Festskrift til Mads Bryde Andersen (1. udg.)

Med dette festskrift hylder en række kolleger inden for den akademiske og praktiske juridiske verden professor, dr.jur. Mads Bryde Andersen i anledning af hans 60 års fødselsdag den 25. september 2018. Hyldesten tilfalder en person ud over det sædvanlige. Allerede doktordisputatsen »Edb & ansvar« fra 1989, skrevet på lidt over to år, dokumenterede de kvalifikationer, der kendetegner Mads: fremragende analytiske evner, en enorm arbejdskapacitet, stor intellektuel nysgerrighed og en evne til ny og original juridisk tænkning. Disse evner har gjort Mads til en af sin generations mest markante jurister og har resulteret i et omfattende forfatterskab og praktisk virke.

Mere nærliggende kan det være, at behandlingsmiljøet har betydning for anvendelsen af de registreredes rettigheder i artikel 13-22. Den dataansvarlige må indrette sin behandling således, at disse rettigheder kan fungere optimalt for de registrerede, herunder inden for de frister, som forordningen foreskriver. Det må eksempelvis være muligt at give indsigt således, at de data, der er knyttet til den enkelte person, let og hurtigt kan lokaliseres og gøres tilgængelige. Dette vil gælde i forhold til de anvendte it-systemer, der må være designet således, at indsigtsanmodninger kan håndteres. I almindelighed må det yderligere forudsættes, at den dataansvarlige har uddannet sit personale til at kunne administrere de forskellige rettigheder som et element i den dataansvarliges drift. Det forekommer naturligt at antage, at dette er en del af databeskyttelse per design. Herudover er det svært at se andre af forordningens regler som en platform for design. Disse bestemmelser står i sig selv, og deres udfyldning er tæt knyttet den enkelte regel.

En yderligere mulighed for at udfolde en betydning bag design er at knytte denne handlenorm til persondatarettens nye aktør, databeskyttelsesrådgiveren (artikel 37-39). Rådgiveren, ofte noget misvisende betegnet DPO, har den overordnede funktion at bistå den dataansvarlige med at indrette sin behandling således, at den opfylder forordningen og databeskyttelsesloven. Dette gælder for alle offentlige dataansvarlige og for enkelte private dataansvarlige. En rådgiver behøver en målestok for sin rådgivning, og det forekommer nærliggende, at denne målestok kan være design. Det er miljøet omkring behandlingen, herunder personalets uddannelse, som skal være i orden. Dette indebærer, at det er rådgiveren, som skal sikre, at der realiseres databeskyttelse per design. Dette betyder jo ikke, at vi er kommet nærmere på, hvad design er, men det er dog et skridt ved en lokalisering af, hvem der kan yde et bidrag til den nærmere konkretisering. Beskrivelsesproblemet består, men det kan måske fremover blive lidt mindre. ⁹9. Design-kravet er omtalt nærmere af Henning Mortensen, Revision og Regnskabsvæsen nr.12/2017 p. 64-74. Se nu også Datatilsynets vejledning (juni 2018).

5. Personoplysning

Selve det grundlæggende koncept, personoplysning, udgør en udfordring. Selvom der er en sikker kerne, er der også en periferi, som skaber