Databeskyttelse og dokumentationskrav
Oversat titel
Data protection and documentation requirements
Forfatter
Joost, Katja Diana
Semester
4. semester
Uddannelse
Udgivelsesår
2019
Afleveret
2019-05-20
Antal sider
73
Resumé
Specialet undersøger, hvordan GDPR og den danske Databeskyttelseslov har ændret omfanget af kravene til datasikkerhed og tilhørende dokumentationspligt sammenlignet med den tidligere Persondatalov og direktiv 95/46/EF. Med afsæt i den teknologiske udvikling og udbredt brug af cloud-løsninger beskrives de praktiske udfordringer ved datalagring, adgang og formål, og der gennemføres en juridisk, sammenlignende analyse af centrale regler og principper, herunder ansvarlighed, databeskyttelse gennem design og standardindstillinger, behandlingssikkerhed (art. 32) og fortegnelsespligt (art. 30), samt de nationale udfyldningsregler. Specialet vurderer endvidere, hvad der kan anses for passende tekniske og organisatoriske sikkerhedsforanstaltninger, hvordan disse skal dokumenteres, og hvilken rolle frivillige værktøjer – som adfærdskodekser, certificeringer, ISO 27001 og ISAE-erklæringer – kan spille i efterlevelsesdokumentationen. Konklusionen er, at GDPR indfører et mere risikobaseret og skærpet kravniveau, hvor både dataansvarlige og databehandlere skal kunne påvise overholdelse gennem fyldestgørende dokumentation og fortegnelser. På trods af stor terminologisk kontinuitet indebærer GDPR samlet set en stramning af de persondataretlige regler, særligt hvad angår datasikkerhed og ansvarlighed.
This thesis examines how the GDPR and the Danish Data Protection Act have changed the scope of data security obligations and the associated documentation requirement compared to the former Danish Personal Data Act and Directive 95/46/EC. Framed by rapid technological developments and the widespread use of cloud services, it outlines practical challenges around data storage, access, and purposes, and conducts a doctrinal, comparative analysis of key provisions and principles, including accountability, data protection by design and by default, security of processing (Article 32), and record-keeping (Article 30), as well as national supplementary rules. The thesis evaluates what constitutes appropriate technical and organizational measures, how these must be evidenced, and the role voluntary instruments—such as codes of conduct, certifications, ISO 27001, and ISAE statements—can play in compliance documentation. The findings indicate that the GDPR introduces a stricter, risk-based framework requiring both controllers and processors to demonstrate compliance through comprehensive records and documentation. Despite continuity in terminology, the GDPR amounts to a tightening of personal data rules, particularly in relation to data security and accountability.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]
Emneord