Efter en noget overskreden tidsramme for gennemgangen af den registreredes rettigheder (jeg kom til en start til at skrive uge 8 - men den er jo for længst borte og glemt i sneen), skal vi runde hele den snak af med et kig på Artikel 23, der er alle kattelemmes moder :)

For det er sådan efter forordningen, at de forpligtelser og rettigheder som er opstillet i artiklerne 5, 12-22 og 34 kan begrænses af EU-retten og/eller national lovgivning[1] når det er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

  • statens sikkerhed
  • forsvaret
  • den offentlige sikkerhed
  • forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
  • andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
  • beskyttelse af retsvæsenets uafhængighed og retssager
  • forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv
  • kontrol-, tilsyns- eller reguleringsfunktioner[2]
  • beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder
  • håndhævelse af civilretlige krav.

Nu er det så ikke al statslig virksomhed, der med ét pennestrøg bliver skubbet ind under dyngerne af sagsmapper og CD-ROM'erne fulde af CPR-numre - og det er da også sådan at "enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1," skal "som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:"

  • formålene med behandlingen eller kategorierne af behandling
  • kategorierne af personoplysninger
  • rækkevidden af de indførte begrænsninger
  • garantierne for at undgå misbrug eller ulovlig adgang eller overførsel
  • specifikation af den dataansvarlige eller kategorierne af dataansvarlige
  • opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling
  • risiciene for de registreredes rettigheder og frihedsrettigheder, og
  • de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.

Det er - fristes jeg til at konkludere - en "gammel traver" mht pindene, der helt som når en behandling skal konsekvensanalyseres, skal afdække omfanget og miljøet omkring behandlingen af personoplysninger. Jeg får en ubændig lyst til at pege hen mod beskrivelsen af fortegnelser (og analyseværktøjet SIPOC), som jeg har skrevet om her.


  1. det krydres ganske vist med den næsten fra enhver artikel uadskillelige vending "når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder" ↩︎

  2. herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i de foranstående pinde bortset fra beskyttelsen af retsvæsenet ↩︎