EP henviser i forordningens indledning til Unionens traktat artikel 16, forslag fra Kommissionen, udtalelser fra udvalg, mm og oplister intet mindre end 173!! betragtninger som grundlag for denne forordning. 173 alligevel!

Det er et rigtigt smörgåsbord af alt fra traktatens artikel 16, om enhvers ret til beskyttelse af personoplysninger, et direktiv (95/46/EF) om harmonisering af beskyttelsen af fysiske personers grundlæggende rettigheder, over ønsket om øget økonomisk og social integration i Unionen, udveksling og udnyttelse af personoplysninger mellem offentlige og private aktører med et højt niveau af beskyttelse af oplysningernes subjekt - den fysiske person, oplysningerne omhandler, til politik opremsninger fsv angår 'lovens ånd', hvad forordningen bør sigte til at opnå, anvendelsen af teknologi, principperne for databeskyttelse, til at eksempelvis den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt!

Betragtning nr 31

Midt i alle betragtningerne finder vi eksempelvis nr 31:

Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og toldmyndigheder, finansielle efterforskningsenheder, uafhængige administrative myndigheder eller finansielle markedsmyndigheder, der er ansvarlige for regulering af og tilsyn med værdipapirmarkederne, bør ikke betragtes som værende modtagere, hvis de modtager personoplysninger, der er nødvendige som led i en isoleret forespørgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. Anmodninger om videregivelse af oplysninger sendt af offentlige myndigheder bør altid være skriftlige, begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af registre. Disse offentlige myndigheders behandling af personoplysninger bør være i overensstemmelse med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.

Nu har jeg ingen embedseksamen, så det bliver det rene gætværk - men jeg læser betragtningen derhen, at den/de, der har skrevet teksten, og dermed udtrykt betragtningen, forestiller sig at visse offentlige myndigheder reelt bør undtages fra forordningen hvis de modtager personoplysninger, der er nødvendige som led i en isoleret forespørgsel af almen interesse!

Den får du selv lige lov at spekulere lidt over!

Betragtning nr 46

Gav det ikke grund til fordybelse, kan du jo passende få et lille udklip fra en af de følgende betragtninger, nummer 46, hvor det blandt andet betragtes at

... Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, ... og menneskeskabte katastrofer.

Der står ganske vist ikke hverken overvågning eller terror nogen steder i denne betragtning, men kan vi være nogenlunde enige om, at det kunne være et tema her?

Betragtning nr 50

Forordningen understreger at den, der opsamler personoplysninger, skal sikre at de fastholdes (dvs gemmes elektronisk) i kortest mulig tid, ikke længere end det er absolut nødvendigt. I rækken af kattelemme finder vi derfor ikke overraskende, i betragtning nr 50, følgende passus:

Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter.

52'eren

Denne betragtning må være 'moderen' til alle betragtninger, der omhandler kattelemme - læs selv med og nyd de elegante konstruktioner:

Der bør også gives mulighed for at fravige forbuddet mod at behandle særlige kategorier af personoplysninger, når det er fastsat i EU-retten eller medlemsstaternes nationale ret og er omfattet af de fornødne garantier, således at personoplysninger og andre grundlæggende rettigheder beskyttes, hvis dette er i samfundets interesse, navnlig behandling af personoplysninger inden for ansættelsesret, socialret, herunder pensioner og med henblik på sundhedssikkerhed, overvågning og varsling, forebyggelse eller kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden. En sådan fravigelse kan ske til sundhedsformål, herunder folkesundhed og forvaltning af sundhedsydelser, især for at sikre kvaliteten og omkostningseffektiviteten af de procedurer, der anvendes til afregning i forbindelse med ydelser og tjenester inden for sygesikringsordninger, eller til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. En fravigelse bør desuden gøre det muligt at behandle sådanne personoplysninger, hvis det er nødvendigt, for at retskrav kan fastslås, gøres gældende eller forsvares, uanset om det er i forbindelse med en retssag eller en administrativ eller udenretslig procedure.

Desuagtet tager - en anden fløj? - til genmæle i betragtning nummer 58, hvor det betragtes at princippet om gennemsigtighed kræver, at enhver oplysning til offentligheden eller den registrerede, er kortfattet, lettilgængeligt og letforståeligt. Skal vi trykprøve den betragtning?

En fravigelse bør desuden gøre det muligt at behandle sådanne personoplysninger, hvis det er nødvendigt, for at retskrav kan fastslås, gøres gældende eller forsvares, uanset om det er i forbindelse med en retssag eller en administrativ eller udenretslig procedure.

Prøv selv - scor sætningen, ud fra betragtning nummer 58 :)

Betragtning nr 68

Når vi nu er ved emnet kattelemme, så er det også interessant at de (væsentlige) omkostninger, som forordningen belaster erhvervslivet med, ikke kommer til at omfatte offentlig virksomhed - se selv:

For at give den registrerede øget kontrol over sine personoplysninger bør vedkommende, når behandling af personoplysninger foretages automatisk, også kunne modtage personoplysninger vedrørende vedkommende, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt, maskinlæsbart og indbyrdes kompatibelt format og kunne transmittere dem til en anden dataansvarlig. Dataansvarlige bør opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabilitet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne på grundlag af sit samtykke, eller hvis behandlingen er nødvendig for opfyldelsen af en kontrakt. Den bør ikke gælde, hvis behandlingen er baseret på et andet retsgrundlag end samtykke eller kontrakt. Denne ret bør på grund af selve sin karakter ikke udøves over for dataansvarlige, der behandler personoplysninger under udøvelsen af deres offentlige opgaver.

Så alle skal altså være data-udvekslings-kompatible - bare ikke offentlige myndigheder! I Danmark ville det ellers betyde langt over halvdelen af al data-udveksling, men det kommer så ikke til at ske!

Betragtning nr 75-77

Et par betragtninger eller 3 som i den grad kommer til at blive (omkostnings)tunge er 75-77! Efter de risici (i den danske tekst benyttes ordet risiciene, men det er vel som med majonæse, tænker jeg) der opremses i nr 75

  • forskelsbehandling,
  • identitetstyveri eller -svig,
  • finansielle tab,
  • skade på omdømme,
  • tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt,
  • uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser;
  • hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller
  • forhindret i at udøve kontrol med deres personoplysninger;
  • viser race eller etnisk oprindelse,
  • politisk, religiøs eller filosofisk overbevisning,
  • fagforeningsmæssigt tilhørsforhold,
  • behandling af genetiske data,
  • helbredsoplysninger
  • oplysninger om seksuelle forhold
  • straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger;
  • hvis personlige forhold evalueres, navnlig analyse eller
  • forudsigelse af forhold vedrørende indsats på arbejdspladsen,
  • økonomisk situation,
  • helbred,
  • personlige præferencer eller interesser,
  • pålidelighed eller
  • adfærd eller geografisk position eller bevægelser,
  • sårbare fysiske personer

som kan "føre til fysisk, materiel eller immateriel skade" skal den dataansvarlige eller databehandleren implementere passende foranstaltninger, og påvisning af vedkommendes overholdelse af forordningen fsv angår

  • identificeringen af disse risici i forbindelse med behandlingen
  • vurdering af oprindelse, karakter, sandsynlighed og alvor
  • og begrænsning af disse risici

Værs'go! Så er der vist arbejde til alle, lidt igen :)

Betragtning nr 81

Denne betragtning vil jeg kalde farvel til den lille mand fordi den klart udtrykker en række krav til databehandlere, som små virksomheder sandsynligvis ikke vil kunne honorere - læs bare:

Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behandlingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstrækkelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn til behandlingssikkerhed.

Jeg kommer helt sikkert tilbage til denne betragtning - og udformingen af politikker i forordningen og national ret, på baggrund af den!

Betragtning nr 101

Forklaringen på de nylige beslutninger om at bygge datacentre i Danmark, som bla Apple og Facebook har truffet, kommer her:

Strømmen af personoplysninger til og fra lande uden for Unionen og til og fra internationale organisationer er nødvendig af hensyn til udbygningen af den internationale samhandel og det internationale samarbejde. Udvidelsen af denne strøm har skabt nye udfordringer og betænkeligheder med hensyn til beskyttelsen af personoplysninger. Når personoplysninger overføres fra Unionen til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, dog ikke undermineres, herunder i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning.

Det har simpelthen været en kold kalkule! Det var billigere at holde data her, end prøve at leve op til de krav som forordningen andet steds omtaler som tilstrækkeligt databeskyttelsesniveau. Det er naturligvis et postulat, for jeg kender hverken selskabernes regnestykker eller egentlige bevæggrunde (som sikkert nemt kan begrundes i teknologiske og andre årsager), men det ville ikke undre mig, hvis GDPR har haft en finger med i spillet!

Betragtning nr 153

Her kommer en betragtning som passende kunne betegnes som bakgearet!
Denne betragtning taler nemlig om behovet for at "...fastsætte[s] undtagelser eller fravigelser fra visse bestemmelser i denne forordning for behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed, hvis det er nødvendigt for at forene retten til beskyttelse af personoplysninger med retten til ytrings- og informationsfrihed som garanteret ved artikel 11 i chartret."

Så var embedsværket alligevel ved at forsluge sig på beskyttelsen af personoplysninger! Det bliver interessant at genbesøge denne betragtning, og forordningens politikker hertil hørende!