Skoleeksamen i GDPR, på engelsk. Dette er et nytt fag for 3. kullister våren 2024. Det var ingen tidligere eksamensoppgaver for oss når vi tok dette faget. Karakteren B på eksamen.

Følgende tilbakemelding fra sensor:
I punkt 1 er det generelt mye bra, men fremstillingen blir på enkelte punkter rotete og ikke helt lett å følge med på. Til senere eksamensoppgaver vil jeg sterkt anbefale at du ikke siterer mer enn det som er strengt nødvendig – det er først og fremst tolkningen

Skoleeksamen i GDPR, på engelsk. Dette er et nytt fag for 3. kullister våren 2024. Det var ingen tidligere eksamensoppgaver for oss når vi tok dette faget. Karakteren B på eksamen.

Følgende tilbakemelding fra sensor:
I punkt 1 er det generelt mye bra, men fremstillingen blir på enkelte punkter rotete og ikke helt lett å følge med på. Til senere eksamensoppgaver vil jeg sterkt anbefale at du ikke siterer mer enn det som er strengt nødvendig – det er først og fremst tolkningen som er viktig, ikke siteringen. I 1.1 blir det mange ord og siteringer uten at det gir så mye – de beste kandidatene evner stort sett å skille mellom det som er vanskelig, og det som er mindre vanskelig. Når man skal tolke “alt”, gir det uttrykk for faglig usikkerhet. I 1.2 syns jeg formuleringene blir litt merkelige og lite juridiske. Det er svært viktig at du til enhver tid fremhever hvilken problemstilling (juridisk spørsmål) du drøfter, ellers blir det rotete. Det er uklart hva du egentlig konkluderer med. I 1.3 får du god uttelling fordi du – som en av få studenter – har sett artikkel 22. Her kunne du imidlertid ha brukt langt bedre juridisk metode, da det blir noe rotete. Merk at artikkel 12–14 egentlig ikke er relevant for registrertes rettigheter, da dette er forpliktelser for behandlingsansvarlig. Det er derfor ikke helt skjønnsomt å bruke masse plass på å behandle disse bestemmelsene. Alt i alt er det forbedringspotensiale i del 1, men du god uttelling fordi du viser at du forstår de grunnleggende begrepene godt.

I 2.1 så du hovedpoenget med at det er hvor den behandlingsansvarlige er etablert, som er avgjørende etter GDPR, ikke den registrertes plassering eller nasjonalitet. Jeg savner imidlertid bruk av juridisk metode her (klar tolkning og subsumpsjon). I punkt 2.2 er det fint at du ser de ordinære personopplysningene, men du kunne ha drøftet fødselsnummer. Det er ikke skjønnsomt å dra inn profilering, da oppgaven ikke inviterer til å drøfte det. Det er en stor svakhet at du ikke drøfter hvilke personopplysninger som faller innunder artikkel 9 (f.eks. D-vitaminbrist, resept, akne). I 2.3 er ikke fremstillingen om fairness helt overbevisende. Transparens er OK drøftet. Jeg savner dataminimering. I denne delen kunne du mer systematisk ha foretatt et utvalg av personvernprinsipper og forklart hvorfor de er relevante for saken. 1.4 er OK, men det blir litt mye “prat” uten at det blir faglig fornuftig. Det er svært viktig at du i akademiske oppgaver ikke kommer med “egne meninger” utenfor oppgaven, f.eks. at du nevner at Facebook er kritisert.

I del 3 er det litt vanskelig å følge med, fordi du ikke uttrykkelig nevner hvilke problemstillinger du drøfter. Det er positivt at du nevner at samtykke ikke er forutsigbart (dette er et viktig poeng i praksis). Det er fint at du nevner berettigede interesser, men her burde igjen den juridiske metoden ha vært mye bedre (se f.eks. Legeliste-dommen). Jeg savner også at du behandler avtale. Poenget med denne oppgaven var å se at ulike behandlingsaktiviteter kan ha flere behandlingsgrunnlag.

Samlet sett har jeg i lys av dette vurdert besvarelsen til B – det er nok særlig god oversikt over relevante bestemmelser som gir uttelling. Det som trekker ned, er imidlertid rotete språk og uklar juridisk metode. Her er det egentlig bare å trene masse på å skrive oppgaver, slik at teknikken sitter til senere.