Har Pyrus tjek på GDPR?

Næppe og det er han nok også helt ligeglad med. Hvad med rigsarkivar Bertramsen? Ham som styrer Rigsarkivet i julekalenderen. Han skal have godt styr på GDPR, for Rigsarkivet indeholder tonsvis af persondata. Og ikke nok med det, så findes der mange hundrede lokalarkiver rundt om i landet, hvor det bugner med persondata. De skal også have godt styr på GDPR. Man skulle tro at mastodonten på området – Rigsarkivet – har de største udfordringer med GDPR, men faktisk er det omvendt: det er de mindste arkiver, som har de største problemer.

Et af de grundlæggende principper i GDPR er, at persondata ikke må opbevares i længere tid end det, der er nødvendig i forhold til de formål, der er med at oplysninger behandles. Det fremgår af artikel 5, nr. 1 litra e. Af bestemmelsen fremgår imidlertid også, at ”personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse”.  Og kigger man i Databeskyttelseslovens § 14, så fremgår det, at oplysninger, der er omfattet af loven, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Jeg skal ikke gennemgå arkivlovgivningen her, men se på lokalarkiverne. Dem er der over 500 af rundt om i landet. De er ofte organiseret som private foreninger med fokus på lokalområdes skriftlige historiske materiale.

De private lokalarkiver er ikke omfattet af de samme regler som Rigsarkivet og andre arkiver i offentlig regi. Der findes ikke særlig lovgivning for lokalarkiverne, og det er de helt almindelige GDPR-regler, som gælder for dem. Det giver en række udfordringer.

I denne uge var det fremme, at lokalarkiverne ikke kan offentliggøre billeder med personer uden personernes tilladelse. Det er jeg ikke sikker på holder. Datatilsynet meldte ud i september 2019, at spørgsmålet, om der vil kunne ”offentliggøres et billede på internettet – uden samtykke fra den berørte person – vil bero på en helhedsvurdering af billedet og formålet med offentliggørelsen”. Jeg kan ikke se, at der så skulle være noget i vejen for at lægge billedet af lilleput årgang 1961 ud på nettet ud med hjemmel i en interesseafvejning. Spørgsmålet er så, om Datatilsynets udmelding også gælder andre medier, som fx bøger? Det ville være ulogisk, hvis reglerne her skulle være anderledes.

Man skal også være opmærksom på, at GDPR kun gælder afdøde personer i 10 år efter vedkommendes død. Så ældre billeder vil ikke komme i karambolage med GDPR.

Jeg kan til gengæld se andre problemstillinger. Fx i forhold til at modtage billeder, og hvor lokalarkivet bliver dataansvarlig. Så gælder oplysningsforpligtelserne i GDPR overfor de personer, som er på billederne. Det bliver lidt af en opgave at finde frem til dem, som var lilleputter årgang 1961.

Hvad med opbevaringsbegrænsning? Et af de grundlæggende principper i GDPR er, at persondata ikke må opbevares i længere tid end det, som er nødvendig i forhold til de formål, der er med at oplysninger behandles. Et lokalarkivs formål er jo for altid at gemme det skriftlige materiale, som de har modtaget. Kan man så på den baggrund nå frem til, at der ikke skal slettes persondata, som de ligger inde med? Ja, det ville jo være fair nok, men jeg tror det er at presse reglen om opbevaringsbegrænsning helt ud til det yderste. Eller hvad?

Tilbage til Pyrus. Gælder forordningen for Pyrus? Jeg har gennemgået GDPR, og ikke et eneste sted er nisser nævnt. I artikel 1, nr. 1 fremgår, at forordningen gælder beskyttelse af fysiske personers oplysninger. Er en nisse en person? Han ligner i hvert fald et menneske, taler som et menneske og manifesteres sig i fysisk form. Jeg kan heller ikke se, at Datatilsynet endnu har udarbejdet en vejledning om dette. Jeg vil lade spørgsmålet stå åbent, for det handler jo nok først og fremmest, om man tror på nisser.

God Jul og Godt nytår her fra min blog

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle