Der findes andre regler i verden end GDPR

Igennem de sidste par år har der været umanerlig stor opmærksomhed om et enkelt regelsæt. Det hører til sjældenhederne, at den danske befolkning kender den engelske forkortelse for en EU-forordning, men det er ikke desto mindre tilfældet med GDPR – også kendt som General Data Protection Regulation eller på dansk: Databeskyttelsesforordningen. Forordningen indfører et på dansk niveau særdeles højt bødeniveau, og derfor har der været virkelig stor opmærksomhed om det. I betragtning af hvor lidt opmærksomhed der var vedrørende brug og beskyttelse af personoplysninger inden forordningen var det nok tiltrængt med lidt spotlys på dette område.

Imidlertid virker det, som om fokus på GDPR er blevet så stærkt, at man glemmer, at der altså også er andre regler, der skal overholdes, når man behandler personoplysninger. En artikel i Politiken den 31. oktober 2019 (kræver abonnement) illustrerer problematikken: Styrelsen for Arbejdsmarked og Rekruttering (STAR) har udarbejdet et nyt profileringsværktøj til at hjælpe sagsbehandlerne med at identificere, hvilke nyledige der er i risiko for at blive langtidsledige. De nyledige udfylder et spørgeskema, værktøjet kombinerer svarene med oplysninger fra bl.a. Danmarks Statistik, og så får sagsbehandleren en profil af klienten. En af de oplysninger, der hentes ind, er, hvorvidt klienten er af anden etnisk herkomst. Hvis det er tilfældet, bliver klienten kategoriseret som ”højrisiko” og kommer derved i et mere intensivt forløb.

I den forbindelse har STAR konsulteret Kammeradvokaten, som har vurderet, at ”anden etnisk herkomst” ifølge GDPR ikke er en følsom oplysning. Jeg har ikke læst Kammeradvokatens vurdering og kan derfor ikke udtale mig om, hvorvidt den vurdering er korrekt. Det er sådan set også irrelevant i dette tilfælde, for dén vurdering skal først og fremmest bruges til at finde den korrekte behandlingsbetingelse i artikel 9 eller artikel 6. Og da værktøjet er vedtaget ved lov (se tidligere blogindlæg om overvågning) er der en behandlingsbetingelse, uanset om oplysningen er følsom eller ej.

Er der tale om diskrimination?
Det, der undrer mig, er, at Kammeradvokaten tilsyneladende udelukkende har holdt sig til kategoriseringen af typen af oplysningen. Vurderingen af, hvorvidt en oplysning er følsom eller ej, tager nemlig ikke højde for, hvorvidt det f.eks. er diskriminerende at bruge oplysningen. Og det er dén vurdering, der er allermest relevant i dette tilfælde. At man har fundet den korrekte behandlingsbetingelse, er ikke nok i sig selv. Man skal også vurdere, hvorvidt det er rimeligt og lovligt at bruge oplysningen, på den måde man har tænkt sig at bruge den (artikel 5, stk. 1, litra a).

I den forbindelse kunne man passende inddrage Den Europæiske Menneskerettighedskonvention, som i artikel 14 indeholder et diskriminationsforbud (i dette tilfælde koblet med artikel 8 om privatliv). Man kan nemlig uden store problemer argumentere for, at brugen af herkomst til at bestemme, hvilken type forløb den nyledige skal gennemgå, medfører diskrimination. Danskere af anden etnisk baggrund har som gruppe – ifølge statistikken – ganske vist en større risiko for at blive langtidsledige. Men det siger ikke noget om, hvorvidt den enkelte person faktisk er i risiko. Der er mange andre faktorer, der spiller ind, f.eks. hvorvidt man taler flydende dansk, eller om man har haft et relevant studiejob.

Statistik kommer til kort
Statistik er et fantastisk redskab til at hjælpe med at træffe politiske beslutninger. Det fungerer til gengæld virkelig dårligt som baggrund for beslutninger om enkeltindivider. Selv om en sygdom f.eks. kun invaliderer 1 % af de ramte, er der stadig én ud af 100, der bliver invalid. Hvis man så nægter dén ene person hjælp, fordi vedkommende statistisk ikke er i risiko for at blive invalid, har man ikke taget højde for virkeligheden. Så dér kommer statistikken simpelthen til kort. Den kan sige noget om mønstre, men ikke noget om det enkelte individ. På samme måde kan oplysningen om herkomst ikke sige noget om den enkelte arbejdsløse, men kun noget om gruppen som helhed. Og når man på den måde bruger statistikken til at træffe beslutninger for en hel gruppe af mennesker, er det meget svært at argumentere for, at der ikke er tale om diskrimination.

Hvorfor der ikke var en alarmklokke, der ringede, hos nogle af dem, der har udviklet profileringsværktøjet, er svært at sige. Men man har åbenbart tænkt, at så længe der ikke er tale om en følsom oplysning, behøver man ikke at bekymre sig om andet. Og det er en eklatant misforståelse af GDPR: Man skal nemlig også overveje, om det nu også er rimeligt og nødvendigt at bruge en specifik oplysning, og samtidig skal man sikre sig, at man ikke overtræder nogen anden lovgivning – og det har man tilsyneladende ikke gjort her, hvor man er i risiko for at overtræde Menneskerettighedskonventionens artikel 14.

Det er en ommer.



Af Ayo Næsborg-Andersen, lektor

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google photo

Du kommenterer med din Google konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑

Create your website at WordPress.com
Kom igang