Skip links

Dansk GDPR-tilgang øger virksomheders risiko og bremser vækst

Blog. Det danske forslag til indarbejdelse af EU’s persondataforordnings krav i Danmark påfører virksomhederne en øget økonomisk risiko og dårligere konkurrenceevne. Justitsministeriet bidrager med sin betænkning om indarbejdelse af forordningens krav i dansk ret med en stopklods for det vækstpotentiale, som ligger i udnyttelse af persondata til forskning.

Den øgede risiko opstår, fordi den danske fortolkning ikke stiller sig i spidsen for persondataforordningens overordnede formål, nemlig at beskytte borgernes grundrettigheder til respekt for privatliv og persondatabeskyttelse. I stedet forsøger man i så vid udstrækning som muligt at oversætte forordningens principper og krav til danske standarder og hidtil kendt regulering.

Ved at fortolke EU’s persondataforordning på en måde, der lidt krampagtigt viderefører den danske retstilstand, står virksomhederne derfor med en ny risiko, nemlig den risiko, at en klage over databehandlingen ved et andet europæisk datatilsyn, kan føre til et ganske andet resultat end i Danmark. Og dermed højere risiko for bøder og erstatningskrav.

Ved at indrette sig på de danske omfangsrige særregler, vil virksomhederne allerede af den grund blive påført en risiko for, at deres adfærd i et bredere EU-retligt perspektiv ikke opfylder de europæiske krav og forventninger til virksomheders databeskyttelse.

Den økonomiske byrde kan derfor blive ganske stor for danske virksomheder, og særligt de, som har aktiviteter i andre medlemsstater, hvis databehandlingen i virksomheden tilrettelægges efter den danske implementeringslov. Grundlæggende vækker det undren, at man vælger at implementere en forordning, som har direkte virkning i Danmark, og særligt fordi man ikke vælger at gengive teksten direkte, men benytter danske formuleringer, som man vurderer til at være svare til forordningens ordlyd og hensigter.

Konsekvensanalyser kun ‘ved høj risiko’

Et eksempel på forskellen på den danske og den europæiske tilgang, er DPIA (Data Privacy Impact Assessment) eller det som på dansk kaldes konsekvensanalyser. Det er analyser, der skal afdække databehandlingens konsekvenser og risici for den person, hvis data behandles.

I betænkningen anføres det, at pligten til at foretage konsekvensanalyse alene gælder i særlige tilfælde, hvor der kan konstateres høj risiko. Helt indledningsvist kan man stille sig selv spørgsmålet, hvordan man skal konstatere, at der er en høj risiko, hvis man ikke foretager konsekvensanalysen og dermed ikke kender sit datalandskab.

Betænkningen henviser dernæst til et par hjælpeværktøjer i form af to publikationer, som Digitaliseringsstyrelsen udgav i 2013. Disse tager naturligt nok ikke hensyn til forordningens definition af konsekvensanalyse, og det synes betænkeligt ukritisk at anvende gamle værktøjer på et begreb, som først endeligt introduceres gennem forordningens vedtagelse i 2016.

I betænkningen anføres endvidere, at artikel 35 (om konsekvensanalyser) vil have et forholdsvis begrænset anvendelsesområde, og at den dataansvarlige således i de fleste tilfælde ikke vil skulle foretage en konsekvensanalyse.

Det kan i den grad undre, at man på denne måde gør konsekvensanalyser til en perifær forpligtelse, når EU’s Artikel 29-gruppen i deres udkast til vejledning om samme fra april 2017, konstaterer, at netop konsekvensanalyser er et af de vigtigste værktøjer i forhold til forordningens grundlæggende krav til det at være en ansvarlig virksomhed (accountability), da de ikke alene hjælper virksomhederne med at overholde reglerne, men også hjælper virksomhederne med at dokumentere deres overholdelse af reglerne.

Da netop gennemførelsen af konsekvensanalyser er et af de elementer, man er forpligtet til, vil virksomheder, hvis de følger betænkningens udlægning, derfor i meget høj grad være i risiko for unødvendige sanktioner, fordi de ikke gennemfører konsekvensanalyser i det omfang, som forordningen foreskriver.

Vækstpotentiale hæmmes

Udover at operationalisere grundrettigheder, har en drivkraft i udviklingen af persondataforordningen været at udfolde det vækstpotentiale, som knytter sig til de store mængder af persondata, vi indsamler og opbevarer. Mulighederne i big data analyse, innovation og nye produkter samt metoder til kryptering og pseudonymisering kan give Europa en vækstmulighed, netop på grund af vores forspring på persondatabeskyttelsesområdet i forhold til andre regioner. Konkret har det bl.a. ført til, at data indhentet til et bestemt formål, kan viderebehandles til forskningsformål og statistiske formål, også uden samtykke.

Dette kan lade sig gøre, fordi forordningens krav til lovgrundlag, dataminimering, sikkerhed, brug af kryptering, pseudonymisering og anonymisering samt organisatoriske indsatser – som politikker, procedurer og kontroller – er med til at etablere behandlingssikkerhed og garantere de berørte personers rettigheder og frihedsrettigheder.

I den danske implementering af forordningen videreføres imidlertid de nugældende krav om, at data kun må anvendes til forskning uden samtykke, hvis forskning har væsentlig samfundsmæssig interesse og persondataene er nødvendige til forskningsformålet. Ved at opretholde kravet om samfundsinteresse afskærer vi danske forskere i både offentlig og privat sektor fra at bidrage til forskning og til frembringelse af ny viden, der forfølger andre formål, fx kommercielle eller patientrettede. Det blokerer for innovation og hæmmer på den lange bane vækst via data.

Persondataforordningen udgør et helt afgørende instrument for borgernes ret til at kontrollere deres egne data i en digitaliseret tidsalder. Det er derfor ærgerligt, at Justitsministeriet med sin betænkning på mange måder har valgt at skue bagud, fremfor – som mange af de andre medlemslande – at vælge den visionære og borgernære tilgang, hvor omdrejningspunktet er beskyttelse af det enkelte individ, både retligt og i praksis.