Den engelske myndighed, the UK Information Commissioner’s Office, der svarer til det danske Datatilsyn, har for nyligt udgivet en større rapport, der beskriver problematikken omkring Big Data samt, hvilke dataretlige problemstillinger det giver anledning til.

Big Data er et begreb indenfor persondataretten, der bredt dækker over indsamling, opbevaring, analyse, behandling og fortolkning af enorme mængder af data. Særligt store koncerner og det offentlige har en interesse i at kunne behandle og dele indsamlet data om fx deres kunder eller data om samfundsborgere mellem flere myndigheder. Det problematiske ved fænomenet er, at Big Data ikke specifikt er reguleret i fx den danske persondatalov, og at det er svært at gennemskue, hvornår persondataloven reelt finder anvendelse ved Big Data. Dette skyldes, at Big Data ofte er en sammenblanding af en masse data, der både kan have karakter af persondata (dvs. personhenførbare oplysninger) eller være "almindelige" data, som ikke er personhenførbare.

The UK Information Commissioner’s Office (herefter ICO) har som den første europæiske databeskyttelses-myndighed udgivet en større skriftlig rapport, der meget præcist beskriver, hvilke problemstillinger EU rent dataretligt står over for i forbindelse med Big Data. Særligt har rapporten fokus på, hvilke persondataretlige udfordringer Big Data giver anledning til samt, hvad der reelt skal til, før brugen af Big Data sker i overensstemmelse med persondatabeskyttelsesdirektivet. 

I rapporten bliver det blandt andet diskuteret, hvordan det hurtigt voksende anvendelsesområde for Big Data bør behandles i fremtiden. Her peger ICO på flere forhold, som er relevante for reguleringen af Big Data.

  • Hvor Big Data indeholder personoplysninger, skal den pågældende dataansvarlige overholde reglerne i databeskyttelsesdirektivet.
  • Behandlingen af personoplysninger skal være transparent for de registrerede således, at behandlingen af personoplysninger sker tydeligt for den registrerede og ikke efterlader tvivl.
  • Behandling af Big Data kan kun ske, såfremt der er en legitim interesse i behandlingen eller på baggrund af de registreredes samtykke. Uanset kompleksiteten ved Big Data kan førnævnte ikke fraviges.
  • Særligt behandlingens formål er vigtig inden for Big Data. Ofte indsamles personoplysninger til ét formål, hvorefter oplysningerne ønskes brugt til et andet formål. Dette kan ikke ske medmindre den registrerede informeres herom, hvilket også gør sig gældende for Big Data.
  • Det anses for fordelagtigt, såfremt virksomheder opretter et etisk kodeks, der skal bidrage til klare retningslinjer i forhold til brugen af Big Data og god databehandlingsskik.
  • Anonymisering kan være et passende middel som persondatabeskyttelse – også i forbindelse med Big Data.

Rapporten er særligt relevant for såvel dataansvarlige som databehandlere inden for it-branchen og advokater, der til daglig beskæftiger sig med it-ret og persondataret. Bird & Bird bidrager gerne med uddybning af ovenstående, idet vi med mange års erfaringer som it-advokater har et indgående kendskab til de juridiske rammer for Big Data.