Justitsministeriet Civil- og Politiafdelingen Kontor: Det Internationale Kontor Sagsnr.: 2005-305-0236 Dok.: VDK40150 Slotsholmsgade 10 Telefon: + 45 33 92 33 40 E-post: [email protected] DK 1216 København K Telefax: + 45 33 93 35 10 Internet: http://www.jm.dk G R U N D N O T A T vv vedrørende edrørende forslag til Rådets rammeafgørelse om beskyttelse af personoplysninger i forrrrbindelse bindelse med det politimæssige og strafferetlige samarbejde (KOM (2005) 475) Resumé Forslaget har til formål at sikre beskyttelsen af personoplysninger, der behandles inden for ram- merne af det politimæssige og strafferetlige samarbejde mellem medlemsstaterne (afsnit VI i Traktaten om den Europæiske Union). Forslaget skal sikre, at grundlæggende rettigheder, navn- lig retten til privatlivets fred og beskyttelsen af personoplysninger, finder anvendelse i hele EU, navnlig med henblik på gennemførelse af tilgængelighedsprincippet, og at udvekslingen af rele- vante oplysninger mellem medlemsstaterne ikke hindres af, at databeskyttelsesniveauerne i med- lemsstaterne er forskellige. Forslaget skal ses i sammenhæng med Kommissionens forslag til Rådets  rammeafgørelse  om  udveksling  af  oplysninger  efter  tilgængelighedsprincippet  (KOM (2005) 490). Forslaget vurderes ikke at være i strid med nærhedsprincippet. Forslaget vurderes at ville have lovgivningsmæssige konsekvenser, mens det umiddelbart vurderes ikke at ville have statsfinansielle konsekvenser af betydning. Der  foreligger ikke offentlige tilkendegivelser om andre medlemsstaters holdninger til forslaget. Fra dansk side er man overordnet set positiv over for udviklingen af et EU-instrument, der fastlægger (mindste-)regler om beskyttelse af personda- ta i forbindelse med det politimæssige og strafferetlige samarbejde. 1.  Baggrund Kommissionen har fremlagt et forslag til Rådets rammeafgørelse om beskyttelse af persono  plys- ninger i forbindelse med det politimæssige og strafferetlige samarbejde (KOM (2005) 475)
- Som begrundelse for forslaget har Kommissionen overordnet henvist til følgende: ”Den 4. november 2004 vedtog Det Europæiske Råd Haag-programmet til styrkelse af frihed, sikkerhed og retfærdighed i EU. I dette program opfordres Kommissionen til inden udgangen  af 2005 at fremsætte forslag til gennemførelse tilgængeligheds- princippet for derved at forbedre udvekslingen af oplysninger på tværs af grænserne mellem  medlemsstaternes  retshåndhævende  myndigheder.  I  Haag-programmet  un- derstreges det, at forslagene fuldt og helt skal opfylde de væsentligste krav på data- beskyttelsesområdet.   I juni 2005 vedtog Rådet og Kommissionen en handlingsplan for gennemførelsen af Haag-programmet……    I  henhold  til  handlingsplanen  skal  Kommissionen  i  2005 fremsætte 1) ”forslag om fastlæggelse af et tilgængelighedsprincip for retshåndhæ- velsesrelevant  information”  og  2)  ”forslag  om  passende  garantier  og  effektive retsmidler i forbindelse med overførsel af personoplysninger med henblik på politi- mæssigt og retsligt samarbejde i straffesager….” Denne  rammeafgørelse  skal  sikre  beskyttelsen  af  personoplysninger,  der  behandles inden  for  rammerne  af  det  politimæssige  og  strafferetlige  samarbejde  mellem  EU- medlemsstaterne (afsnit VI i TEU). Den tager sigte på at forbedre dette samarbejde, navnlig for så vidt angår forebyggelse og bekæmpelse af terrorisme og under streng overholdelse af de væsentligste krav på databeskyttelsesområdet. Den skal sikre, at de grundlæggende rettigheder – navnlig retten til privatlivets fred og beskyttelsen af personoplysninger – vil blive beskyttet i hele EU, navnlig med henblik på at gennem- føre tilgængelighedsprincippet. Den skal desuden sikre, at udvekslingen af relevante oplysninger mellem medlemsstaterne ikke hindres af, at databeskyttelsesniveauerne i medlemsstaterne er forskellige.” Forslaget  til  rammeafgørelse  om  databeskyttelse  skal  ses  i  sammenhæng  med  Kommissionens forslag til Rådets rammeafgørelse om udveksling af oplysninger efter tilgængelighedsprincippet (KOM (2005) 490), jf. i den forbindelse det grundnotat, som blev oversendt til Folketingets Eu- ropaudvalg og Folketingets Retsudvalg den 26. januar 2006.   2.  Indholdld Forslaget  til  rammeafgørelse  om  databeskyttelse  er  fremsat  under  henvisning  til  traktaten  om Den Europæiske Union (TEU), særlig artikel 30 om fælles handling vedrørende politisamarbej- de, artikel 31 om fælles handling vedrørende retligt samarbejde i kriminalsager samt artikel 34, stk. 2, litra b, hvoraf det fremgår, at Rådet med henblik på at bidrage til opfyldelse af Unionens målsætninger på initiativ af en medlemsstat eller Kommissionen kan vedtage rammeafgørelser om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser.    Forslaget indeholder generelle regler for lovligheden af behandlingen af personoplysninger, be- stemmelser vedrørende specifikke former for databehandling (videregivelse og at stille person-
- oplysninger til rådighed for andre medlemsstaters kompetente myndigheder, yderligere behand- ling,  navnlig  videregivelse  af  oplysninger  modtaget  fra  eller  stillet  til  rådighed  af  andre  med- lemsstaters kompetente myndigheder), den registreredes rettigheder, fortrolighed og sikkerhed i forbindelse  med  databehandlingen,  klageadgang,  erstatningsansvar  og  sanktioner,  tilsynsmyn- digheder og en arbejdsgruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger.   Forslaget indeholder følgende bestemmelser: Formål, definitioner og anvendelsesområde Artikel  1  fastslår,  at  rammeafgørelsens  formål  er  at  fastsætte  fælles  standarder,  der  skal  sikre beskyttelsen af fysiske personer for så vidt angår behandlingen af personoplysninger i forbindel- se med det politimæssige og strafferetlige samarbejde, jf. afsnit VI i traktaten om Den Europæi- ske Union. Bestemmelsen  fastslår  videre,  at  medlemsstaterne  skal  sikre,  at  videregivelsen  af  personoplys- ninger til de kompetente myndigheder i andre medlemsstater hverken begrænses eller forbydes af årsager, der vedrører beskyttelsen af personoplysninger, som fastsat i denne rammeafgørelse. I artikel 2 er begreberne ”personoplysninger”, ”behandling af personoplysninger”, ”register med personoplysninger”,  ”den  registeransvarlige”,  ”registerfører”,  ”tredjemand”,  ”modtager”,  ”den registreredes samtykke”, ”internationale organer eller organisationer” og ”kompetente myndig- heder” defineret.   Der er tale om definitioner, som svarer til de definitioner, der fremgår af persondataloven (og det bagvedliggende persondatadirektiv).    Definitionerne af begreberne "internationale organer eller organisationer" og ”kompetente myn- digheder" er dog udtryk for en nyskabelse. Ved ”internationale organer eller organisationer” for- stås organer eller organisationer, der er oprettet ved internationale aftaler. ”Kompetente myndigheder" defineres som politi, toldvæsen, retlige og andre kompetente myn- digheder i medlemsstaterne i den betydning, der er anvendt i artikel 29 i traktaten om Den Euro- pæiske Union. I artikel 3 beskrives rammeafgørelsens anvendelsesområde.
- Rammeafgørelsen  finder  anvendelse  på  hel  eller  delvis  automatisk  behandling  af  personoplys- ninger og anden behandling, der ikke er automatisk, som udgør eller skal udgøre en del af en kompetent myndigheds register med henblik på at forebygge, undersøge, afsløre og retsforfølge straffelovsovertrædelser.   Rammeafgørelsen gælder ikke for en sådan behandling af personoplysninger i Den Europæiske Politienhed (Europol), Den Europæiske Enhed for Retligt Samarbejde (Eurojust) og toldinforma- tionssystemet, der er etableret i henhold til den konvention, der har hjemmel i artikel K.3 i trakta- ten om Den Europæiske Union, om brug  af informationsteknologi på toldområdet og  alle æn- dringer heraf. Almindelige betingelser for lovlig behandling af personoplysninger I artikel 4 er der fastsat en række grundlæggende principper vedrørende oplysningernes pålide- lighed.  Disse  principper  svarer  til,  hvad  der  følger  af  persondataloven  (og  det  bagvedliggende persondatadirektiv). Af  artikel  4  følger  endvidere,  at  medlemsstaterne  skal  fastsætte  bestemmelser  om,  at  der  klart skal kunne sondres mellem personoplysninger vedrørende   – en person, der mistænkes for at have begået eller deltaget i en straffelovsovertrædelse   – en person, der er dømt for en straffelovsovertrædelse – en person, om hvem der er alvorlig grund til at tro, at han eller hun vil begå en straffelovsover- trædelse – en person, der kan blive indkaldt for at vidne i forbindelse med undersøgelser vedrørende straf- felovsovertrædelser eller med en efterfølgende straffesag – en person, der er offer for en straffelovsovertrædelse, eller om hvem visse kendsgerninger gi- ver anledning til at tro, at han eller hun kan blive offer for en straffelovsovertrædelse – en person, der kan tilvejebringe oplysninger om straffelovsovertrædelser – en kontaktperson eller associeret til en af ovennævnte personer – en person, der ikke falder inden for nogen af ovennævnte kategorier. Medlemsstaterne skal endvidere fastsætte bestemmelser om, at det kun er nødvendigt at behandle personoplysninger, hvis der på  grundlag af etablerede kendsgerninger er  grund til at tro, at de pågældende personoplysninger vil muliggøre, lette eller fremme forebyggelsen, efterforskningen, afsløringen eller retsforfølgningen af en straffelovsovertrædelse, og der ikke findes andre midler, der i mindre grad påvirker den registrerede, samt behandlingen af oplysningerne ikke er urime- ligt vidtgående i forhold til den pågældende overtrædelse.
- I artikel 5 foreskrives det, at medlemsstaterne skal fastsætte bestemmelser om, at de kompetente myndigheder kun må behandle personoplysninger, hvis det er lovbestemt, og det i loven er fast- sat,  at  behandlingen  er  nødvendig  for,  at  de  pågældende  myndigheder  retmæssigt  kan  udføre deres opgave, med henblik på at forebygge, efterforske, afsløre og retsforfølge straffelovsover- trædelser. Efter  artikel  6  skal  medlemsstaterne  forbyde  behandling  af  personoplysninger  om  racemæssig eller  etnisk  baggrund,  politisk,  religiøs  eller  filosofisk  overbevisning,  fagforeningsmæssigt  til- hørsforhold og oplysninger om helbredsforhold og seksuelle forhold. Dette gælder dog ikke, hvis behandlingen er lovbestemt og absolut nødvendig for, at den berørte myndighed retmæssigt kan udføre sin opgave og forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser, eller hvis den registrerede implicit har givet sin samtykke til behandlin- gen,  og  medlemsstaterne  fastsætter  bestemmelser  om  passende  særlige  sikkerhedsgarantier, f.eks. at kun personale, der er ansvarlig for den retmæssige udførelse af en opgave, der begrunder behandlingen, har adgang til oplysningerne. Efter artikel 7 skal medlemsstaterne fastsætte bestemmelser om, at personoplysninger ikke kan lagres længere end, hvad der er nødvendigt i forhold til det formål, hvortil de blev indsamlet, medmindre der er fastsat bestemmelser om andet i national ret. Personoplysninger om de personer, der er omhandlet i artikel 4, stk. 3, sidste led (dvs. personer, der ikke falder inden for nogen af de øvrige kategorier der er nævnt) lagres ikke længere, end hvad der er absolut nødvendigt til det formål, hvortil de blev indsamlet. Medlemsstaterne skal fastsætte bestemmelser om hensigtsmæssige proceduremæssige og tekni- ske foranstaltninger for at sikre, at tidsfristerne for lagring af personoplysninger overholdes. Det kontrolleres regelmæssigt, at disse tidsfrister overholdes. Videregivelse  og  at  stille  personoplysninger  til  rådighed  for  andre  medlemsstaters  kompetente myndigheder Efter artikel 8  skal medlemsstaterne fastsætte bestemmelser om, at personoplysninger kun kan videregives til eller stilles til rådighed for andre medlemsstaters kompetente myndigheder, hvis det er nødvendigt for, at de myndigheder, der sender eller modtager oplysningerne, retmæssigt kan udføre deres opgave, og for at forebygge, efterforske, afsløre og retsforfølge straffelovsover- trædelser.
- Efter artikel 9 skal medlemsstaterne fastsætte bestemmelser om, at kvaliteten af personoplysnin- gerne kontrolleres senest, før de videregives eller stilles til rådighed. I forbindelse med al videre- givelse  af  oplysninger  skal  retsafgørelser  og  afgørelser  om  ikke  at  retsforfølge  så  vidt  muligt anføres, og oplysninger baseret på meninger eller personlige vurderinger kontrolleres ved kilden, inden de videregives, og oplysningernes grad af rigtighed eller pålidelighed anføres. Medlemsstaterne skal fastsætte bestemmelser om, at kvaliteten af personoplysninger, der stilles til rådighed ved direkte elektronisk adgang for andre medlemsstaters kompetente myndigheder, regelmæssigt kontrolleres for at sikre, at der gives adgang til rigtige og ajourførte oplysninger. Medlemsstaterne  skal  fastsætte  bestemmelser  om,  at  personoplysninger,  som  ikke  længere  er rigtige eller ajourførte, ikke videregives eller stilles til rådighed.   Medlemsstaterne skal fastsætte bestemmelser om, at den kompetente myndighed, der videregav eller stillede personoplysninger til rådighed for en anden medlemsstats kompetente myndighed, straks informerer sidstnævnte, hvis den på eget initiativ eller efter anmodning fra den registrere- de konstaterer, at de pågældende oplysninger ikke burde være videregivet eller stillet til rådig- hed, eller at der er videregivet eller stillet urigtige eller forældede oplysninger til rådighed. Medlemsstaterne skal fastsætte bestemmelser om, at den kompetente myndighed, der informeres i  overensstemmelse  med  det  netop  anførte,  sletter  eller  berigtiger  de  pågældende  oplysninger. Endvidere skal samme myndighed berigtige oplysningerne, hvis den opdager, at de er urigtige. Hvis denne myndighed har rimelig grund til at tro, at de modtagne personoplysninger er urigtige eller skal slettes, informerer den straks den kompetente myndighed, der videregav eller stillede de pågældende oplysninger til rådighed.   Medmindre andet gælder ifølge national strafferetspleje skal medlemsstaterne fastsætte bestem- melser om, at personoplysninger på anmodning af den registrerede markeres, hvis den registre- rede nægter, at de er rigtige, og hvis det ikke kan afgøres, om de er rigtige  eller ej. En sådan markering slettes kun med den registreredes samtykke eller på grundlag af en afgørelse truffet af den kompetente ret eller den kompetente tilsynsmyndighed. Medlemsstaterne  skal  fastsætte  bestemmelser  om,  at  personoplysninger,  der  modtages  fra  en anden medlemsstats myndighed, slettes: – hvis oplysningerne ikke burde have været videregivet, stillet til rådighed eller modtaget – efter en tidsfrist, der er fastsat i den anden medlemsstats lov, hvis den myndighed, der videre- gav  eller  stillede  de  pågældende  oplysninger  til  rådighed  har  informeret  den  myndighed,  der modtog dem, om tidsfristen, da de pågældende oplysninger blev videregivet eller stillet til rådig- hed, medmindre der er behov for personoplysningerne til en retssag
- – hvis oplysningerne ikke eller ikke længere er nødvendige til de formål, hvortil de blev videre- givet eller stillet til rådighed. Hvis  personoplysningerne  blev  videregivet  uden  anmodning  kontrollerer  den  myndighed,  der modtog dem, straks, om de er nødvendige til det formål, hvortil de blev videregivet. Personoplysninger slettes ikke, men blokeres i overensstemmelse med national ret, hvis der er rimelig grund til at tro, at en sletning kunne påvirke den registreredes interesser, der skal beskyt- tes. Blokerede oplysninger anvendes eller videregives kun til de formål, der gjorde, at de ikke blev slettet. Efter artikel 10 skal medlemsstaterne fastsætte bestemmelser om, at al elektronisk videregivelse og modtagelse af personoplysninger, navnlig ved direkte elektronisk adgang, registreres, således at det efterfølgende er muligt at kontrollere, hvorfor de blev videregivet, hvilke oplysninger der blev videregivet, tidspunktet for videregivelsen, de involverede myndigheder og for så vidt angår den  myndighed,  der  modtager  oplysningerne,  hvem  der  har  modtaget  oplysningerne,  og  hvem der har anmodet om at få dem. Medlemsstaterne skal fastsætte bestemmelser om, at al elektronisk videregivelse og modtagelse af personoplysninger dokumenteres, således at det efterfølgende er muligt at kontrollere, hvorfor de blev videregivet, hvilke oplysninger der blev videregivet, tidspunktet for videregivelsen, de involverede  myndigheder  og  for  så  vidt  angår  den  myndighed,  der  modtager  oplysningerne, hvem der har modtaget oplysningerne, og hvem der har anmodet om at få dem. Den myndighed, der har registreret eller dokumenteret oplysningerne, skal straks meddele dette til den kompetente tilsynsmyndighed på dennes anmodning. Oplysningerne anvendes kun med henblik på kontrol af databeskyttelsen og til at sikre en ordentlig databehandling samt dataenes integritet og sikkerheden omkring dem. Yderligere  behandling,  navnlig  yderligere  videregivelse  og  overførsel  af  oplysninger,  der  er modtaget fra eller stillet til rådighed af andre medlemsstaters kompetente myndigheder Efter artikel 11 skal medlemsstaterne fastsætte bestemmelser om, at personoplysninger modtaget fra eller stillet til rådighed af en anden medlemsstats kompetente myndighed i overensstemmelse med denne rammeafgørelse, særlig artikel 4, 5 og 6, kun behandles yderligere til enten det særli- ge formål, hvortil de blev videregivet eller stillet til rådighed, eller  hvis de er nødvendige med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædel- ser eller med henblik på forebyggelse af trusler mod den offentlige sikkerhed eller mod en per-
- son, undtagen hvis sådanne hensyn tilsidesættes som følge af behovet for at beskytte den regi- streredes interesser eller grundlæggende rettigheder. I sidstnævnte tilfælde behandles de pågældende personoplysninger kun yderligere efter forudgå- ende samtykke fra den myndighed, der har videregivet eller stillet dem til rådighed. Det gælder dog  ikke,  hvis  det  i  særlovgivning  som  omhandlet  i  afsnit  VI  i  traktaten  om  Den  Europæiske Union eksplicit fastsættes, at personoplysninger modtaget fra eller stillet til rådighed af en anden medlemsstats kompetente myndighed kun behandles yderligere til de formål, hvortil de blev vi- deregivet eller stillet til rådighed. Efter artikel 12 skal medlemsstaterne fastsætte bestemmelser om, at personoplysninger modtaget fra eller stillet til rådighed af en anden medlemsstats kompetente myndigheder kun videregives til eller stilles til rådighed for en medlemsstats øvrige kompetente myndigheder, hvis det er tyde- ligt fastsat i loven, at der er pligt til eller det er tilladt at videregive eller stille oplysningerne til rådighed, hvis det er nødvendigt at videregive eller stille oplysningerne til rådighed for, at den myndighed, der har modtaget de pågældende oplysninger, eller den myndighed, til hvem de skal videregives, retmæssigt kan udføre sin opgave, hvis det er nødvendigt at videregive eller stille oplysningerne til rådighed til de særlige formål, hvortil de blev videregivet eller stillet til rådig- hed, eller med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straffe- lovsovertrædelser  eller  for  at  forebygge  trusler  mod  den  offentlige  sikkerhed  eller  en  person, undtagen hvis sådanne hensyn må tilsidesættes som følge af behovet for at beskytte den registre- redes interesser eller grundlæggende rettigheder, og hvis den kompetente myndighed i den med- lemsstat, der har videregivet eller stillet de pågældende oplysninger til rådighed for den kompe- tente myndighed, der har til hensigt selv at videregive dem eller stille dem til rådighed, har givet sit forudgående samtykke hertil. Er der spørgsmål om videregivelse mv. af oplysninger modtaget fra eller stillet til rådighed af en anden  medlemsstats  kompetente  myndigheder  til  andre  myndigheder  end  de  kompetente  myn- digheder, følger det af artikel 13, at dette alene kan ske i særlige tilfælde og hvis det er tydeligt fastsat i loven, at der er pligt til eller det er tilladt at videregive oplysningerne, og videregivelsen af de pågældende oplysninger er enten nødvendig af hensyn til de særlige formål, hvortil de blev videregivet eller stillet til rådighed, eller med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller for at forebygge trusler mod den offentlige sikkerhed eller mod en person, undtagen hvis sådanne hensyn må tilsidesættes som følge af be- hovet for at beskytte den registreredes interesser eller grundlæggende rettigheder eller nødven- dig, fordi de pågældende oplysninger er uundværlige for den myndighed, til hvem oplysningerne skal videregives, for at den kan udføre sin retmæssige opgave, og forudsat at formålet med den myndigheds indsamling eller behandling ikke er uforeneligt med den oprindelige behandling og ikke strider mod de retlige forpligtelser, der påhviler den myndighed, der har til hensigt at vide-
- regive oplysningerne eller uden tvivl i den registreredes interesse, og enten den registrerede har givet sit samtykke hertil, eller omstændighederne er sådan, at det uden tvivl kan formodes, at det forholder sig sådan.   Videregivelse eller at stille oplysninger til rådighed kan dog også ske, hvis den kompetente myn- dighed i den medlemsstat, der har videregivet eller stillet de pågældende oplysninger til rådighed for den kompetente myndighed, der har til hensigt selv at videregive dem, har givet sit forudgå- ende samtykke hertil.   For så vidt angår videregivelse af oplysninger til private, følger det af artikel 14, at medmindre andet gælder ifølge nationale strafferetsplejeregler skal medlemsstaterne fastsætte bestemmelser om, at personoplysninger modtaget fra eller stillet til rådighed af en anden medlemsstats kompe- tente  myndighed  kun  kan  videregives  til  private  parter  i  en  medlemsstat  i  særlige  tilfælde,  og hvis det er tydeligt fastsat i loven, at der er pligt til eller det er tilladt at videregive oplysningerne, og hvis videregivelsen er nødvendig til de formål, hvortil de blev videregivet eller stillet til rå- dighed, eller med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straf- felovsovertrædelser eller for at forebygge trusler mod den offentlige sikkerhed eller mod en per- son,  undtagen  hvis  sådanne  hensyn  må  tilsidesættes  som  følge  af  behovet  for  at  beskytte  den registreredes  interesser  eller  grundlæggende  rettigheder,  og  hvis  den  kompetente  myndighed  i den medlemsstat, der har videregivet eller stillet de pågældende oplysninger til rådighed for den kompetente myndighed, der har til hensigt selv at videregive dem, har givet sit forudgående sam- tykke til, at de videregives til private parter. I artikel 15 er der fastsat bestemmelser om overførsel til kompetente myndigheder i tredjelande eller  til  internationale  organer.  Af  bestemmelsen  følger,  at  medlemsstaterne  skal  fastsætte  be- stemmelser om, at personoplysninger modtaget fra eller stillet til rådighed af en anden medlems- stats kompetente myndigheder ikke videregives til kompetente myndigheder i tredjelande eller til internationale organer, undtagen hvis denne videregivelse er i overensstemmelse med rammeaf- gørelsen og herunder navnlig hvis det er tydeligt fastsat i loven, at der er pligt til eller det er til- ladt at overføre oplysningerne, hvis overførslen er nødvendig til de formål, hvortil de blev vide- regivet eller stillet til rådighed, eller med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser, eller for at forebygge trusler mod den offentlige sik- kerhed eller mod en person, undtagen hvis sådanne hensyn må tilsidesættes som følge af behovet for at beskytte den registreredes interesser eller grundlæggende rettigheder, hvis den kompetente myndighed i en anden medlemsstat, som har videregivet eller stillet de pågældende oplysninger til rådighed for den kompetente myndighed, der har til hensigt selv at videregive dem, eksplicit har givet sit forudgående samtykke hertil, samt at der sikres en passende grad af databeskyttelse i tredjelandet eller det internationale organ, til hvem de pågældende oplysninger overføres.  
10 - Medlemsstaterne sikrer, at det i lyset af alle omstændigheder omkring hver overførsel eller kate- gori  af  overførsler  vurderes,  om  tredjelandet  eller  det  internationale  organ  sikrer  en  passende grad af beskyttelse af oplysningerne. Vurderingen baseres navnlig på en undersøgelse af følgen- de  elementer:  oplysningernes  art,  behandlingens  formål  og  varighed,  oprindelseslandet  og  det endelige bestemmelsesland, de retsregler - almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland eller organ, samt de regler for god forvaltningsskik og de sikkerheds- foranstaltninger,  der  gælder  der,  samt  at  modtageren  af  de  overførte  oplysninger  opstiller  til- strækkelige sikkerhedsgarantier. Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredje- land eller et internationalt organ ikke sikrer et tilstrækkeligt beskyttelsesniveau. Når  det  efter  komitologiproceduren  i  artikel  16  fastslås,  at  et  tredjeland  eller  et  internationalt organ ikke sikrer et passende beskyttelsesniveau i den betydning, der anvendes i stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at forhindre al overførsel af person- oplysninger til det pågældende tredjeland eller internationale organ. I overensstemmelse med komitologiproceduren i artikel 16 kan det fastslås, at et tredjeland eller et internationalt organ sikrer et passende beskyttelsesniveau i den betydning, der anvendes i stk. 2, som følge af dets nationale love  eller internationale forpligtelser for at beskytte privatlivets fred og den enkeltes grundlæggende friheder og rettigheder. Personoplysninger,  der  modtages  fra  den  kompetente  myndighed  i  en  anden  medlemsstat,  kan undtagelsesvis  videregives  til  de  kompetente  myndigheder  i  tredjelande  eller  til  internationale organer,  som  ikke  sikrer  et  passende  beskyttelsesniveau,  hvis  det  er  absolut  nødvendigt  for  at beskytte en medlemsstats væsentlige interesser eller forebygge en umiddelbart forestående alvor- lig fare, der truer den offentlige sikkerhed eller en eller flere specifikke personer. I artikel 16 fastsættes der nærmere regler for indførelsen af komitologiproceduren.   Af artikel 17 følger det, at artikel 12 (om overførsel til andre kompetente myndigheder), artikel 13  (om  videregivelse  til  andre  myndigheder  end  de  kompetente  myndigheder),  artikel  14  (om videregivelse af oplysninger til private) og artikel 15 (om overførsel til kompetente myndigheder i tredjelande eller til internationale organer) ikke finder anvendelse, hvis det i særlovgivning som omhandlet i afsnit VI i traktaten om Den Europæiske Union eksplicit fastsættes, at personoplys- ninger  modtaget  fra  eller  stillet  til  rådighed  af  en  anden  medlemsstats  kompetente  myndighed ikke må videregives eller kun videregives på mere specifikke betingelser.
11 - Artikel 18 foreskriver, at medlemsstaterne skal fastsætte bestemmelser om, at den kompetente myndighed, hvorfra personoplysningerne blev modtaget, eller af hvem de blev stillet til rådighed, på anmodning informeres om den videre behandling af oplysningerne og de opnåede resultater. Den registreredes rettigheder I artikel 19 og 20 er der fastsat udførlige bestemmelser om underretning af den registrerede per- son.   Efter bestemmelsen i artikel 19 skal medlemsstaterne sikre, at den registeransvarlige eller dennes repræsentant - medmindre den pågældende allerede er bekendt hermed - skal give den person, hos og om hvem der med den pågældendes viden indsamles oplysninger, følgende informationer: Den registeransvarliges og eventuelt dennes repræsentants identitet, formålene med den behand- ling, hvortil oplysningerne er bestemt og alle yderligere informationer som f. eks. retsgrundlaget for databehandlingen, modtagerne eller kategorierne af modtagere af oplysninger, om det er ob- ligatorisk eller frivilligt at besvare spørgsmålene eller indgå i andre former for samarbejde samt mulige følger af ikke at svare eller samarbejde samt retten til indsigt i og til berigtigelse af per- sonoplysninger vedrørende den registrerede selv, for så vidt som denne information er nødvendig under hensyn til de særlige forhold, hvorunder oplysningerne indsamles, for at garantere en fair behandling over for den registrerede. Oplysninger må kun nægtes udleveret eller kun udleveret i begrænset omfang, hvis det er nød- vendigt  for  at  sætte  den  registeransvarlige  i  stand  til  at  udføre  sine  lovbestemte  opgaver  på tilfredsstillende  vis,  for  at  undgå  at  skade  igangværende  efterforskninger,  undersøgelser  eller retssager eller forhindre de kompetente myndigheder i at udføre deres retmæssige opgaver, for at beskytte den offentlige sikkerhed og den offentlige orden i en medlemsstat eller for at beskytte tredjemands rettigheder og friheder.   Det gælder dog ikke, hvis sådanne hensyn tilsidesættes som følge af behovet for at beskytte den registreredes interesser eller grundlæggende rettigheder. Hvis oplysninger nægtes udleveret eller kun i begrænset omfang udleveres, informerer den regi- steransvarlige den registrerede om, at sidstnævnte kan klage til den kompetente tilsynsmyndig- hed, uden at det påvirker klageadgangen til retten eller en eventuel national strafferetssag.   Årsagerne til afslaget eller begrænsningen skal ikke videreformidles, hvis dette skader formålet hermed. I så tilfælde informerer den registeransvarlige den registrerede om, at han kan klage til den kompetente tilsynsmyndighed, uden at det påvirker klageadgangen til retten eller en eventuel national  strafferetssag.  Hvis  den  registrerede  klager  til  tilsynsmyndigheden,  behandler  denne
12 - klagen. Under behandlingen af klagen informerer tilsynsmyndigheden kun den registrerede om, hvorvidt oplysningerne er blevet korrekt behandlet, og hvis det ikke er tilfældet, om de nødven- dige berigtigelser er blevet foretaget. Af artikel 20 følger, at når oplysningerne ikke er indhentet hos den registrerede eller er blevet indhentet uden dennes viden eller kendskab til, at der blev indsamlet oplysninger om ham, fast- sætter  medlemsstaterne  bestemmelser  om,  at  den  registeransvarlige  eller  dennes  repræsentant allerede ved registreringen af oplysningerne, eller hvis oplysningerne videregives til tredjemand, inden for et rimeligt tidsrum, efter at de første gang blev videregivet, skal give den registrerede en  række  oplysninger  vederlagsfrit,  medmindre  den  pågældende  allerede  er  bekendt  hermed, eller det viser sig at være umuligt eller uforholdsmæssigt vanskeligt at give denne information. Det  drejer  sig  om  oplysninger  om,  den  registeransvarliges  og  eventuelt  dennes  repræsentants identitet, formålene med databehandlingen og alle yderligere informationer som f.eks. retsgrund- laget for databehandlingen, hvilken type personoplysninger der er tale om, modtagerne eller ka- tegorierne af modtagere af personoplysningerne, retten til indsigt i og til berigtigelse af person- oplysninger  vedrørende  den  registrerede  selv,  for  så  vidt  som  disse  yderligere  oplysninger  er nødvendige under hensyn til de særlige forhold, hvorunder oplysningerne behandles, for at ga- rantere en fair behandling over for den registrerede. Informationer gives ikke, hvis dette er nødvendigt for at sætte den registeransvarlige i stand til at udføre sine lovbestemte opgaver på tilfredsstillende vis, for at undgå at skade igangværende ef- terforskninger, undersøgelser eller retssager eller forhindre de kompetente myndigheder i at ud- føre deres retmæssige opgaver, for at beskytte den offentlige sikkerhed og den offentlige orden i en medlemsstat eller for at beskytte tredjemands rettigheder og friheder undtagen hvis sådanne hensyn tilsidesættes som følge af behovet for at beskytte den registreredes interesser eller grund- læggende rettigheder. I artikel 21 er der fastsat bestemmelser om den registrerede persons ret til adgang til samt berig- tigelse, sletning eller blokering af oplysninger. Efter bestemmelsen skal medlemsstaterne sikre enhver registreret ret til hos den registeransvarli- ge frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter at få oplyst,  om  der  behandles  personoplysninger  om  den  pågældende  selv,  samt  mindst  formålene med behandlingen, hvilken type oplysninger det drejer sig om, retsgrundlaget for databehandlin- gen og modtagerne eller kategorierne af modtagere af oplysningerne, at få meddelt letforståelig information om, hvilke oplysninger der er omfattet af behandlingerne, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer.  
13 - Den registrerede skal også have adgang til efter omstændighederne at få oplysninger, som ikke er blevet  behandlet  i  overensstemmelse  med  rammeafgørelsen,  berigtiget,  slettet  eller  blokeret, navnlig hvis de er ufuldstændige eller urigtige samt at få udvirket, at tredjemand, til hvem sådan- ne oplysninger er blevet videregivet, underrettes om enhver berigtigelse, sletning eller blokering, der er foretaget, medmindre underretning viser sig umulig eller er uforholdsmæssig vanskelig. Enhver foranstaltning, den registrerede (ellers) har ret til i henhold til bestemmelsen, kan nægtes, hvis dette er nødvendigt for at sætte den registeransvarlige i stand til at udføre sine lovbestemte opgaver på tilfredsstillende vis, for at undgå at skade igangværende efterforskninger, undersøgel- ser eller retssager eller forhindre de kompetente myndigheder i at udføre deres retmæssige opga- ver, for at beskytte den offentlige sikkerhed og den offentlige orden i en medlemsstat, eller for at beskytte tredjemands rettigheder og friheder.    Dette gælder dog ikke, hvis sådanne hensyn tilsidesættes som følge af behovet for at beskytte den registreredes interesser eller grundlæggende rettigheder. Et afslag på at nyde de rettigheder, der er omhandlet i bestemmelsen, eller en begrænsning heraf gives skriftligt. Hvis en anmodning ikke efterkommes eller kun i begrænset omfang efterkom- mes, informerer den registeransvarlige den registrerede om, at han kan klage til den kompetente tilsynsmyndighed, uden at det påvirker klageadgangen til retten eller en eventuel national straffe- retssag.   Årsagerne  til  afslaget  eller  begrænsningen  skal  ikke  videreformidles  til  den  registrerede,  hvis dette skader formålet hermed. I så fald informerer den registeransvarlige den registrerede om, at han kan klage til den kompetente tilsynsmyndighed, uden at det påvirker klageadgangen til retten eller  en  eventuel  national  strafferetssag.  Hvis  den  registrerede  klager  til  tilsynsmyndigheden, behandler denne klagen. Under behandlingen af klagen informerer tilsynsmyndigheden kun den registrerede om, hvorvidt oplysningerne er blevet korrekt behandlet, og hvis det ikke er tilfældet, om de nødvendige berigtigelser er blevet foretaget. Efter  artikel  22 skal  medlemsstaterne  fastsætte  bestemmelser  om,  at  der  skal  træffes  passende tekniske foranstaltninger for at sikre, at i de tilfælde, hvor den registeransvarlige berigtiger, blo- kerer eller sletter personoplysninger efter en anmodning herom, udformes der automatisk en liste over leverandørerne og modtagerne af disse oplysninger. Den registeransvarlige sikrer, at de på listen anførte informeres om ændringerne af personoplysningerne. Fortrolighed og sikkerhed i forbindelse med databehandlingen
14 - Efter artikel 23 (som svarer til, hvad der følger af persondatadirektivet) må enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får  adgang  til  personoplysninger,  kun  behandle  disse  efter  instruks  fra  den  registeransvarlige, bortset fra tilfælde der er fastsat i lovgivningen. Alle personer, der skal arbejde med eller inden for en kompetent myndighed i en medlemsstat, er bundet af strenge fortrolighedsregler. I artikel 24 (som i vidt omfang svarer til hvad der følger af persondatadirektivet) opstilles der en række krav til behandlingssikkerheden.   Af bestemmelsen fremgår bl.a., at medlemsstaterne skal fastsætte bestemmelser om, at den regi- steransvarlige skal gennemføre hensigtsmæssige tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod uagtsomt eller ulovligt at blive destrueret eller ved et uheld at gå tabt, blive ændret, blive videregivet eller givet adgang til uden bemyndigelse hertil, navnlig når databehandlingen involverer overførsel via et netværk eller rådighedsstillelse af oplysninger ved at give direkte elektronisk adgang, og mod alle andre ulovlige former for databehandling, idet der tages hensyn til navnlig risiciene i forbindelse med behandlingen og arten af de oplys- ninger, der skal beskyttes. Disse  foranstaltninger  skal  under  hensyn  til  det  aktuelle  tekniske  niveau  og  de  omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i for- hold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes. Foranstaltningerne vurderes som værende nødvendige, hvis den dermed forbundne indsats står i passende forhold til det tilstræbte sikkerhedsniveau. Med henblik på elektronisk databehandling af oplysninger skal hver medlemsstat træffe passende foranstaltninger til at sikre, at uautoriserede personer ikke kan få adgang til de anlæg, der benyt- tes til behandling af personoplysninger (kontrol med fysisk adgang til anlæggene), at databærer- ne hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med data- bærere),  at  der  ikke  kan  ske  uautoriseret  lagring  af  oplysninger,  og  at  uautoriserede  personer hverken kan få kendskab til, ændre eller slette lagrede personoplysninger (kontrol med lagring), at edb-systemerne ikke via datatransmissionsanlæg kan benyttes af uautoriserede personer (bru- gerkontrol), at personer med bemyndigelse til at anvende et elektronisk databehandlingssystem kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med data- adgangen), at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet eller kan være blevet videregivet eller stillet personoplysninger til rådighed ved hjælp af datakommunikations- udstyr (kontrol med kommunikationsudstyr), at det er muligt efterfølgende at undersøge og fast- slå, hvilke personoplysninger der er indlæst i edb-systemerne, hvornår og af hvem (efterfølgende kontrol med indlæsning), at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af databærere
15 - (kontrol ved overførsler og med transport af databærere), at de anvendte systemer i tilfælde af teknisk uheld straks kan genetableres (genopretning), og at systemet fungerer fejlfrit, at indtrufne fejl straks meldes (pålidelighed), og at lagrede oplysninger ikke bliver forkerte som følge af fejl- funktioner i systemet (ægthed). Efter artikel 25 (som stort set svarer til persondatadirektivet) skal alle registeransvarlige føre et register med en række informationer vedrørende enhver behandling eller serie af behandlinger, der tjener et enkelt formål eller flere relaterede formål.   Medlemsstaterne skal præcisere, på hvilke betingelser og efter hvilke procedurer de omhandlede oplysninger skal anmeldes til tilsynsmyndigheden.   Efter artikel 26 (som svarer til persondatadirektivet) skal medlemsstaterne præcisere, hvilke be- handlinger der kan indebære særlige risici for personers rettigheder og friheder, og sikrer, at dis- se behandlinger kontrolleres, inden de iværksættes. Klageadgang, erstatningsansvar og sanktioner Forslaget indeholder i artikel 27 (om klageadgang), i artikel 28 (om erstatningsansvar) og i arti- kel 29 (om sanktioner) bestemmelser, der i det væsentlige svarer til den ordning, som er fastsat i persondatadirektivet.   Tilsynsmyndighed og arbejdsgruppe på området Forslaget  indeholder  i  artikel  30 (om  en  tilsynsmyndighed)  og  artikel  31 (om  oprettelse  af  en arbejdsgruppe på området) bestemmelser, som stort set svarer til, hvad der følger af persondata- direktivet.   Afsluttende bestemmelser Artikel 33 fastsætter, at i forhold, der falder under anvendelsesområdet for EU-traktaten, erstatter rammeafgørelsen artikel 126-130 i Schengen-konventionen. Artikel 34 foreskriver, at rammeafgørelsen erstatter artikel 23 i konventionen om gensidig rets- hjælp i straffesager mellem Den Europæiske Unions medlemsstater. Endvidere fastsættes det, at alle henvisninger til Europarådets konvention nr. 108 af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger skal læses som en henvisning til rammeafgørelsen.
16 - Artikel 35 og artikel 36 regulerer spørgsmålet om gennemførelse og ikrafttræden. 3.  Gældende dansk ret 3.1.  Den  regulering,  som  foreslås  efter  forslaget  til  rammeafgørelse,  afspejles  i  vidt  omfang  i persondataloven, jf. lov nr. 429 af 31. maj 2000 om behandling af personoplysninger som ændret ved lov nr. 280 af 25. april 2001 (der gennemfører persondatadirektivet – direktiv 95/46/EF – i dansk ret)   Dette gælder navnlig med hensyn til de foreslåede bestemmelser vedrørende rammeafgørelsens formål,  definitioner  og  anvendelsesområde  (jf.  forslagets  artikel  1-3),  vedrørende  almindelige grundlæggende principper for behandling af personoplysninger  (jf. især forslagets artikel 4-5), vedrørende fortrolighed og sikkerhed i forbindelse med databehandling (jf. forslagets artikel 23- 26),  vedrørende  klageadgang,  erstatningsansvar  og  sanktioner  (jf.  forslagets  artikel  27-29)  og vedrørende tilsynsmyndighed og en arbejdsgruppe på området (jf. forslagets artikel 30-32). Disse bestemmelser svarer således stort set til, hvad der følger af persondataloven (og det bag- vedliggende persondatadirektiv).   I lyset heraf koncentreres den følgende beskrivelse af gældende dansk ret på området om de dele af rammeafgørelsen, som vedrører lovligheden af behandling af personoplysninger samt registre- rede personers rettigheder.    3.2.  Persondataloven   gælder  -  ligesom  forslaget  til  rammeafgørelse  –  for  behandling  af personoplysninger, som  helt eller delvis  foretages ved hjælp af  elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Uden for persondatalovens anvendelsesområde, falder bl.a. behandlinger der udføres for politiets eller forsvarets efterretningstjenester, jf. lovens § 2, stk. 11.   Bestemmelserne i lovens kapitel 8 (om oplysningspligt over for den registrerede) og §§ 35-37 og § 39 (om bl.a. den registreredes indsigelsesret over for behandlinger, om den registreredes ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige mv. samt ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget mv. samt om den registreredes ret til indsigelse mod visse automatiserede afgørelser samt ret til oplysning om beslutningsgrundla- get) finder ikke anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område. Desuden finder kapitel 9 (om den regi-
17 - streredes indsigtsret) heller ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Der henvises til persondatalovens § 2, stk. 4.   3.3. Persondataloven indeholder i § 5 en række grundlæggende principper for behandling af per- sonoplysninger, herunder regler om indsamling, ajourføring, opbevaring mv. Reglerne i kapitel 5 giver ikke et selvstændigt retligt grundlag for at foretage en bestemt behand- ling af personoplysninger. Hjemmel hertil skal søges i de øvrige behandlingsregler i navnlig §§ 6-8, hvorefter der kan ske behandling, herunder videregivelse mv., hvis dette er nødvendigt til en række nærmere angivne formål, herunder bl.a. af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område. Det bemærkes i den forbindelse, at persondatalo- vens § 8, stk. 2, indeholder særlige videregivelsesregler vedrørende bl.a. oplysninger om strafba- re forhold.   Behandlingsreglerne i persondatalovens §§ 6-8 adskiller sig på en række punkter fra den mere detaljerede regulering, som foreslås efter forslaget til rammeafgørelse. Der kan bl.a. peges på, at persondataloven ikke indeholder særlige regler om forskellige grader af rigtighed og pålidelighed i forbindelse med databehandlingen eller om, at der klart skal kunne sondres mellem personop- lysninger vedrørende forskellige persongrupper (mistænke, dømte, vidner, ofre mv.).   Herudover kan der peges på, at persondatalovens 7 ikke indeholder helt så strenge betingelser for (undtagelsesvist) at behandle særlige kategorier af oplysninger (personoplysninger om racemæs- sig eller etnisk baggrund mv.), som de betingelser der foreslås efter artikel 6 i forslaget til ram- meafgørelse.   Endelig kan det nævnes, at persondataloven ikke – på samme måde som forslaget til rammeafgø- relse – indeholder særlige og detaljerede bestemmelser om videregivelse og stillen til rådighed af personoplysninger til andre medlemsstaters kompetente myndigheder (se forslagets artikel 8-10) eller  om  yderligere  behandling,  navnlig  yderligere  videregivelse  og  overførsel  af  oplysninger, der er modtaget fra eller stillet til rådighed af andre medlemsstaters kompetente myndigheder (se hertil forslagets artikel 11-18). Hvad særligt angår spørgsmålet om overførsel af oplysninger til kompetente myndigheder i tred- jelande eller til internationale organer bemærkes dog, at persondataloven i § 27 indeholder særli- ge regler om overførsel af oplysninger til tredjelande. Disse regler er imidlertid ikke enslydende med og synes ikke så restriktive som reglerne i forslaget til rammeafgørelse (se hertil artikel 15).   3.4. Som tidligere nævnt følger det af persondatalovens § 2, stk. 4,  at en række af lovens be- stemmelser om den registreredes rettigheder ikke finder anvendelse på behandlinger, der foreta-
18 - ges for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige områ- de.   Det drejer sig for det første om bestemmelserne i persondatalovens kapitel 8 (§§ 28-30) om op- lysningspligt over for den registrerede. For det andet er der gjort fravigelse fra bestemmelserne i persondatalovens kapitel 9 (§§ 31-34) om den registreredes indsigtsret, for så vidt angår behandling af personoplysninger, der foretages for domstolene inden for det strafferetlige område.   Reglerne i kapital 9 gælder således alene med hensyn til behandlinger, der foretages for politi og anklagemyndighed (og særmyndigheder mv.) inden for det strafferetlige område. Efter persondatalovens § 31, stk. 1, har en registreret person – efter begæring – ret til indsigt i en række  oplysninger  om  vedkommende  selv  (egenacces).  Dette  gælder  dog  bl.a.  ikke,  hvis  den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hen- syn til private eller offentlige interesser, herunder bl.a. den offentlige sikkerhed eller forebyggel- se, efterforskning, afsløring eller retsforfølgning i straffesager, eller hvis der i øvrigt er grundlag for at gøre undtagelser fra indsigtsretten efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og § 14. Der henvises til persondatalovens § 32, stk. 1 og 2.   Herudover følger det af lovens § 32, stk. 5, at justitsministeren under visse betingelser kan træffe bestemmelse om, at der generelt gøres undtagelse fra retten til indsigt i oplysninger, der behand- les af offentlige myndigheder på det strafferetlige område, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås. Med hjemmel i denne bestemmelse er der fastsat nærmere regler om egenacces i bekendt- gørelse nr. 218 af 27. marts 2001 om behandling af personoplysninger i Det Centrale Kriminal- register.   Reglerne om egenacces i persondataloven synes ikke så vidtgående som de modsvarende regler i forslaget til rammeafgørelse. Der kan bl.a. peges på, at den registrerede efter forslaget til ramme- afgørelse  skal  oplyses  om  retsgrundlaget  for  databehandlingen,  ligesom  grundene  til  at  nægte den registrerede indsigtsret er mere begrænsede end efter persondataloven.   Endelig kan det - for det tredje – nævnes, at kun visse af bestemmelserne i persondatalovens ka- pitel 10 finder anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område.
19 - Det drejer sig bl.a. om  bestemmelserne i lovens § 37 om den registreredes ret til berigtigelse, sletning  eller  blokering  af  oplysninger,  der  er  urigtige  mv.  samt  ret  til  underretning  af  tredje- mand, som har modtaget oplysninger, der er berigtiget mv.   3.5. Persondataloven indeholder i kapitel 11 (§§ 41-42) regler om den fysiske behandlingssik- kerhed og i kapitel 12 (§§ 43-47) regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning til tilsynsmyndigheden.   Supplerende  administrative  bestemmelser  om  sikkerhedsforanstaltninger  til  beskyttelse  af  per- sonoplysninger, som behandles for den offentlige forvaltning, er fastsat i bekendtgørelse nr. 528 af 15. juni 2000.   Bestemmelser  om  klageadgang,  erstatningsansvar  og  sanktioner  er  fastsat  i  persondatalovens kapitel 18 (§§ 69-71).   Hvad angår reglerne om Datatilsynets organisation og funktioner henvises der til persondatalo- vens kapitel 16 (§§ 55-66).   4.  Lovgivningsmæssige og statsfinansielle konsekvenser  4.1. Lovgivningsmæssige konsekvenser Forslaget til rammeafgørelse om databeskyttelse vil i den nuværende udformning have lovgiv- ningsmæssige konsekvenser, navnlig med hensyn til de foreslåede bestemmelser om, hvornår der kan ske behandling af personoplysninger samt om den registreredes rettigheder.   4.2. Statsfinansielle konsekvenser   Kommissionen  har  i  den  ledsagende  begrundelse  for  forslaget  anført,  at  gennemførelse  af  den foreslåede  rammeafgørelse  kun  vil  medføre  få  supplerende  administrative  udgifter,  der  skal dækkes over EU’s budget, til møder og sekretæropgaver for udvalget og det rådgivende organ, der forventes nedsat til forslagets artikel 16 og 31.   For så vidt angår de danske myndigheder, som løser opgaver inden for rammeafgørelsens områ- de, vurderes det umiddelbart, at forslaget ikke vil medføre statsfinansielle konsekvenser af be- tydning. Dog vil de foreslåede krav til fysisk behandlingssikkerhed (se især forslagets artikel 10 og 24) muligvis kunne føre til visse forøgede udgifter til udvikling af tekniske foranstaltninger. Det er imidlertid på nuværende tidspunkt, hvor høring over forslaget ikke er gennemført, ikke muligt at tage nærmere stilling hertil.  
20 - 5.  Høring Forslaget er sendt i høring hos følgende myndigheder, organisationer mv.: Præsidenten for Østre Landsret, Præsidenten for Vestre Landsret, Præsidenten for Københavns Byret, Præsidenten for Retten i Århus, Præsidenten for Retten i Odense, Præsidenten for Retten i Aalborg, Præsidenten for Retten i Roskilde, Den Danske Dommerforening, Dommerfuldmægtig- foreningen,   Domstolsstyrelsen,   Rigspolitichefen,   Rigsadvokaten,   Statsadvokaten   for   Særlig Økonomisk Kriminalitet, Politidirektøren i København, Foreningen  af Politimestre i Danmark, Politifuldmægtigforeningen,  Politiforbundet  i  Danmark,  Datatilsynet,  Advokatrådet,  Amnesty International, Dansk Told- og Skatteforbund, Institut for Menneskerettigheder og Landsforenin- gen af beskikkede advokater. 6. Nærhedsprincippet I  begrundelsen  for  forslaget  har  Kommissionen  anført  følgende  med  hensyn  til,  hvorfor  nær- hedsprincippet er overholdt: ”Denne rammeafgørelse vedrører situationer, der er hyppigt forekommende i forbin- delse  med  det  politimæssige  og  strafferetlige  samarbejde  mellem  medlemsstaterne, navnlig i forbindelse med udvekslingen af oplysninger for at sikre og fremme effek- tive og retlige foranstaltninger til forebyggelse og bekæmpelse af kriminalitet, navn- lig  grov  kriminalitet  og  terrorisme,  i  alle  medlemsstater.  Nationale,  bilaterale  eller multilaterale løsninger kan være nyttige for de enkelte medlemsstater, men de tager ikke hensyn til behovet for at sikre den interne sikkerhed i hele EU. De retshåndhæ- vende myndigheders behov for oplysninger afhænger i vid udstrækning af integrati- onsgraden mellem landene. Det skønnes, at omfanget af udvekslingen af oplysninger mellem medlemsstaterne med henblik på retshåndhævelse vil stige, og det er derfor nødvendigt at supplere med sammenhængende regler om databehandling og databe- skyttelse. Denne rammeafgørelse respekterer subsidiaritetsprincippet som fastsat i ar- tikel 2 i traktaten om Den Europæiske Union og artikel 5 i traktaten om oprettelse af Det Europæiske Fællesskab, for så vidt som den tager sigte på en gensidig tilnærmel- se af medlemsstaternes lov og administrative bestemmelser, hvilket medlemsstaterne ikke kan gøre hensigtsmæssig vis, hvis de handler på egen hånd, men kræver en fæl- les indsats på EU-plan” Efter regeringens opfattelse må nærhedsprincippet anses for overholdt, da formålet med forslaget som nævnt er at sikre beskyttelse af personoplysninger på området og dermed skabe  grundlag
21 - for, at der i EU kan indføres mere effektive ordninger for informationsudveksling i forbindelse med bekæmpelse af grænseoverskridende kriminalitet. 7. Andre landes kendte holdninger Der ses ikke at foreligge offentlige tilkendegivelser om andre medlemsstaters holdninger til for- slaget. 8. Foreløbig generel dansk holdning Fra dansk side er man overordnet set positiv over for udviklingen af et EU-instrument, der fast- lægger  (mindste-)regler  om  beskyttelse  af  persondata  i  forbindelse  med  det  politimæssige  og strafferetlige samarbejde (søjle 3). 9. Orientering af andre af Folketingetstingets udvalg Grundnotatet sendes – ud over til Folketingets Europaudvalg – også til Folketingets Retsudvalg.