Krypteringskravet i forhold til videregivelse af fortrolige og følsomme personoplysninger i transit
Oversat titel
The encryption requirement in relation to the transmission of confidential and sensitive personal data in transit
Forfatter
Jensen, Rasmus
Semester
4. semester
Uddannelse
Udgivelsesår
2018
Resumé
Specialet undersøger krypteringskravet ved ekstern transmission af fortrolige og følsomme personoplysninger via e-mail og om Datatilsynets praksis med et ubetinget krypteringskrav er i overensstemmelse med GDPR art. 32, stk. 1-2. Med en retsdogmatisk metode (de lege lata) fortolkes og systematiseres det relevante retsgrundlag og praksis, herunder definitioner af pligtsubjekter (dataansvarlige og databehandlere), personoplysnings- og behandlingsbegreber, sikkerhedsniveau og sikkerhedsforanstaltninger. Analysen holder det risikobaserede krav i forordningen op mod et generelt krypteringspåbud for e-mail i transit. Specialet konkluderer, at kryptering bør være resultatet af en risikovurdering efter art. 32, og at et ubetinget krav kun for fortrolige og følsomme oplysninger aktuelt håndhæves i praksis, mens absolut kryptering af alle udgående e-mails med almindelige oplysninger går ud over hjemmelsgrundlaget. Dette medfører betydelige administrative opgaver med identifikation og kategorisering af data, og retstilstanden er uklar særligt om, hvad der anses for "fortrolige" oplysninger; fremtidig praksis forventes at skabe større klarhed.
The thesis examines the encryption requirement for external transmission of confidential and sensitive personal data by e-mail and whether the Danish Data Protection Authority’s practice of an unconditional encryption obligation complies with GDPR Article 32(1)–(2). Using a legal dogmatic de lege lata approach, it interprets and systematizes the relevant legal framework and practice, including definitions of duty-bearers (controllers and processors), the concepts of personal data and processing, the security level, and security measures. The analysis contrasts the Regulation’s risk-based requirement with a general encryption mandate for e-mail in transit. The thesis concludes that encryption should follow a risk assessment under Article 32; in current practice an unconditional requirement applies to confidential and sensitive data, whereas absolute encryption of all outgoing e-mails with common data would exceed the legal basis. This yields significant administrative tasks in identifying and categorizing data, and the legal situation remains unclear, particularly regarding what counts as “confidential”; future practice is expected to provide greater clarity.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]