<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">2014-06-16 8:53 GMT+01:00 Andrew Cormack <span dir="ltr"><<a href="mailto:Andrew.Cormack@ja.net" target="_blank">Andrew.Cormack@ja.net</a>></span>:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Francis<br>
On the DPA point, ICO advice (including the recent Anonymisation Code) suggests that once separated from the lookup key, pseudonymised data may be very close to non-personal, because the DPA specifically says that the lookup key must be "in the possession of the data controller" (or likely to come into their possession). As you say, that may run into problems of insufficient protection of privacy, unregulated secondary use, etc. </blockquote>

<div><br></div><div>Yes, I agree that the UK and UK ICO's have been very keen not to adopt the wider European definition. I think it is the logically more sensible of the two and that the sorts of problems you outline (eg to do with SAR's) could be fixed without great difficulty. As you say, we will soon have a regulation to argue about.</div>

<div><br></div><div>Note for those on list who aren't familiar with the distinction (though I expect that everyone on this list is really well informed and better than many lawyers): the key difference between a directive and a regulation (in EU law) is that a directive needs to be implemented ("transposed") into member states' laws; regulations don't.</div>

<div><br></div><div>What this will mean is that the new regulation's wording will be what UK courts have to rely on, rather than whatever garbled version the UK's drafters may have ended up with. In other words: there will be more cross-European standardisation (perhaps even harmony :-).</div>

</div><div><br></div>-- <br>Francis Davey<br><br>
</div></div>