Festskrift til Mads Bryde Andersen (1. udg.)

Med dette festskrift hylder en række kolleger inden for den akademiske og praktiske juridiske verden professor, dr.jur. Mads Bryde Andersen i anledning af hans 60 års fødselsdag den 25. september 2018. Hyldesten tilfalder en person ud over det sædvanlige. Allerede doktordisputatsen »Edb & ansvar« fra 1989, skrevet på lidt over to år, dokumenterede de kvalifikationer, der kendetegner Mads: fremragende analytiske evner, en enorm arbejdskapacitet, stor intellektuel nysgerrighed og en evne til ny og original juridisk tænkning. Disse evner har gjort Mads til en af sin generations mest markante jurister og har resulteret i et omfattende forfatterskab og praktisk virke.

8. Konsekvensanalyse

Ideelt er det den dataansvarlige, der skal forstå og kende den situation, der institueres, og være klar over, på hvilken måde den harmonerer med det retlige landskab. Dette behov er ikke kun aktuelt i forhold til et muligt retligt ansvar, men har betydning for de retlige og samfundsmæssige implikationer, som den dataansvarliges adfærd og valg af teknologisk løsning indebærer. Her ses teknologien og løsningsmodellen i første omgang ikke udefra, men under anvenderens perspektiv. Dette er ikke unikt for persondataretten, som dog er et område, hvor denne tankegang er søgt udviklet.

Midlet til klarlægning er konsekvensanalysen, data protection impact assessment, der angår persondatabehandlingens indvirkning på databeskyttelsen for de personer, hvis oplysninger behandles (de registrerede). I forordningens artikel 35 foreskrives, at en sådan analyse, som, kunne man hævde, besvarer et beskrivelsesproblem, skal foretages, når der behandles personoplysninger på en sådan måde, at der aktualiseres en høj risiko for de personer, som oplysningerne og behandlingen vedrører. Jordnært er budskabet, at man skal vide, hvad man gør, og man skal kun gøre det, når det er forsvarligt og dermed inden for regelgrundlaget. Dette budskab sendes dog ikke til alle, og det er således ikke alle, der skal betale denne pris for at benytte oplysninger om andre personer. Konsekvensanalysen er ikke en almindelig del af persondatarettens økonomi.

Analysen skal kun udføres, når der er en høj risiko og dermed ikke, når der blot er en risiko. ¹¹11. I almindelighed er det karakteristisk for forordningen, at den risikoorienterer databeskyttelsen. Den dataansvarlige skal se fremad, for så vidt i god overensstemmelse med den innovative informationsteknologi. Høj risiko er ikke nogen præcis karakteristik, og subjektivt kan der være forskellige meninger om, hvorvidt der er en risiko, og hvorvidt den er høj. I artikel 35(3) nævnes, at dette kan være tilfældet, hvor der automatiseret sker profilering med henblik på afgørelser, hvor der i stort omfang behandles følsomme persondata (artikel 9 og 10), og hvor der i stort omfang sker overvågning af offentligt tilgængelige områder. Det er som udgangspunkt persondatabehandlingens formål og genstand snarere end teknologien, der ud fra disse eksempler betinger, om en konsekvensanalyse skal udføres. Selvom det er tilfældet, vil en forståelse af, hvorledes den teknologiske løsning indvirker på persondata-