Update: Forhandlingerne om databeskyttelsesforordningen

Af Christian Wiese Svanberg, Senior Policy Advisor, Moderniseringsstyrelsen

På mødet den 7.-8. marts 2013 i Rådet (retlige og indre anliggender) har EU's justitsministre på ny drøftet forslaget til en generel databeskyttel­sesforordning.

Ministrene endte med at konkludere, at de videre forhandlinger på embedsmandsniveau skal fort­sætte ud fra følgende retningslinjer:

• Dataansvarlige bør have pligt til at konsul­tere med Datatilsynet forud for, at en be­handling påbegyndes, hvis den dataan­svarliges pligtmæssige “risikovurdering” konkluderer, at der er en høj grad af kon­kret risiko knyttet til den påtænkte be­handling
• Udnævnelsen af en “databeskyttelsesan­svarlig” (forslagets artikel 36) hos den en­kelte dataansvarlige skal være frivillig, men hvis en sådan udnævnes, vil den da­taansvarliges forpligtelser blive lempet i andre bestemmelser
• Der skal etableres klare incitamenter for an­vendelsen af godkendte adfærdsko­dekser
• Arbejdet med en risikobaseret model skal fortsætte, så forslagets byrder justeres, i lyset af de risici behandlingerne indebærer. Embedsmændene blev bedt om at arbejde videre med, hvilke kriterier der skal an­vendes i den forbindelse. Særligt interes­sant er beslutningen om også at arbejde videre med en definition af, hvornår oplys­ninger kan betragtes som "pseudonyme" i en sådan grad, at deres behandling kan ske under lempeligere vilkår
• Der skal arbejdes videre med at afdække, om forslaget kan rumme den fornødne fleksibilitet for den offentlige sektors be­hov. Når dette arbejde er afsluttet, vil Rå­det vurdere spørgsmålet igen

Den nye databeskyttelsesforordning er således fortsat på vej, omend den mere bevæger sig med en supertankers fart end en Ferraris. Samme billedmetafor giver nok også en god for­ståelse af størrelsen af de byrder, forordningen vil indeholde, når den ankommer.

Dem, der har interesse, kan finde den danske regerings holdning til sagen beskrevet her.