Update: Forhandlingerne om databeskyttelsesforordningen
13. maj 2013
Af Christian Wiese Svanberg, Senior Policy Advisor, Moderniseringsstyrelsen
På mødet den 7.-8. marts 2013 i Rådet (retlige og indre anliggender) har EU's justitsministre på ny drøftet forslaget til en generel databeskyttelsesforordning.
Ministrene endte med at konkludere, at de videre forhandlinger på embedsmandsniveau skal fortsætte ud fra følgende retningslinjer:
- Dataansvarlige bør have pligt til at konsultere med Datatilsynet forud for, at en behandling påbegyndes, hvis den dataansvarliges pligtmæssige “risikovurdering” konkluderer, at der er en høj grad af konkret risiko knyttet til den påtænkte behandling
- Udnævnelsen af en “databeskyttelsesansvarlig” (forslagets artikel 36) hos den enkelte dataansvarlige skal være frivillig, men hvis en sådan udnævnes, vil den dataansvarliges forpligtelser blive lempet i andre bestemmelser
- Der skal etableres klare incitamenter for anvendelsen af godkendte adfærdskodekser
- Arbejdet med en risikobaseret model skal fortsætte, så forslagets byrder justeres, i lyset af de risici behandlingerne indebærer. Embedsmændene blev bedt om at arbejde videre med, hvilke kriterier der skal anvendes i den forbindelse. Særligt interessant er beslutningen om også at arbejde videre med en definition af, hvornår oplysninger kan betragtes som "pseudonyme" i en sådan grad, at deres behandling kan ske under lempeligere vilkår
- Der skal arbejdes videre med at afdække, om forslaget kan rumme den fornødne fleksibilitet for den offentlige sektors behov. Når dette arbejde er afsluttet, vil Rådet vurdere spørgsmålet igen
Den nye databeskyttelsesforordning er således fortsat på vej, omend den mere bevæger sig med en supertankers fart end en Ferraris. Samme billedmetafor giver nok også en god forståelse af størrelsen af de byrder, forordningen vil indeholde, når den ankommer.
Dem, der har interesse, kan finde den danske regerings holdning til sagen beskrevet her.