Karen Melchior om GDPR: Datatilsynet er afgørende – men bliver igen og igen beskåret

Når vi i fremtiden kommer til at se tilbage, tror jeg, at vi vil se på databeskyttelsesforordningen (GDPR) som noget helt afgørende.

Principperne om databeskyttelse landede på et tørt sted tilbage i 2018 og satte databeskyttelse på dagsordenen ikke bare i Europa, men også i resten af verden, både i mange virksomheder og hos lovgivere.

Det skal vi europæere være stolte af.

Den øgede opmærksomhed og respekt for dine data er netop dét, vi skal fejre her tre år efter. At dine og mine rettigheder til at kunne kontrollere og få beskyttet den indsamlede viden, der findes om os, er blevet taget seriøst.

Blot et fundament
Men arbejdet er slet ikke slut endnu. Databeskyttelsesforordningen lagde det første spadestik mod at beskytte borgerne. Det er en god start.

Men den data, der bliver indsamlet i dag, er ofte så fragmenteret, at forordningen ikke længere er tilstrækkelig. Profilering kan med den rette teknologi foregå ved hjælp af data, som ikke umiddelbart er omfattet.

Derfor arbejder vi i EU videre mod at beskytte borgernes data gennem blandt andet det nye forslag fra Kommissionen til regulering af kunstig intelligens og ved at kigge på yderligere tiltag til databeskyttelse og personbeskyttelse i ny regulering af digitale tjenester (Digital Services Act) samt ny regulering af digitale markeder (Digital Markets Act).

Med de to reguleringer vil vi gerne øge gennemsigtigheden med, hvorfor du ser, hvad du ser på nettet, og hvilken data der ligger til grund for, at en virksomhed eller platform vælger at målrette indhold og produkter til netop dig.

Længden på en elastik
Herhjemme spiller Datatilsynet en helt afgørende rolle.

Derfor er det kritisabelt, at budgettet er blevet beskåret igen og igen på finanslovene med personalenedskæringer til følge. Det er den helt forkerte prioritering og retning at gå, hvis vi vil sikre ordentligt tilsyn med forordningen, og at offentlige myndigheder og virksomheder skal kunne få svar på spørgsmål.

Det er også derfor, man i forordningen krævede, at medlemslandene allokerer tilstrækkeligt med ressourcer til den påpegede tilsynsmyndighed. Desværre er ’tilstrækkeligt’ lige så let at måle, som længden på en elastik.

Men desværre er underprioriteringen af disse tilsyn og rådgivning en generel tendens.

Her ville det være på sin plads, hvis vi i Danmark ville tage førertrøjen på og sætte det gode eksempel, særligt når vi internationalt blærer os med vores førsteplads i offentlig digitalisering.

Sund fornuft
Før jeg blev valgt til Europa-Parlamentet arbejdede jeg med udrulningen af GDPR i Styrelsen for Arbejdsmarked og Rekruttering. Det var til tider en uskøn oplevelse. 

Forordningen kom nemlig uden konkret vejledning og naturligvis uden præcedens, som vi kunne gribe fat i. Faktisk landede Datatilsynets vejledninger stort set samtidig med, at forordningen trådte i kraft i maj 2018.

Det skabte et unødvendigt pres og formentlig også en overimplementering, som nok har påvirket manges holdning til forordningen i dag.

Så jeg forstår frustrationen hos mange, men jeg vil også sige, at man kan komme ret langt som virksomhed eller forening, hvis man blot benytter sin sunde fornuft og spørger sig selv om følgende:

Hvordan har jeg tilegnet mig data? Gør jeg nok, for at beskytte den data, som jeg er betroet? Sørger jeg for ikke unødvendigt at snage i data? Er jeg bevidst omkring, at data tilhører den registrerede, og at de derfor har ret til at bestemme over den data, som jeg har?

De spørgsmål efterlader naturligvis stadig en række gråzoner og skal ikke underminere de udfordringer, der er. Men hvis du kan svare ja til ovennævnte, så er du godt på vej.

debat@altinget.dk