Hvem er hvem?
Et billede skulle efter sigende være 1000 ord værd - så jeg prøver til med et billede af, hvem der er hvem i forordningen, der i folkemunde går under det mundrette akronym, GDPR -
Den registrerede er i besiddelse af et statsborgerskab i en af Unionens medlemsstater, og afleverer personlige oplysninger til et foretagende, der ved at modtage personlige oplysninger fra en fysisk person, bliver en databehandler. Dette foretagende kan være en privat virksomhed, en offentlig myndighed eller en anden fysisk eller juridisk person. Er foretagendet forbundet i en gruppe af foretagender, her især erhvervsvirksomheder, hvor foretagendet udøver kontrol over de andre foretagender, omtales virksomhedsgruppen som en koncern.
Har databehandler foretagendet handlet på egen hånd, er det samtidig dataansvarlig. Har foretagendet handlet på et andet foretagendes vegne, er dette andet foretagende dataansvarlig. "Forbrugeren" af data er modtageren. Der kan være "person" sammenfald mellem alle 3 - dataansvarlig, databehandler, og modtager.
De personoplysninger, som forordningen drejer sig om, og som databehandleren har fået udleveret af den registrerede, vil befinde sig i et register.
Den dataansvarlige (og eventuelt dennes databehandler(e)) kan være repræsenteret i Unionen ved en repræsentant, som i givet fald repræsenterer den dataansvarlige eller databehandleren hvad angår dennes forpligtelser i relation til forordningen.
Tilsynsmyndigheden er vagthunden i hele dette puslespil - udpeget af medlemsstaten til at føre et tilsyn med at den registreredes tarv varetages af den dataansvarlige, databehandlere og modtagere.
Et praktisk eksempel
Et vikar bureau kontakter dig for at høre om du kunne være interesseret i at stå i deres "kartotek". Bureauet beder dig udfylde en web formular. Case closed -
Du bliver (ved egen kraft ganske vist) den registrerede, og dine personoplysninger omdrejningspunktet for eksemplet.
Bureauet er den dataansvarlige og det hosting firma hvor web formularen ligger, er databehandler. Det slutter imidlertid ikke her!
Hosting firmaet benytter sig af AWS, så reelt befinder data sig ikke på noget tidspunkt fysisk hos hosting firmaet (de skriver blot fakturaen på tjenesten til vikar bureauet).
Vi kan spænde buen mere endnu! For i det her eksempel har vikar bureauet aftalt udviklingen af web formularen med deres reklame bureau som har et datterselskab, der udvikler online media løsninger. Datterselskabet bygger det ikke selv, men har udviklere i Indien til det grove. Det indiske selskabs software udvikler vælger at bruge AWS, og så er ringen sluttet.
Eksemplet har facetter af de fleste af de problemstillinger, som forordningen forsøger at regulere og lovgive om opløsningen af:
- høj grad af specialisering/delegering af ansvar
- uigennemsigtighed af reel ansvarsplacering
- data transport på tværs af landegrænser (og Unionens grænser)
- potentielt meget personfølsomme oplysninger
- personoplysninger med stor aktualitetsvarians
Noter
register
Ser du for dig et endeløst lokale af mand høje computerskabe stopfyldt af blinkende elektronik, oplyst af knitrende neon-rør, med en svag duft af ozon blandet med sure sokker, noter af kaffe, armsved, dag gammel roulade, til lyden af spinnende harddiske? Du kunne ikke tage mere fejl :)
En serviet kan udgøre "registeret" - være databærer som man siger - og i den anden ende af skalaen, finder du konstruktioner som Google's MapReduce, Apache Software Foundation's Hadoop, og SAP's Hana, hvor peta-bytes data ligger struktureret. Struktureret er nøgleordet - hvor eller hvordan er mindre vigtigt - men at data ligger struktureret (og dermed indikationen af, at det er muligt at genfinde vilkårlige data elementer ud fra en nøgle, en søgestreng eller ved at gennemløbe registeret fra den ene ende til den anden.
Aktualitetsvarians
Du kender det (måske) fra Politiets straffeattest register, hvor det at sætte en sidste salgsdato på dine "ugerninger" har været anvendt i mange år, men det er noget nyt at denne metodik nu fordres af databehandlere i al almindelighed. Især omkring personfølsomme data giver det imidlertid rigtig god mening.
Visse oplysninger er aktuelle i meget lange tidsperspektiver (dit navn fx), mens andre knapt forekommer aktuelle i morgen (hvordan dit humør var her til morgen fx). Variansen kan i sig selv være en indikator for hvor agtpågivende en databehandler skal være i behandlingen af data. Er alle data punkters aktualitets tidsperspektiv ens vil der være en lille varians, og behandleren kan indrette sin behandling og data vedligehold efter det. Modsat vil en stor varians betyde at behandleren skal være mere påpasselig med især data vedligeholdelsen (få luget de uaktuelle data punkter ud med større frekvens).