02. juni 2021

GDPR: Vi ønsker os klare svar

I kommunerne efterlyser vi et sted, hvor vi kan få helt klare ja og nej-svar på nogle af de mange svære dilemmaer, som GDPR-reglerne sætter os i. Reglerne har eksisteret i tre år, men trods positive tendenser, så lader det ikke til, at netop det ønske er tæt på at gå i opfyldelse.

Af Thomas Kastrup-Larsen, formand for KL's Arbejdsmarkeds- og Digitaliseringsudvalg

Det skal ikke være nogen hemmelighed, at vi i KL og kommunerne har taget vores kampe med GDPR-reglerne. Og vi gør det fortsat. Der er dog sket meget på området, siden reglerne blev lanceret for tre år siden, og siden vi selv for lidt over et år siden lancerede det, vi kaldte et "benspændskatalog”.

For der var masser af benspænd – det kan vi ikke komme uden om. Heldigvis er der blevet lyttet til os og andre private og offentlige virksomheder, foreninger og institutioner, når vi har gjort opmærksom på de udfordringer og uklarheder, som vi har stået over for.

Lad mig med det samme sætte en tyk streg under, at vi i kommunerne går op i datasikkerhed og at borgernes data ikke skal ende hos de forkerte. Men at forsøge at navigere i GDPR-reglerne har til tider været som at finde vej i en labyrint – med en gryde over hovedet. Endda med den lille tilføjelse, at hvis vi trådte forkert i førnævnte labyrint, ja så stod myndighederne klar med den store bødeblok.

Derfor er vores største ønske i kommunerne, at vi kan få indført en ordning, så vi kan få klare og bindende svar fra Datatilsynet, når vi rejser en problemstilling. Det vil gøre en stor forskel for os, som i det daglige forsøger at indrette os efter GDPR-reglerne. Det kan betyde, at vi ikke bare må nøjes med ”måske-svar”.

Vi kan jo tage KOMBIT som eksempel. 

Det er det kommunale IT-selskab, hvor vi arbejder med at udvikle nye kommunale it-løsninger. Her kunne det være en kæmpe fordel, hvis vi kunne få et klart og juridisk bindende svar fra Datatilsynet på, om indretningen af et givent IT-system er lovlig ift. GDPR. På den måde kan vi undgå et scenarie, hvor vi potentielt skal tilrette et system for millioner af skattekroner, fordi der har været uklarhed om reglerne. 

Men, og det er et stort et af slagsen, Justitsministeriet er dog kommet frem til, at det ikke er muligt for Datatilsynet at give juridisk bindende svar på, om noget er lovligt eller ej efter GDPR-reglerne. Årsag: GDPR-reglerne selv.

Altså har vi åbenbart regler, som forhindrer, at virksomheder, kommuner eller borgere kan få et klart og bindende svar på, hvad der er lovligt ifølge de selv samme regler. Det forekommer absurd i en retsstat som den danske. Regler forhindrer klarhed om de selv samme regler.

Ret skal dog være ret.

Det er glædeligt, at Datatilsynet nu er trukket i arbejdstøjet med et nyt strategisk grundlag, som betyder et større fokus på lettilgængelig vejledning. Det forventer vi os meget af i KL og kommunerne, og forhåbentlig kan det et stykke af vejen være med til at give klare svar.

Vi er glade for, at justitsministeren har sat gang i en vigtigt national evaluering af GDPR. En evaluering, som KL og hovedparten af kommunerne har sendt omfattende bidrag og eksempler til.

Vi er også glade for, at Justitsministeriet, at  Datatilsynet kan give et påbud, før de skrider til at give en bøde. Det er et rigtig godt tiltag, som kan være med til at rydde noget af usikkerheden af vejen. Det kræver dog, at der er politisk flertal bag den lovændring, der skal til for at muliggøre det. Vi krydser fingre for, at det flertal findes.

Meget tyder således på, at hvor de første tre år med GDPR var præget af usikkerhed og en frygt for at træde ved siden af, så bliver de kommende år præget af bedre vejledning og klarere tolkning af reglerne.

Vi håber og tror, at Justitsministeriets evaluering kan være med til at skabe den klarhed, der er brug for. Fra kommunernes side bidrager vi i hvert fald gerne med alt, hvad vi kan.

Hvis det mod forventning ikke lykkes, så må det næste naturlige skridt være at fortsætte dialogen om GDPR i EU-regi.

 

Bragt af Altinget den 2. juni 2021.