Festskrift til Mads Bryde Andersen (1. udg.)

Med dette festskrift hylder en række kolleger inden for den akademiske og praktiske juridiske verden professor, dr.jur. Mads Bryde Andersen i anledning af hans 60 års fødselsdag den 25. september 2018. Hyldesten tilfalder en person ud over det sædvanlige. Allerede doktordisputatsen »Edb & ansvar« fra 1989, skrevet på lidt over to år, dokumenterede de kvalifikationer, der kendetegner Mads: fremragende analytiske evner, en enorm arbejdskapacitet, stor intellektuel nysgerrighed og en evne til ny og original juridisk tænkning. Disse evner har gjort Mads til en af sin generations mest markante jurister og har resulteret i et omfattende forfatterskab og praktisk virke.

Med dette fokuspunkt bevæger vi os nu ind i forordningen med den indledende konstatering, at der er tale om en kompleks og nærmest uoverskuelig retsakt; 99 artikler og 173 præambeludtalelser. Dette er ikke en regulering for hvem som helst, og selv de såkaldt kyndige har svært ved at overskue hele landskabet og finde de rette stier. Forordningen er både et Paradis og et helvede for jurister. På et overordnet niveau kan man hævde, at forordningen i sig selv etablerer et retligt beskrivelsesproblem ved at gøre den fulde gældende persondataret utilgængelig og uoverskuelig. På denne måde varsler forordningen ikke godt for fremtiden, og det er på sin vis forunderligt, at jordnære medlemsstater som Danmark er gået med til dens udstedelse i denne form. Når man går ind i forordningen, går man ind i et vildnis, men rejsen går alligevel den vej i det følgende.

4. Design

Man kan vælge at starte forskellige steder, men her tages begyndelsen i en af de i forhold til persondatadirektivet nye regler, artikel 25 om databeskyttelse per design og via standardindstillinger (default). Især for så vidt angår design kan der spores betydelig usikkerhed med hensyn til, hvilke krav denne bestemmelse, der efter artikel 83(4a) er bødesanktioneret, stiller til den dataansvarlige. Hvad er det egentlig, den dataansvarlige skal gøre. Ideen om privacy by design er oprindeligt udviklet i Canada, men en henvisning til oprindelsen, som i øvrigt ikke er nævnt i præamblen, skaber ikke klarhed, da der oprindelig synes at være tale om en overskrift, der dækker over en række behandlingskrav, som er fæstnet i andre bestemmelser. Kritisk kunne anføres, at der fra starten var tale om et smart slogan, der skulle appellere til de dataansvarlige og få dem til at integrere en forståelse af databeskyttelsens betydning i den almindelige drift.

Forordningsreglen er forholdsvis åben. Der henvises til den samlede behandlingssituation, og i denne skal der gennemføres foranstaltninger, som sikrer databeskyttelsens principper, idet der som eksempler, men for så vidt kun som eksempler, nævnes pseudonymisering og princippet om minimering, idet disse foranstaltninger eller garantier skal være integreret i behandlingen. Bestemmelsen spreder ikke noget klart lys, og det springende punkt er, om design-kravet tilføjer noget nyt i forhold til forordningens øvrige bestemmelser. Et andet tilsvarende spørgsmål er, hvorle-