Festskrift til Mads Bryde Andersen (1. udg.)

Med dette festskrift hylder en række kolleger inden for den akademiske og praktiske juridiske verden professor, dr.jur. Mads Bryde Andersen i anledning af hans 60 års fødselsdag den 25. september 2018. Hyldesten tilfalder en person ud over det sædvanlige. Allerede doktordisputatsen »Edb & ansvar« fra 1989, skrevet på lidt over to år, dokumenterede de kvalifikationer, der kendetegner Mads: fremragende analytiske evner, en enorm arbejdskapacitet, stor intellektuel nysgerrighed og en evne til ny og original juridisk tænkning. Disse evner har gjort Mads til en af sin generations mest markante jurister og har resulteret i et omfattende forfatterskab og praktisk virke.

Spørgsmålet er, om den dataansvarlige har et orienteringspunkt. Dette er ikke et nemt spørgsmål, fordi svaret er betinget af en generel vurdering af forordningen som helhed. De artikulerede formål i artikel 1, som er databeskyttelse og fri dataoverførsel i EU, er så brede, at de ikke i sig selv angiver retningspile for, hvad der skal opnås med designet persondatabehandling. Man må søge ind i forordningen, og selvom den, der søger, skal finde, er det i dette tilfælde svært at finde et sikkert svar. Der er en række generelle principper i artikel 5, der skal være sikret, og det er ikke alle principper, som bakkes op i forordningens enkeltbestemmelser, hvorfor design kan være en mulighed. Det er nærliggende, at proportionalitet er en retningspil, hvorefter kun personoplysninger, som har betydning for behandlingsformålet, må inddrages. Persondatabehandlingens tilrettelæggelse må understøtte dette. Minimering af oplysningerne kan ligeledes fremhæves, som det sker i bestemmelsen. Kun persondata, som er nødvendige for at realisere formålet, må indgå i behandlingen, og der bør derfor være mekanismer, som fremmer en kontrol hermed. Datakvalitet har ganske vist en pendant i den registreredes korrektionsret (artikel 16), men denne ret bruges kun i begrænset omfang og er ikke tilstrækkelig til at sikre, at kun korrekte oplysninger bliver behandlet. Der er brug for et design-element til at understøtte datakvaliteten. Dette kan være en advarsels- og kontrolmekanisme baseret på kriterier, der indicerer, at korrektheden bør kontrolleres. Design-forudsætningen kan således knyttes til enkelte af de grundlæggende principper, og dette er selvsagt væsentligt.

Spørgsmålet er herefter, om der er andre dele af forordningen, som på en tilsvarende måde kan relateres til design, idet udgangspunktet må være, at der tilføjes noget nyt. Denne forudsætning medfører, at der må være tale om noget andet end den nødvendige datasikkerhed, der eksklusivt reguleres i artikel 32. Det kan overvejes om design kravet har nogen betydning i forhold til behandlingsbetingelserne i artikel 6, 9 og 10. For en umiddelbar betragtning er dette ikke tilfældet, eftersom den dataansvarliges vurdering af, om der er hjemmel til behandlingen, ikke sædvanligvis er betinget af det teknologiske miljø, der omgiver denne. Design kan således alene på ny være udtryk for en intern kontrol af, at der i det specifikke tilfælde er den tilstrækkelige hjemmel. På denne måde bliver design en mekanisme, der kan sikre, at behandlingen er lovlig, men denne forpligtelse følger af mange af forordningens regler, og det er ikke åbenbart, at design-kravet i denne henseende er nødvendigt eller medfører noget frugtbart.