolar (maniodepressiv, som det hed i gamle dage)

Pragmatisme fra Datatilsynet
Jeg vil dog til Datatilsynets forsvar sige, at der er udvist pragmatisme og givet mange fornuftige og nogenlunde klare svar. Langt mere fornuftige end jeg har stødt på hos selvudråbte eksperter i GDPR. Det er ligesom, at GDPR bliver mere og mere indviklet jo klogere en ekspert, som man taler med.

Vi er dog stadig oppe imod det, som Datatilsynet skriver i indledningen:  

”Datatilsynet tager et generelt forbehold for, at der kan være helt konkrete forhold i de enkelte situationer, der gør, at det vil være mest rimeligt over for borgeren at foretage en anden vurdering”

Himmelsk for jurister
Så når der i et af svarerne står ”ja”, så kan det godt være, at man skal nå frem til at svaret i virkeligheden er ”nej”! Det er jo udfordringen i virkelighedens verden. Den er jo fyldt med helt ”konkrete forhold i de enkelte situationer”. Og det gør, at den virkelige verden er rigtig besværlig.

Jeg vil slutte af med et citat fra Kasper Skaannings artikel: ”Hjemmesidekrig mellem KL og Datatilsynet” som er tilgængelig her.

”Hun (red. Direktør for Datatilsynet Cristina Angela Gulisano) peger på, at reglerne i GDPR generelt er fleksible og kan tilpasses de mange forskellige situationer, hvor man behandler personoplysninger. Det betyder til gengæld også, at reglerne ikke tager stilling til konkrete scenarier og teknologier, og at man som dataansvarlig selv skal foretage en vurdering af, hvad der er nødvendigt og rimeligt over for borgerne.”

 Himmelsk for os jurister og et helvede for alle andre – sat på spidsen, men det er også min opgave her.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle