Beskyttelse af persondata i EU: Det sejler!

EU vil indføre nye regler for beskyttelse af persondata – Men den offentlige sektors omfattende indsamling og samkøring af registre vil ikke blive ændret.

I 1995 kom Microsoft på markedet med Windows 95, Amazon slog dørene op for sin boghandel på nettet, og i EU blev der vedtaget et direktiv om beskyttelse af persondata.

EU-direktivet er ikke blevet opdateret siden.

I 2012 fremlagde EU-kommissionen et forslag til nye EU-regler for persondata, men det er stadig uvist, om forslaget kan nå at blive færdigbehandlet i år.

Vedtagelsen kan nemt blive forsinket til både 2016 og 2017.

Efter vedtagelsen vil det tage flere år, før EU’s medlemslande har fået indført de nye regler.

EU’s eksisterende direktiv for beskyttelse af persondata vil derfor kunne fejre sølvbryllup, før det bliver opdateret.

Inden for It er der ikke meget, der har eksisteret uforandret igennem de sidste 25 år, og som stadig har relevans.

Uden at sætte sagen på spidsen, så må de eksisterende EU-regler da også i dag betegnes som en parodi.

Reglerne er uden relevans for den virkelighed, som de er beregnet til at regulere, og i det omfang, reglerne ikke bliver fuldstændig ignoreret, så giver de borgerne en falsk tryghed.

Det korte af det lange er, at forvaltningen af persondata i EU-landene sejler, og ved fremlæggelsen af forslaget til en ny EU-regulering er der ikke gjort noget forsøg på at bortforklare denne kendsgerning.

Til gengæld er der ikke skruet ned for retorikken i forhold til, hvad de nye EU-regler skal kunne levere.

Man kan sige, at ambitionsniveauet er omvendt proportionalt med den interesse, som de politiske myndigheder i EU-landene har udvist over for beskyttelsen af persondata igennem de sidste 20 år.

Da EU-forslaget blev fremlagt i 2012 var det med en målsætning om, at de nye regler for behandlingen af EU-borgeres persondata skal gælde i hele verden, for alle typer af persondata, lagret i enhver tænkelig database, hos såvel private virksomheder som hos offentlige myndigheder, og den enkelte borger skal personligt kunne have fuld kontrol over indsamlingen og anvendelsen af sine personlige data.

Desuden bliver der stillet omfattende tekniske krav til udformningen af It-systemer, med sigte på at indbygge beskyttelse af persondata i selve systemarkitekturen.

Hvordan alt dette og meget mere skulle kunne omsættes til praktisk virkelighed, er nærmere beskrevet i forslagets mere end 35.000 ord fordelt på 90 paragraffer.

Et af forslagets bærende principper er et krav om ”minimalisering” af indsamlingen af persondata, sådan at der altid skal kunne redegøres for, hvorfor det i en konkret situation er relevant eller nødvendigt at indsamle persondata.

Dette grundprincip om minimalisering harmonerer dårligt med den måde, som de offentlige myndigheder i EU-landene i dag indsamler og anvender persondata.

Forslaget har derfor vakt bekymring blandt offentlige myndigheder i EU’s medlemslande over for udsigten til at skulle gennemføre vidtgående ændringer i eksisterende It-systemer og i de tilhørende administrative rutiner.

I løbet af forhandlingerne i EU’s ministerråd om gennemførelsen af de nye regler, er der blevet taget højde for disse bekymringer fra den offentlige sektor.

EU’s ministerråd skriver i et notat fra december 2014, at der nu er opnået den nødvendige “manøvremargin” for den offentlige sektor, og “inden for denne manøvremargen bør sektorspecifikke love, som medlemsstaterne har udstedt til gennemførelse af direktiv 95/46/EF kunne opretholdes”.

Direktiv 95/46/EF er det eksisterende persondata-direktiv fra 1995, og de sektorspecifikke love, er al den nationale lovgivning, som EU’s medlemslande hver især har udformet i relation til indsamling og anvendelse af persondata i den offentlige sektor.

Det er alle disse skræddersyede, nationale regler, der efter gennemførelsen af de nye EU-regler helt generelt vil “kunne opretholdes”.

Desuden er det i løbet af forhandlingerne blevet aftalt, at forslaget ikke skal gælde for mindre virksomheder.

Så bundlinjen er, at de kommende regler for beskyttelse af persondata er noget, der kun skal gælde for store, private virksomheder.

Det skal ske på en måde, der savner relation til virksomheders og borgeres praktiske anvendelse af moderne It-løsninger, og herunder ikke mindst løsninger fra Skyen.

Og det vil alt sammen tidligst være indført om fire, fem år.

Top: J.M.W. Turner, “The Shipwreck” 1805

Henvisninger og baggrund: 26.01.2015