I 2017 begik 14-årige Molly Russell pludselig selvmord. Familien var i chok og har siden søgt en forklaring på, hvorfor Molly tog sit eget liv i så tidlig en alder. Men hvad der kunne have bragt familien tættere på en afklaring er derimod endt i en blindgyde. Forgæves har Molly Russells forældre forsøgt at få adgang til pigens Instagram-profil i håbet om at finde nogle spor, der kunne give et tydeligere billede på årsagen til datterens selvmord.
Det skriver Thomson Reuters.
Men manglende digitale arvelove i landet gør processen noget nær umulig. Faktisk er det de færreste lande, der har love, som tilgodeser netop adgang til afdøde slægtninges data. Den danske arvelov forholder sig f.eks. udelukkende til fysiske genstande og økonomi samt forhold som forfældremyndighed, og data er ikke skrevet ind i lovens nuværende form.
Men så burde der måske være hjælp at hente i GDPR. I hvertfald er det med forordningen muligt for borgere inden for EU at kræve en kopi af en given virksomheds samling af dine data eller slet og ret kræve, at disse data bliver slettet.
De døde har ikke samme rettigheder
Men den europæiske databeskyttelsesforordning gælder kun levende mennesker. Og her bliver eksemplet fra England med den afdøde pige yderligere problematisk.
I forordningens betænkning 4 står der ellers:
"Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv (...)". Men respekten for netop familielivet overtrumfes i dette tilfælde af det faktum, at Instagram i den specifikke sag efter eget udsagn ikke kan give andre end ejeren af en given profil rettigheder til at få adgang til denne.
Forordningens betragtning 27 indikerer ligeledes, "at forordningen ikke finder anvendelse på personoplysninger om afdøde personer". Sat på spidsen, så har døde altså ikke 'the right to be forgotten', men forordningen lægger op til, at de enkelte lande selv kan definere, om man vil lave særregler i forbindelse med regler om behandling af personfølsomme oplysninger om døde. Herhjemme er der bl.a. særrregler i sundhedsloven, der giver myndighederne mulighed for at behandle forskellige datasæt også efter en borgers død.
Data kan ikke betragtes som 'ejendom'
Men hvem ejer så overhovedet ens personlige data, når man ikke er her længere? Reglerne for arv er rimelig klare i forhold til fordeling af diverse økonomiske forhold og aktiver, når ens nærmeste slægtning dør. Men i GDPR's optik betragtes data ikke som ejendom, og derfor har Molly Russells forældre umiddelbart ikke mulighed for at få adgang til dataen.
"Den eneste ejer af personoplysninger er det enkelte individ," siger Gabriel Voisin, partner med speciale i databeskyttelse og privatliv hos det internationale advokatfirma Bird & Bird til Thomson Reuters.
"Organisationer kan modtage disse oplysninger, fordi jeg har givet dem det ... men det betyder ikke at de nu er 'ejere' af mit navn. De er i stedet det, vi kalder 'kustoder' af mine oplysningerne," siger Voisin.
Personlige data i denne sammenhæng skal ses i relation til personlige beskeder og kommentarer, men når det handler om billeder og videoer, så er der ikke længere tale om data, men derimod artefakter, som kan gå ind under IP-retlige regler, og sådanne emner burde overgå til familien.