Hvor lidt er nok? En analyse af minimumsstandarder i GDPR artikel 32
Oversat titel
How Little is Enough? An Analysis of Minimum Standards in GDPR Article 32
Forfatter
Maymann, Simon Okholm
Semester
4. semester
Uddannelse
Udgivelsesår
2026
Afleveret
2026-05-11
Resumé
Specialet undersøger, om der kan udledes et sæt minimumsstandarder for “passende tekniske og organisatoriske foranstaltninger” i GDPR artikel 32, og hvilke fordele og ulemper en sådan minimumsgrænse kan have. Med en retsdogmatisk tilgang kombinerer specialet en ordlydsfortolkning af artikel 32 med en analyse af afgørelser fra EU-Domstolen og danske domstole samt drøfter økonomiske konsekvenser og den usikkerhed, som dataansvarlige oplever. Ordlyden peger ikke på konkrete minimumsstandarder ud over, at der skal foretages en risikovurdering, og at bestemmelsen er åben og dynamisk. Gennem retspraksis spores dog indikatorer på en negativ minimumsstandard: manglende kontrol, manglende procedurer og manglende effektiv anvendelse af foranstaltninger medfører, at foranstaltningerne ikke er passende. Der fremkommer ikke en klar nedre grænse eller liste over specifikke foranstaltninger, hvilket skaber usikkerhed for dataansvarlige, især i lyset af omkostninger og implementeringsbyrder, med potentielle samfundsmæssige afledte effekter. Specialet vejer fordele ved EU-retlige minimumsstandarder (øget klarhed og forudsigelighed, ensartet sikkerhedsniveau, bedre tilsyn og lettere praksisimplementering) op mod ulemper (svækkelse af den risikobaserede tilgang og risiko for minimumskompliance, forældede løsninger i strid med “state of the art”, og krav der kan blive for generelle eller for specifikke og dermed ude af proportion). Konklusionen er, at selv om der kan udledes pejlemærker for, hvad der ikke er passende, vil fastlagte minimumsstandarder næppe være gavnlige, da de kan flytte fokus fra GDPR’s primære formål om at beskytte de registreredes grundlæggende rettigheder og frihedsrettigheder.
This thesis examines whether minimum standards for “appropriate technical and organizational measures” can be derived from GDPR Article 32 and assesses the pros and cons of defining such a minimum threshold. Using a doctrinal legal method, it combines a textual interpretation of Article 32 with an analysis of decisions from the Court of Justice of the European Union and Danish courts, and discusses economic implications and the uncertainty faced by controllers. The wording does not reveal concrete minimum standards beyond requiring a risk assessment and reflecting an open, dynamic provision. Case law, however, points to a negative minimum standard: lack of control, lack of procedures, and lack of effective use of measures render measures inappropriate. No clear lower boundary or list of specific measures emerges, creating uncertainty for controllers given the costs and complexity of implementation, with possible societal spillovers. The thesis weighs the benefits of EU-level minimum standards (greater clarity and predictability, a uniform security baseline, improved oversight, and easier practical implementation) against the drawbacks (weakening the risk-based approach and encouraging box-ticking, risk of outdated measures contrary to the “state of the art,” and standards that are either too general or too specific and thus disproportionate). It concludes that while signals exist for what is not appropriate, fixed minimum standards are unlikely to be beneficial because they may shift attention away from GDPR’s primary objective of protecting individuals’ fundamental rights and freedoms.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet fuldtekst]
Emneord
