I slalom-løbet igennem forordningens artikler er jeg nået til Artikel 11 (10'eren sprang jeg over, fordi den omhandler straffedomme og lovovertrædelser - og dem er der så vidt jeg ved ikke nogenmeget over en håndfuld private danske virksomheder, der kan have nogen interesse i grund til at gemme på ;)

- men som vi skal se - rummer Artikel 11 en lille overraskelse til os!

Kræver behandlingen ikke identifikation

Meget store dele af, hvis ikke hele, forordningen er fokuseret på forudsætningerne for, miljøet omkring, konsekvenserne af, og den faktiske behandling af personoplysninger, hvor der indgår et eller flere data punkter som alene eller sammenstillet er i stand til at udpege en enkelt konkret fysisk person - men ikke Artikel 11. Faktisk vender denne artikel det hele på hovedet ved at fastslå at "_den dataansvarlige ikke [er] forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde denne forordning_".

Det vigtige er,

  1. at forudsætningen for ovenstående er, at den behandling af personoplysninger, den dataansvarlige udfører, ikke kræver at den registrerede kan identificeres af den dataansvarlige, og
  2. at den dataansvarlige oplyser den registrerede om det forhold (og [antageligt] de konsekvenser[1], det således får for den registrerede) - "hvis det er muligt".

Hvad vil det sige - sådan i praksis - for det lyder da interessant!

Konkret vil det sige at i alle de tilfælde, hvor den dataansvarlige kan opstille behandlingen af personoplysninger sådan så den registrerede ikke kan identificeres, der kan den dataansvarlige slippe for at skulle forholde sig til meget betydelige dele af forordningen!

En virksomhed der driver en B2C[2] webshop vil som udgangspunkt være meget berørt af forordningen, fordi den handler med fysiske personer, og selv om den kan tegne databehandler aftaler[3] med virksomheder, som den udliciterer største delen af værdi- og informationskæden til, så vil den alligevel være dataansvarlig! Kan virksomheden derfor designe vare- og informationskæden sådan, at den ikke på noget tidspunkt kan identificere en fysisk person - så slipper den for en masse besvær!

Det er en stor opgave som starter allerede i logfilen på den webserver, hvor virksomhedens webshop ligger! Og den slutter ikke før virksomhedens produktansvar udløber, typisk 2 år efter salgets gennemførelse!

Udveje?

For at kunne levere sin vare eller tjenesteydelse skal virksomheden fra før nødvendigvis kende kunden, eller skal den? For der er faktisk en løsning, som kan skabe et unaturligt stort behov for en uventet type virksomhed!

Hvis virksomheden alene modtager ordrer fra en anden virksomhed, hvor der ikke indgår personoplysninger men alene en identifikation af den ordre, som varen/tjenesteydelsen skal opfylde, og når varen er klar til forsendelse, da kan nøjes med at anføre denne identifikation på pakkelabelen, og efterfølgende kan stille spørgsmål til salget som vil blive besvaret uden at nogen fysisk person bliver identificeret, og ligeledes kan løse reklamations- og returnering opgaver ved at telefonopkald stilles igennem, efter at købers identitet og retmæssige adkomst til reklamation og returnering er blevet konstateret (hvorfor enhver dialog herefter kan koncentrere sig om måden hvorpå sælger og køber bedst afhjælper opgaven) - ja så har virksomheden efter Artikel 11 ikke grund til at behandle yderligere oplysninger!

Omgåelse?

Jeg kan ikke se hvor en sådan omgåelse finder sted! Den virksomhed der modtager ordrer, behandler alle personoplysningerne, inkl betaling, tilser levering og opretholder et beredskab til at besvare kundens henvendelser ifm reklamation og returning, vil jo stadig være et led i kæden, men hvor det før var spredt ud på i hundredetusindvis af virksomheder, ud over hele Europa, så kunne jeg nemt forestille mig det rationelle, effektive og omkostningsefficiente i en model, hvor informationskæden deles, således at alle de personoplysningskritiske processer modulariseres, så der opstår en front-end og en back-end, hvor back-end'en er de virksomheder, der allerede i dag leverer varer og tjenesteydelser, og front-end'en er nogle ganske få, meget store og meget specialiserede virksomheder, ikke meget forskellige fra Amazon! Disse butiksfacade virksomheder kommer til at sidde på alle salgsdata - fordi de små webshops hverken tør eller har det beredskab, der skal til, for at efterleve forordningen, og af frygt for at blive mødt med massive bødeforlæg, vælger at udskille måske den vigtigste del af virksomheden - kendskabet til kunden!

Var det meningen?

Det er svært at svare på, hvad der har drevet EU's, og måske også nationalstaternes, embedsværk til at konstruere denne forordning; jeg er i det ene øjeblik indstillet på at tænke alt godt og positivt om den, for i næste nu, atter at sanke glødende kul på det papir, forordningen er trykt på!


  1. konsekvenserne af at en dataansvarlig behandler personoplysninger er flerfoldige - men dem er vi slet ikke nået til endnu ↩︎

  2. Business To Consumer - virksomheder der sælger til private - i modsætning til B2B (Business To Business) der sælger til virksomheder ↩︎

  3. så er den gal igen! Databehandler og aftaler - det kommer vi til; bare rolig! :) ↩︎