Med GDPR har EU til hensigt at udsende et stærkt budskab: Persondatabeskyttelse skal tages alvorligt. Hvordan vil de ændringer, der kommer, berøre organisationer i den offentlige sektor? Vi kigger nærmere på et par eksempler.

Mindre kendte artikler om GDPR
Med start den 25. maj 2018 skal alle organisationer, også offentlige, efterleve GDPR. På grund af omfanget og konsekvenserne ved forordningen er masser af artikler og udtalelser blevet offentliggjort, der beskriver de mulige konsekvenser.

Vi ser dog, at det meste af den tilgængelige information fokuserer på generelle oplysninger og konsekvenser, og at mindre beskrevne artikler har en større indvirkning og derfor også en større relevans for den offentlige sektor.

For at skabe klarhed, vil vi beskrive nogle af de specifikke indvirkninger, GDPR vil have i den offentlige sektor. Først vil vi vise, hvilke af GDPR’s almindeligt kendte (nye) retlige forpligtelser, der har en mindre indvirkning på den offentlige sektor, end andre områder. Derefter vil vi undersøge, hvilke mindre kendte artikler fra GDPR, der vil være gældende specifikt for offentlige organisationer.

Ændringer, som GDPR medfører
Som forklaret vil ikke alle ændringer, som GDPR medfører, have en lige stor indvirkning på organisationer, der opererer i den offentlige sektor. Adskillige nye forpligtelser såsom dataportabilitet vil spille en mindre rolle i denne sektor end i andre sektorer.

Dataportabilitet
Retten til dataportabilitet er et godt eksempel på en meget omtalt ny rettighed for registrerede. Denne rettighed for registrerede til at hente personoplysninger i et maskinlæsbart format skal efterleves af organisationer, når det kan finde anvendelse. Dog kvalificerer kun personlige oplysninger, indsamlet efter samtykke eller for at udføre en kontrakt, til at være omfattet af dataportabilitet. Eftersom organisationer i den offentlige sektor o

ftest ikke kan bruge frivilligt afgivet samtykke som begrundelse for databehandling – fordi regeringen har for stærk en position i forhold til den registrerede – vil dataportabilitet for det meste kun spille en rolle i kontraktlige relationer. Dataportabilitet vil altså ikke spille en synderlig stor rolle i persondatabeskyttelseslandskabet i den offentlige sektor.

Retten til at blive glemt
Retten til at blive glemt vil også spille en mindre rolle i den offentlige sektor, sammenlignet med andre sektorer. Dette er hovedsagelig en konsekvens af de begrundelser, GDPR giver mulighed for, når retten til at blive glemt ikke kan finde anvendelse: Hvis behandlingen sker med henblik på at udføre en opgave af offentlig interesse eller udøvelse af offentlig myndighed, eller hvis behandlingen er udført med henblik på efterlevelse af en retlig forpligtelse i unionen eller en medlemsstat, så finder retten til at blive glemt ikke anvendelse. Begge typer af behandling forekommer relativt ofte inden for den offentlige sektor.

One-stop shop
En anden ny mulighed, som GDPR medfører, er den ofte citerede ”one-stop shop”. Dette gør det muligt for organisationer, der opererer i EU, kun at have kontakt med én databeskyttelsesmyndighed i stedet for at skulle være i kontakt med hver enkelt databeskyttelsesmyndighed i de EU-lande, de arbejder i. Men da organisationer i den offentlige sektor ofte hovedsagelig opererer i ét land (det land, hvor organisationen blev dannet), vil denne mulighed ikke spille så stor en rolle for disse organisationer.

De tre vigtigste GDPR-ændringer for den offentlige sektor:
Der er en række bestemmelser, der er relevante for den offentlige sektor, som forventes at medføre ændringer. Vi fremhæver her de tre vigtigste.

Databeskyttelsesrådgiver
Regeringsorganer, der behandler personoplysninger, er altid forpligtet til at udnævne en databeskyttelsesrådgiver (DPO). Dette er anderledes i den private sektor, hvor en DPO kun er påkrævet, når visse kriterier er opfyldt. Det er muligt at dele en DPO med organisationer eller organer, så længe den organisatoriske struktur og størrelse tages i betragtning. Konsulter lokal lovgivning for at afgøre, om der er yderligere krav, såsom registrering af DPO’en i offentlige registre.

Legitim interesse som begrundelse for behandling
GDPR begrænser de offentlige myndigheder i at bruge legitim interesse som et retsgrundlag for behandling af personoplysninger. Det betyder, at offentlige myndigheder skal finde et andet retsgrundlag, hvis de på nuværende tidspunkt benytter sig af legitime interesser som begrundelse. De bør gennemgå deres databehandlingsaktiviteter og afgøre, om de kan behandles under et andet lovligt grundlag, om de er fritaget, eller om en undtagelse er mulig. Hvis dette ikke er muligt, må personoplysningerne ikke behandles.

Samtykke til (internationale) dataoverførsler
Samtykke er et andet retsgrundlag, der begrænser den offentlige sektors behandling. GDPR tillader dataoverførsel baseret på samtykke fra den registrerede, men offentlige organisationer kan næppe bruge denne fritagelse. Rationalet bag dette er, at den relationelle ubalance mellem regeringen og borgerne, hæmmer kravet om, at samtykke skal være ”frit afgivet”. GDPR giver en særlig mulighed for, at statslige organer kan udveksle data med tredjelande uden passende sikkerhedsforanstaltninger. Dette er muligt, hvis der er et juridisk bindende og gennemførligt instrument mellem de offentlige myndigheder.

Konklusion
GDPR henleder særlig opmærksomhed på beskyttelse af personoplysninger i den offentlige sektor. Den introducerer en række betydelige ændringer og restriktioner. En omhyggelig vurdering skal foretages, da ikke alle bestemmelser finder anvendelse. Især undtagelserne bør overvejes nøje, før den generelle bestemmelse anvendes. Når dette gøres, anbefaler vi også at konsultere lokal lovgivning, da den kan pålægge strengere eller endda yderligere krav.