Det här är det fjärde inlägget i en serie inlägg skrivna av vårt Dataskyddsombud John-Arthur Berg.
År 1999 avslutade jag min ingenjörsexamen i datateknik. Det är antagligen så att min personlighet attraheras av fullständiga sanningar. Flera av mina kolleger har liknande bakgrund och är lika fängslade av kvantifierbara, strukturerade, binära svar. Efter att ha tagit mig an rollen som Dataskyddsombud börjar jag inse att jag kanske håller på att driva dem till vansinne.
Men vad har det egentligen med GDPR att göra? GDPR är en principbaserad reglering, inte en regelbaserad reglering. Att följa en regel kräver små mått av tolkning eller överläggning, exempelvis att hålla sig till en viss hastighetsgräns. Att följa en princip kräver att du har en djupare förståelse för sammanhanget. Hastighetsbegränsningen är egentligen bara en tolkning av en princip, i trafiken måste du vara vaksam, försiktig och hänsynsfull. Så föreställ dig hur några av mina kolleger känner när de frågar mig om GDPR, likvärdig till en hastighetsgräns, och jag ber dem att ta hänsyn till sin omgivning och att köra försiktigt.
Några exempel:
”Är ett intert ID-nummer personuppgifter?” Dataskyddsombud: ”Det beror på. Kan det användas för att direkt eller indirekt identifiera en fysisk person?”
”Får vi bearbeta den här typen av personuppgifter?” Dataskyddsombud: ”Det beror på. Behövs det för bearbetningens syfte? Är bearbetningen laglig? Har vi säkrat bearbetningen på ett korrekt sätt?”
”Är den nya funktionen tillräckligt säker?” Dataskyddsombud: Det beror på. Har du vägt den mot att riskera rättigheter och friheter för den fysiska personen?”
”Aargh!”
(Detta betyder inte att det inte kommer att finnas tydligare ”hastighetsgränser” relaterade till GDPR. Över tid kommer regler, bekräftelser och riktlinjer att utvecklas så att det blir lättare att ge binära svar.)
Det är naturligtvis inte enbart en utmaning för mina kolleger, utan även för våra kunder. Våra kunder måste också bedöma vilken information de är tillåtna att bearbeta, vad de ska anse vara personuppgifter eller om ett system är tillräckligt säkert för syftet.
Kanske är den största utmaningen för många av våra kunder den registrerades rättigheter. GDPR stärker den registrerades rättigheter, som rätten till transparens, att bli bortglömd, flyttbarhet osv. Men det finns en hake; dessa rättigheter är grundläggande men inte fullständiga. Rättigheterna måste vägas mot andra lagenliga skyldigheter och grundläggande rättigheter. Många av våra kunder befinner sig i ett område där andra lagenliga skyldigheter finns i överflöd. Utbildningslagar, lagar kring offentlig verksamhet, skydd av minderåriga osv.
För att illustrera utmaningen att bearbeta den registrerades rättigheter, kan vi ta ett exempel från verkliga livet. En vårdnadshavare kontaktar sin dotters skola och vill nyttja sin rätt till insyn. Han kräver en kopia av alla personuppgifter som finns lagrade om sin dotter på deras lärplattform. Under GDPR är det en grundläggande rättighet. Men skolan måste väga detta mot deras skyldigheter till skollagen (kan denna data påverka elevens rätt till skolgång?), lagar som rör integritet (även minderåriga har delvis rätt till integritet), krav på offentlig verksamhet vad gäller konfidentiellt material osv.
Så överensstämmelse med GDPR, vare sig du bygger en lärplattform eller är verksamhetschef för ett lärcenter, kräver övervägande. Det finns få binära svar på överenstämmelse, men genom att förstå principerna och att fatta genomtänkta beslut är du halvvägs framme.
Men i dessa gråskaliga beslut om GDPR-överensstämmelse, vem kan avgöra om det rätta beslutet har fattats? När allt kommer omkring, om en dispyt uppkommer, är det upp till den övervakande myndigheten. Och jag har en känsla av att det är bättre att ha fattat fel beslut baserat på en genomtänkt analys, än att förbli okunnig. Övervakande myndigheter tycker inte att okunskap är salighet.
