<DOCUMENT_START>

 

 

Forslag til folketingsbeslutning

om udkast til rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager

 

»Folketinget meddeler sit samtykke til, at Danmark i Rådet for Den Europæiske Union medvirker til vedtagelsen af udkastet til rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager.«

 

Bemærkninger til forslaget

 

Indholdsfortegnelse

 

1.     Formålet med fremsættelse af forslaget til folketingsbeslutning. 2

2.     Baggrund og hovedpunkter 4

2.1.       Baggrunden for udkastet til rammeafgørelse. 4

2.2.       Rammeafgørelsens hovedpunkter 6

3.     Indholdet af udkastet til rammeafgørelsen. 7

3.1.       Anvendelsesområde og definitioner 7

3.2.       Behandlingsregler 9

3.3.       Datakvalitet mv. 12

3.4.       Den registreredes rettigheder 14

3.5.       Behandlingssikkerhed. 16

3.6.       Tilsyn, domstolsprøvelse, erstatning og sanktioner 17

3.7.       Øvrige bestemmelser mv. 19

4.     De lovgivningsmæssige konsekvenser af udkastet til rammeafgørelse. 20

4.1.       Indledende bemærkninger 22

4.2.       Anvendelsesområde og definitioner 22

4.3.       Behandlingsregler 23

4.4.       Datakvalitet mv. 28

4.5.       Den registreredes rettigheder 29

4.6.       Behandlingssikkerhed. 33

4.7.       Tilsyn, domstolsprøvelse, erstatning og sanktioner 34

4.8.       Øvrige bestemmelser mv. 36

 

 

1. Formålet med fremsættelse af forslaget til folketingsbeslutning

 

Formålet med fremsættelse af forslaget til folketingsbeslutning er efter grundlovens § 19 at opnå Folketingets samtykke til, at regeringen på Danmarks vegne medvirker til Rådet for Den Europæiske Unions vedtagelse af et udkast til rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (den såkaldte rammeafgørelse om databeskyttelse). Udkastet til rammeafgørelse, som affattet den 11. december 2007, er medtaget som bilag 1.

 

Udkastet til rammeafgørelse er på grundlag af et forslag fra Kommissionen udarbejdet under henvisning til traktaten om Den Europæiske Union (TEU), særlig artikel 30 om fælles handling vedrørende politisamarbejde, artikel 31 om fælles handling vedrørende retligt samarbejde i kriminalsager samt artikel 34, stk. 2, litra b), hvorefter Rådet på initiativ af en medlemsstat eller Kommissionen med enstemmighed kan vedtage rammeafgørelser om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser.

 

Rammeafgørelser er et instrument, som Den Europæiske Union kan benytte sig af inden for det mellemstatslige samarbejde på det politimæssige og strafferetlige område (TEU afsnit VI). Rammeafgørelser er bindende for medlemsstaterne med hensyn til det tilsigtede mål, men overlader det til de nationale myndigheder at bestemme form og midler for gennemførelsen. Rammeafgørelser indebærer ikke umiddelbar anvendelighed.

 

Rammeafgørelser har således karakter af en folkeretligt bindende forpligtelse for medlemsstaterne, der indtræder ved Rådets vedtagelse af rammeafgørelsen. Medlemsstaterne er forpligtede til at sikre gennemførelsen af rammeafgørelsen i national ret, herunder om nødvendigt i kraft af lovgivningsmæssige initiativer.

 

På den baggrund forudsætter Danmarks medvirken til Rådets vedtagelse af rammeafgørelser, der kræver ændringer af dansk lovgivning, Folketingets forudgående samtykke efter grundlovens § 19, stk. 1.

 

Denne fremgangsmåde blev i øvrigt anvendt i forbindelse med Rådets vedtagelse af rammeafgørelsen om styrkelse af beskyttelsen af falskmøntneri ved hjælp af strafferetlige og andre sanktioner, i forbindelse med indførelsen af euroen, jf. Folketingstidende 1999-2000, Tillæg A, side 7738-7747, i forbindelse med Rådets vedtagelse af rammeafgørelsen om den europæiske arrestordre, jf. Folketingstidende 2001-2002, 2. samling, Tillæg A, side 5277-5310, i forbindelse med Rådets vedtagelse af rammeafgørelsen om fuldbyrdelse i Den Europæiske Union af kendelser om indefrysning af formuegoder eller bevismateriale, jf. Folketingstidende 2002-2003, Tillæg A, side 6798-6820, og senest i forbindelse med Rådets vedtagelse af rammeafgørelsen om skærpelse af de strafferetlige rammer med henblik på håndhævelse af lovgivningen til bekæmpelse af forurening fra skibe, jf. Folketingstidende 2004-05, 2. samling, Tillæg A, side 7650-7678.

 

Udkastet til rammeafgørelse om databeskyttelse indeholder bestemmelser, der vurderes at nødvendiggøre ændringer af dansk lovgivning. Danmarks medvirken til Rådets vedtagelse af rammeafgørelsen forudsætter derfor Folketingets forudgående samtykke, jf. grundlovens § 19, stk. 1.

 

På den baggrund opretholdt Danmark på rådsmødet (retlige og indre anliggender) den 8.- 9. november 2007, hvor der – med forbehold for en teknisk gennemgang af teksten – blev opnået grundlæggende politisk enighed om udkastet til rammeafgørelse, et parlamentarisk forbehold over for udkastet til rammeafgørelse.

 

Efter det oplyste sigter det slovenske formandskab mod, at udkastet til rammeafgørelse kan vedtages på et rådsmøde i første halvdel af 2008. Dette skyldes dels et ønske om, at de fælles databeskyttelsesregler i rammeafgørelsen hurtigst muligt kan finde anvendelse i forbindelse med udveksling af personoplysninger inden for rammerne af det politimæssige og strafferetlige samarbejde mellem medlemsstaterne, dels et ønske om, at rammeafgørelsen vedtages af Rådet inden ikrafttrædelsen af de traktatændringer, som følger af Lissabon-Traktaten. Traktatændringerne vil bl.a. betyde, at bestemmelserne om politimæssigt samarbejde og retligt samarbejde i straffesager indsættes i et samlet afsnit om et område med frihed, sikkerhed og retfærdighed (i Traktaten om Den Europæiske Unions Funktionsmåde, tredje del, afsnit IV), der også omfatter bestemmelserne om grænsekontrol, visum, asyl og indvandring samt civilretligt samarbejde. EU-samarbejdet på området vil således med Lissabon-Traktaten blive overstatsligt, og rammeafgørelsen, der som nævnt er et mellemstatsligt instrument, vil derfor efter ikrafttrædelsen af Lissabon-Traktaten ikke kunne vedtages i den udformning, som der er opnået politisk enighed om i Rådet.

 

Formålet med beslutningsforslaget er på den baggrund at gøre det muligt for Danmark hurtigt at kunne hæve det parlamentariske forbehold og medvirke til vedtagelsen af rammeafgørelsen. Lovforslag til gennemførelse af rammeafgørelsen i dansk ret vil blive fremsat i en senere folketingssamling.

 

2. Baggrund og hovedpunkter

 

2.1. Baggrunden for udkastet til rammeafgørelse

 

2.1.1. Europa-Parlamentet og Rådet vedtog i 1995 et direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (direktiv nr. 95/46). Det pågældende direktiv suppleres af et direktiv fra 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv nr. 2002/58).

 

Direktiverne er vedtaget med hjemmel i EF-Traktatens artikel 95 om harmonisering af medlemsstaternes lovgivning af hensyn til det indre marked, og de tager således sigte på beskyttelse af personoplysninger på EF-Traktatens anvendelsesområde (det vil sige på området for 1. søjlesamarbejdet). Det fremgår således udtrykkeligt af direktiverne, at de ikke gælder for aktiviteter, der falder uden for anvendelsesområdet for fællesskabsretten, såsom aktiviteter, der er omhandlet i TEU afsnit VI (dvs. det politimæssige og strafferetlige samarbejde inden for den 3. søjle), og at de under ingen omstændigheder gælder for behandling i forbindelse med den offentlige sikkerhed, forsvaret, statens sikkerhed og statens aktiviteter på det strafferetlige område.

 

2.1.2. Inden for området for politimæssigt og strafferetligt samarbejde (under søjle 3) er der navnlig inden for de seneste år vedtaget en række EU-retsakter, som har til formål at udbygge og styrke udvekslingen af personoplysninger mellem medlemsstaternes kompetente myndigheder med henblik på kriminalitetsbekæmpelse. Det drejer sig bl.a. om bestemmelser om udveksling af personoplysninger i det såkaldte Schengen-informationssystem og om udveksling af personoplysninger direkte mellem EU-medlemsstaternes myndigheder eller som led i politisamarbejdet inden for Europol. 

 

Der er i et vist omfang i de enkelte retsakter fastsat specifikke regler om persondatabeskyttelse. Der er imidlertid ikke inden for området for politimæssigt og strafferetligt samarbejde fastsat generelle regler om beskyttelse af personoplysninger.

 

I præambelteksten til udkastet til rammeafgørelse (betragtning nr. 3) er det anført, at fælles standarder for behandling og beskyttelse af personoplysninger, der behandles med henblik på forebyggelse og bekæmpelse af kriminalitet, vil kunne bidrage til at styrke politisamarbejdet og det retlige samarbejde i kriminalsager for så vidt angår såvel effektiviteten af dette samarbejde som dets legitimitet og overensstemmelse med de grundlæggende rettigheder, navnlig retten til privatlivets fred og til beskyttelse af personoplysninger. Der peges i præambelteksten endvidere på behovet for en nyskabende tilgang til udvekslingen på tværs af grænserne af oplysninger vedrørende retshåndhævelse under streng overholdelse af en række væsentlige krav på databeskyttelsesområdet, jf. herved betragtning nr. 4 og 5.         

 

Kommissionen fremsatte i lyset heraf i oktober 2005 et forslag til Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde.

 

Som tidligere nævnt blev der i Rådet – med forbehold for en teknisk gennemgang af teksten – opnået grundlæggende politisk enighed om et udkast til rammeafgørelse på rådsmødet den 8.- 9. november 2007. Det må herefter forventes, at et udkast til rammeafgørelse vil blive forelagt for Coreper med henblik på samlet godkendelse, inden der foretages den sædvanlige juridisk-sproglige gennemgang af udkastet. Herefter vil udkastet – når alle parlamentariske forbehold fra medlemsstaterne er ophævet – kunne vedtages.

 

2.2. Rammeafgørelsens hovedpunkter

 

2.2.1. Formålet med udkastet til rammeafgørelse er at sikre beskyttelsen af personoplysninger, der behandles inden for rammerne af det politimæssige og strafferetlige samarbejde mellem medlemsstaterne.

 

I overensstemmelse hermed fastsættes der i udkastet til rammeafgørelse en række bestemmelser, som tager sigte på at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og navnlig deres ret til privatlivets fred i forbindelse med grænseoverskridende udveksling af personoplysninger inden for det politi- og strafferetlige område.

 

Rammeafgørelsen indeholder bl.a. en række grundlæggende regler for behandling af personoplysninger. Den indeholder også regler om datakvalitet mv. og behandlingssikkerhed, ligesom der i rammeafgørelsen er fastsat bestemmelser om tilsyn, domstolsprøvelse, erstatning og sanktioner. Rammeafgørelsen indeholder desuden regler for specifikke former for databehandling, herunder regler om viderebehandling af personoplysninger modtaget fra andre medlemsstater og om videregivelse af sådanne oplysninger til private og tredjelande/internationale organisationer. Herudover indeholder rammeafgørelsen bl.a. regler om den registreredes rettigheder.

 

Med rammeafgørelsens regler, herunder navnlig reglerne om vilkårene for at viderebehandle personoplysninger modtaget fra andre medlemsstater og videregive sådanne oplysninger til private og tredjelande/internationale organisationer, sker der en styrkelse af databeskyttelsen i forbindelse med, at der mellem medlemsstaterne udveksles personoplysninger som led i det politimæssige og strafferetlige samarbejde.

 

2.2.2. Rammeafgørelsen finder – ligesom persondataloven – anvendelse på behandling af personoplysninger, der helt eller delvis foretages elektronisk, og på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

 

Den regulering, som foreslås i udkastet til rammeafgørelse, afspejles i nogen grad allerede i den gældende danske persondatalov (med tilhørende bekendtgørelser). Det kan dog bl.a. nævnes, at persondataloven ikke – på samme måde som udkastet til rammeafgørelse – indeholder særlige og detaljerede bestemmelser om udveksling af personoplysninger med andre medlemsstater eller om yderligere behandling, herunder videregivelse, af oplysninger, der er modtaget fra eller stillet til rådighed af andre medlemsstaters kompetente myndigheder. Også med hensyn til den registreredes rettigheder må udkastet til rammeafgørelse antages at gå videre i sin regulering end gældende dansk lovgivning.

 

Uanset de nævnte forskelle må udkastet til rammeafgørelse efter Justitsministeriets opfattelse samlet set antages i meget vidt omfang at kunne gennemføres inden for rammerne af gældende dansk ret. Gennemførelsen af rammeafgørelsen i Danmark kan således efter Justitsministeriets opfattelse kun antages på enkelte punkter at nødvendiggøre lovændringer, jf. herom nærmere under pkt. 4.

 

3. Indholdet af udkastet til rammeafgørelsen

 

3.1. Anvendelsesområde og definitioner

 

3.1.1. Udkastet til rammeafgørelse indeholder i artikel 1 regler om rammeafgørelsens formål og anvendelsesområde.

 

Bestemmelsen fastsætter, at rammeafgørelsen finder anvendelse, når der med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovovertrædelser eller fuldbyrde strafferetlige sanktioner udveksles eller er udvekslet personoplysninger mellem medlemsstater (enten i form af videregivelse af personoplysninger eller ved at personoplysninger stilles eller er stillet til rådighed for en anden medlemsstat). Rammeafgørelsen finder endvidere anvendelse, når personoplysninger udveksles eller er udvekslet mellem på den ene side kompetente myndigheder i medlemsstaterne og på den anden side organer eller informationssystemer inden for EU-samarbejdet, jf. herved nærmere artikel 1, stk. 2.

 

Rammeafgørelsen tager således sigte på den grænseoverskridende informationsudveksling i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager – og den finder inden for dette område anvendelse på behandling af personoplysninger, der helt eller delvis foretages elektronisk, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. artikel 1, stk. 3. Der henvises i den forbindelse i øvrigt til betragtning nr. 6 og 6a-6b.

 

Af sidstnævnte betragtning fremgår, at medlemsstaterne – for at fremme udvekslingen af oplysninger i EU – agter at sikre, at den standard for databeskyttelse, der anvendes i behandlingen af oplysninger på nationalt plan, stemmer overens med standarden i rammeafgørelsen. Det er i forhold til behandling og indsamling af personoplysninger på nationalt niveau endvidere bestemt, at rammeafgørelsen ikke er til hinder for, at medlemsstaterne yder sikkerhedsgarantier, der er mere omfattende end dem, der er fastsat i rammeafgørelsen, jf. herved artikel 1, stk. 5.

 

Rammeafgørelsen berører ikke væsentlige nationale sikkerhedsinteresser og specifikke efterretningsaktiviteter vedrørende national sikkerhed, jf. artikel 1, stk. 4.

 

3.1.2. Udkastet til rammeafgørelse indeholder i artikel 2 en række definitioner af databeskyttelsesmæssige begreber, som anvendes i rammeafgørelsen. Det drejer sig bl.a. om begreberne ”personoplysninger”, ”behandling”, ”register”, ”registerfører”, ”modtager”, ”den registreredes samtykke” og ”den registeransvarlige”, som i meget vidt omfang svarer til de definitioner, der anvendes i persondataloven (og det bagvedliggende databeskyttelsesdirektiv).

 

Rammeafgørelsen indeholder dog enkelte nyskabelser (i forhold til persondatalovens og databeskyttelsesdirektivets definitioner). Således defineres ”kompetente myndigheder” som myndigheder, der er oprettet ved retsakter vedtaget af Rådet i henhold til afsnit VI i TEU, samt politi, toldvæsen, retslige myndigheder og andre kompetente myndigheder i medlemsstaterne, der i henhold til national lov har beføjelse til at behandle personoplysninger inden for rammeafgørelsens anvendelsesområde. Rammeafgørelsen indeholder også (nye) definitioner af begreberne ”blokering”, ”at gøre anonymt” og ”referenceangivelse”.

 

3.2. Behandlingsregler

 

3.2.1. Udkastet til rammeafgørelse indeholder en række bestemmelser, der har karakter af materielle behandlingsregler. Det drejer sig dels om en række grundlæggende regler, dels om detaljerede regler om, i hvilket omfang en medlemsstat må viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat.

 

3.2.2. Artikel 3 forpligter medlemsstaterne til at følge visse grundlæggende behandlingsprincipper, når der indsamles oplysninger. De kompetente myndigheder må kun indsamle personoplysninger til udtrykkeligt angivne og legitime formål inden for rammerne af deres opgaver. Behandlingen af oplysningerne skal være lovlig og tilstrækkelig, relevant og stå i et rimeligt forhold til formålet.

 

Indsamlede oplysninger må som udgangspunkt kun behandles til det formål, som de er indsamlet til. Viderebehandling til et andet formål er dog tilladt, hvis denne behandling ikke er uforenelig med det formål, hvortil oplysningerne er indsamlet, de kompetente myndigheder er bemyndiget til at behandle oplysningerne efter de for dem gældende retsforskrifter, og behandlingen er nødvendig for og hensigtsmæssig i forhold til dette formål. Derudover må de kompetente myndigheder viderebehandle de videregivne personoplysninger til historiske, statistiske eller videnskabelige formål, hvis medlemsstaterne fastsætter passende garantier, som f.eks. ved at oplysningerne gøres anonyme.  

 

3.2.3. For så vidt angår behandling af følsomme personoplysninger, hvorved forstås oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt oplysninger om helbredsforhold eller seksuelle forhold, fastsættes det i artikel 7, at behandling af disse typer af oplysninger kun er tilladt, når det er strengt nødvendigt, og når der er fastsat passende sikkerhedsgarantier i den nationale lovgivning.

 

3.2.4. Efter artikel 8 forpligtes medlemsstaterne til at sikre, at afgørelser, der har negative retlige virkninger for den registrerede eller påvirker vedkommende betydeligt, og som udelukkende er baseret på elektronisk databehandling med henblik på vurdering af individuelle aspekter vedrørende den registreredes person, kun er tilladt, når den registreredes legitime interesser er sikret ved lov. Bestemmelsen må antages bl.a. at tage sigte på tilfælde, hvor der i en medlemsstat eksempelvis udstedes bøder alene på baggrund af elektroniske hastighedsmålere.  

 

3.2.5. Som tidligere nævnt indeholder udkastet til rammeafgørelse – foruden de nævnte grundlæggende behandlingsregler – en række detaljerede regler om, i hvilket omfang en medlemsstat må viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat.

 

Den centrale bestemmelse fremgår af rammeafgørelsens artikel 12, som fastsætter, at der – ud over de formål, hvortil oplysninger er modtaget eller stillet til rådighed af en anden medlemsstat – kun må ske viderebehandling af personoplysninger (i den modtagende medlemsstat) til følgende formål:

-           Forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner i forbindelse med andre straffelovsovertrædelser eller sanktioner end dem, hvortil de omhandlede personoplysninger blev videregivet eller stillet til rÃ¥dighed,

-           andre retlige og administrative procedurer, som hænger direkte sammen med forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner,

-           afværgelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed, eller

-           historiske, statistiske eller videnskabelige formÃ¥l, hvis medlemsstaterne fastsætter passende garantier, som f.eks. ved at oplysningerne gøres anonyme.

 

Hvis en medlemsstat derudover ønsker at viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat, til andre formål (end dem, hvortil oplysningerne oprindelig blev udvekslet), kræver det enten forhåndsgodkendelse fra den videregivende medlemsstat eller samtykke fra den registrerede i overensstemmelse med national ret.

 

3.2.6. Rammeafgørelsen indeholder i artikel 14 bestemmelser om videregivelse til kompetente myndigheder i tredjelande og internationale organer eller organisationer af personoplysninger, som modtages fra eller stilles til rådighed af en anden medlemsstat.

 

Den grundlæggende ordning efter bestemmelsen er, at videregivelse til tredjelande mv. kræver samtykke fra den medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en anden medlemsstat), og at det pågældende tredjeland mv. skal sikre et tilstrækkeligt beskyttelsesniveau, jf. i den forbindelse nærmere artikel 14, stk. 4. Derudover skal videregivelsen være nødvendig for forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, og den modtagende myndighed i tredjelandet mv. skal have ansvaret for at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

 

Kravet om samtykke (forhåndsgodkendelse) fra den medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en anden medlemsstat), kan kun fraviges, hvis videregivelsen af oplysningerne er afgørende for forebyggelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed i en medlemsstat eller et tredjeland eller en medlemsstats væsentlige interesser, og samtykket (forhåndsgodkendelsen) ikke kan indhentes i tide, jf. artikel 14, stk. 2. Den myndighed, der skal give sin godkendelse, skal orienteres omgående.

 

Kravet om, at det pågældende tredjeland mv. skal sikre et tilstrækkeligt beskyttelsesniveau, kan kun fraviges, hvis den nationale lovgivning i den medlemsstat, der videregiver oplysningerne, giver mulighed herfor på grund af den registreredes specifikke legitime interesser eller på grund af legitime vigtige interesser, navnlig vigtige offentlige interesser, eller tredjelandet mv. giver tilstrækkelige sikkerhedsgarantier, jf. artikel 14, stk. 3.

 

3.2.7. For så vidt angår spørgsmålet om videregivelse til private af personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat, fastsætter rammeafgørelsens artikel 14a, at dette kun kan ske i begrænset omfang.

 

Videregivelse til private må således kun finde sted, hvis den medlemsstat, hvor oplysningerne er indsamlet, har givet tilladelse til videregivelsen. Det er endvidere en betingelse, at den registreredes specifikke legitime interesser ikke forhindrer videregivelse, og at videregivelse af oplysninger i særlige tilfælde er afgørende for, at den kompetente myndighed, der videregiver oplysningerne til private, kan varetage en række nærmere angivne hensyn. Det fremgår i den forbindelse af betragtning nr. 10a i præambelteksten, at artikel 14a ikke berører videregivelse af oplysninger til private (f.eks. forsvarsadvokater og ofre) som led i straffesager. Om betydningen af artikel 14a kan i øvrigt henvises til betragtning nr. 10.

 

Den myndighed, der videregiver oplysningerne til en privatperson, orienterer denne om, hvilke formål oplysningerne udelukkende må anvendes til.

 

3.2.8. Efter rammeafgørelsens artikel 13 er der åbnet mulighed for, at den afgivende medlemsstat kan forpligte modtagerstaten til at respektere særlige begrænsninger i forhold til behandlingen af udvekslede personoplysninger. Hvis der gælder særlige begrænsninger i den afgivende medlemsstat for behandling af de personoplysninger, der er tale om at udveksle, kan afgiverstaten således i medfør af artikel 13 orientere modtagerstaten herom. Virkningen af en sådan orientering er, at den modtagende medlemsstat forpligtes til at overholde de særlige begrænsninger.

 

Den beskrevne ordning må antages bl.a. at kunne bruges til at begrænse modtagerstatens mulighed for at behandle de pågældende personoplysninger af hensyn til både det formål, som oplysningerne udveksles til, og eventuelle andre formål, som modtagerstaten i overensstemmelse med f.eks. artikel 12 efterfølgende vil behandle oplysningerne til.

 

Samtidig gælder der dog efter artikel 13 et antidiskriminationsprincip, idet en medlemsstat ikke må fastsætte andre sikkerhedsgarantier vedrørende videregivelse til andre medlemsstater mv. end dem, der gælder for en lignende national videregivelse.

 

3.2.9. Ifølge artikel 15 orienterer modtageren – efter anmodning – den myndighed, der har videregivet eller stillet personoplysningerne til rådighed, om behandlingen af oplysningerne.

 

3.3. Datakvalitet mv.

 

3.3.1. Udkastet til rammeafgørelse indeholder en række bestemmelser, der har til formål at sikre datakvaliteten af personoplysninger, der udveksles mellem medlemsstaterne, og som har til formål at sikre, at oplysninger ikke opbevares længere tid end nødvendigt.

 

3.3.2. Artikel 4 forpligter medlemsstaterne til at sikre, at der foretages fornøden ajourføring af oplysningerne, herunder at oplysninger rettes, hvis de er urigtige, at oplysninger slettes eller anonymiseres, hvis de ikke længere er nødvendige til de formål, som de er indsamlet til, eller hvortil de viderebehandles på lovlig vis, og at oplysninger (som alternativ til sletning) blokeres, hvis der er rimelig grund til at tro, at en sletning kunne påvirke den registreredes legitime interesser. Blokerede oplysninger må kun behandles til det formål, der gjorde, at de ikke blev slettet.

 

Kravet om sletning eller anonymisering af personoplysninger, der ikke længere er nødvendige til de formål, som de er indsamlet til, eller hvortil de viderebehandles på lovlig vis, berører ikke adgangen til at foretage arkivering af oplysninger i en særskilt samling i en passende periode i henhold til national lovgivning, jf. i den forbindelse betragtning nr. 8b.

 

Når personoplysninger er indeholdt i en retsafgørelse eller i et register, der er knyttet til udstedelsen af en retsafgørelse, skal rettelsen, sletningen eller blokeringen gennemføres i henhold til de nationale retsplejeregler, jf. artikel 4, stk. 4.

 

3.3.3. Rammeafgørelsens artikel 6 forpligter herudover medlemsstaterne til at sikre, at der fastsættes passende frister for sletningen af personoplysninger eller regelmæssig undersøgelse af behovet for lagringen. Det skal sikres ved proceduremæssige foranstaltninger, at disse frister overholdes.

 

3.3.4. Efter artikel 10 kan den videregivende myndighed i forbindelse med udveksling af personoplysninger tilkendegive, hvilke nationale tidsfrister for opbevaring af oplysninger der i vedkommende medlemsstat gælder for de pågældende oplysninger. Virkningen af en sådan tilkendegivelse er, at modtageren er forpligtet til ved udløbet af fristen at slette eller blokere oplysningerne eller undersøge, om der fortsat er behov for dem. Dette gælder dog ikke, hvis oplysningerne skal bruges i forbindelse med en igangværende undersøgelse, retsforfølgelse af lovovertrædelser eller håndhævelse af strafferetlige sanktioner.

 

Hvis den videregivende myndighed ikke har oplyst om nogen national tidsfrist for opbevaring, gælder de tidsfrister, der er fastsat i artikel 4 og 6 for opbevaring af oplysninger, som er omhandlet i den modtagende medlemsstats lovgivning.  

 

3.3.5. Artikel 9 forpligter medlemsstaterne til at føre kontrol med kvaliteten af de oplysninger, der videregives.

 

De kompetente myndigheder skal i den forbindelse træffe alle rimelige foranstaltninger til at sikre, at personoplysninger, der er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Myndighederne skal så vidt muligt verificere kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med al videregivelse af oplysninger skal der så vidt muligt tilføjes tilgængelige oplysninger, der gør det muligt for den modtagende medlemsstat at vurdere, om oplysningerne er rigtige, fuldstændige, ajourførte og pålidelige.

 

Hvis personoplysninger er blevet videregivet uanmodet, skal den modtagende myndighed straks vurdere, om oplysningerne er nødvendige til det formål, hvortil de er blevet videregivet.

 

Hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er videregivet ulovligt, meddeles dette straks modtageren. Oplysningerne skal i så fald rettes, slettes eller blokeres omgående i overensstemmelse med artikel 4. 

 

3.3.6. Med henblik på at sikre, at der kan foretages kontrol af, om databehandlingen er lovlig, at der kan udøves egenkontrol, og at dataenes integritet og sikkerhed sikres, fastsættes det i rammeafgørelsens artikel 11, at alle videregivelser af personoplysninger skal registreres eller dokumenteres.

 

Den nævnte registrering eller dokumentation for videregivelse af personoplysninger udleveres til den kompetente tilsynsmyndighed på dennes anmodning med henblik på kontrol af databeskyttelsen. Den kompetente myndighed må kun anvende de modtagne oplysninger med henblik på kontrol af databeskyttelsen og med henblik på at sikre en korrekt databehandling og dataenes integritet og sikkerhed.

 

3.4. Den registreredes rettigheder

 

3.4.1. Udkastet til rammeafgørelse indeholder i artikel 16-18 en række bestemmelser om den registreredes rettigheder. Det nærmere indhold af visse af rettighederne vil afhænge af, hvordan den enkelte medlemsstat vælger at gennemføre rammeafgørelsen i national ret.

 

3.4.2. Artikel 16 forpligter medlemsstaterne til at sikre, at den registrerede er underrettet om myndighedernes indsamling og behandling af personoplysninger i henhold til den nationale lovgivning.   

 

De nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra fastlægges således i den nationale lovgivning, jf. i den forbindelse betragtning nr. 13a, hvor det bl.a. anføres, at underretning kan ske generelt, f.eks. gennem lovgivning eller ved offentliggørelse af en oversigt over behandlingerne.

 

Både den afgivende og den modtagende medlemsstat kan i det enkelte tilfælde (i henhold til national lovgivning) tilkendegive, at udvekslede oplysninger skal behandles fortroligt, og at den registrerede ikke må informeres uden samtykke fra vedkommende medlemsstat. I givet fald kan der kun ske underretning af den registrerede, hvis den medlemsstat, som har modsat sig dette, giver sit samtykke hertil.   

 

3.4.3. Artikel 17 om retten til indsigt fastslår, at en registreret person efter anmodning er berettiget til – uden større ventetid eller større udgifter – med rimelige mellemrum uhindret at modtage mindst en bekræftelse fra den dataansvarlige eller den nationale tilsynsmyndighed af, om der er udvekslet oplysninger om den pågældende, samt i bekræftende fald information om de modtagere eller kategorier af modtagere, oplysningerne er videregivet til, og meddelelse om, hvilke oplysninger der er omfattet af behandlingen.

 

Alternativt skal der (mindst) gives bekræftelse fra den nationale tilsynsmyndighed på, at der er foretaget alle fornødne kontroller.

 

Medlemsstaterne kan efter artikel 17, stk. 2, træffe lovmæssige foranstaltninger, der begrænser retten til indsigt, hvis en sådan begrænsning under hensyn til den pågældende persons legitime interesser er en nødvendig og proportionel foranstaltning:

-           for at undgÃ¥, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer,

-           for at undgÃ¥, at forebyggelsen, afsløringen, efterforskningen og retsforfølgning af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner,

-           for at beskytte den offentlige sikkerhed,

-           for at beskytte den nationale sikkerhed, eller

-           for at beskytte den registrerede eller andres rettigheder og frihedsrettigheder.

 

Afslag på eller begrænsning af indsigtsretten skal efter artikel 17, stk. 3, begrundes skriftligt, og i den forbindelse skal de faktiske og retlige grunde, som afgørelsen hviler på, også meddeles vedkommende. En sådan meddelelse kan dog undlades, hvis dette kan begrundes i henhold til de hensyn, som er nævnt i artikel 17, stk. 2. Den registrerede skal i alle tilfælde vejledes om vedkommendes klageadgang.

 

3.4.4. Herudover fremgår det af rammeafgørelsens artikel 18, at den registrerede har ret til at forvente, at den dataansvarlige overholder sine forpligtelser i henhold til rammeafgørelsens bestemmelser om berigtigelse, sletning og blokering af personoplysninger (i artikel 4, 9 og 10).

 

Medlemsstaterne bestemmer, om den registrerede skal kunne gøre denne rettighed gældende direkte overfor den dataansvarlige eller gennem den nationale tilsynsmyndighed.

 

Det følger endvidere af bestemmelsen, at afslag på berigtigelse, sletning eller blokering skal meddeles skriftligt og ledsages af klagevejledning.

 

Efter behandlingen af klagen informeres den registrerede om, hvorvidt den dataansvarlige har handlet korrekt eller ej. Medlemsstaterne kan også fastsætte, at den registrerede blot skal underrettes af den kompetente nationale tilsynsmyndighed om, at der er foretaget en undersøgelse.  

 

Hvis den registrerede benægter rigtigheden af en personoplysning, og det ikke kan konstateres, om oplysningen er rigtig eller ej, kan der anføres en bemærkning ud for oplysningen (”referenceangivelse”). Det er i den forbindelse fastsat i rammeafgørelsens artikel 2, litra l, at der ved begrebet ”referenceangivelse” skal forstås en markering af lagrede oplysninger, uden at det er hensigten at begrænse den fremtidige behandling af disse oplysninger. 

 

3.5. Behandlingssikkerhed

 

3.5.1. Udkastet til rammeafgørelse indeholder i artikel 21 og 22 bestemmelser om sikkerhed i forbindelse med behandlingen af personoplysninger.

 

3.5.2. Den almindelige regel følger af artikel 21, som fastsætter, at personer med adgang til at behandle personoplysninger, som falder inden for rammeafgørelsens anvendelsesområde, kun må behandle disse oplysninger i deres egenskab af ansatte i eller efter instruks fra den kompetente myndighed.

 

Personer, der skal arbejde for en kompetent myndighed i en medlemsstat, er bundet af alle de databeskyttelsesregler, der gælder for den pågældende kompetente myndighed.

 

3.5.3. Rammeafgørelsens artikel 22 fastsætter nærmere og mere detaljerede krav til sikkerheden i forbindelse med behandlingen af personoplysninger.

 

Efter bestemmelsen forpligtes de kompetente myndigheder til at iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelse i et net eller oplysninger, der stilles til rådighed ved at give direkte elektronisk adgang, og mod enhver anden form for ulovlig behandling, jf. herved nærmere artikel 22, stk. 1.   

 

Med henblik herpå opstilles der en række specifikke sikkerhedskrav i bestemmelsen, jf. herved nærmere artikel 22, stk. 2

 

Efter artikel 22, stk. 3, fastsætter medlemsstaterne, at der som databehandler kun må udpeges en person, der kan garantere, at vedkommende kan træffe de fornødne tekniske og organisatoriske foranstaltninger (som er nævnt i artikel 22, stk. 1) og overholde de instrukser (som er nævnt i artikel 21). Den kompetente myndighed skal kontrollere, at databehandleren lever op til disse krav.

 

Databehandleren må efter artikel 22, stk. 4, kun behandle personoplysninger på grundlag af en retsakt eller en skriftlig kontrakt.

 

3.6. Tilsyn, domstolsprøvelse, erstatning og sanktioner

 

3.6.1. I henhold til artikel 25 skal alle medlemsstater have mindst en offentlig myndighed, der har til opgave at yde rådgivning og påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af rammeafgørelsen.

 

Denne myndighed udøver de funktioner, der tillægges den, i fuld uafhængighed.

 

Tilsynsmyndigheden skal kunne iværksætte efterforskninger og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og kunne indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver. Tilsynsmyndigheden skal også kunne gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlinger, beordre oplysninger slettet mv., midlertidigt eller definitivt forbyde en behandling, udstede advarsler, påtale overtrædelser og indbringe overtrædelser for retsinstanserne eller gøre retsinstanserne opmærksom på overtrædelserne. Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, skal kunne indbringes for en retsinstans.

 

Om tilsynsmyndighedens virksomhed kan i øvrigt henvises til bestemmelserne i artikel 25, stk. 3 og 4

 

3.6.2. Medlemsstaterne skal sikre, at de(n) nationale tilsynsmyndighed(er) høres inden behandlingen af oplysninger, der vil indgå i et nyt register, der skal oprettes, når der behandles særlige kategorier af oplysninger, jf. artikel 7, eller når formen for behandling – især anvendelse af nye teknologier, mekanismer eller procedurer – i andre henseender indebærer særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, herunder især dennes privatliv. Der henvises herved til rammeafgørelsens artikel 23.

 

3.6.3. Efter rammeafgørelsens artikel 20 skal den registrerede – med forbehold af en eventuel administrativ klageadgang – have ret til at indbringe krænkelser af de rettigheder, der garanteres vedkommende i henhold til national lovgivning, for en domstol.

 

3.6.4. Rammeafgørelsens artikel 19 omhandler retten til erstatning. Efter bestemmelsen har enhver, der har lidt skade som følge af en ulovlig handling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af rammeafgørelsen, ret til erstatning for den forvoldte skade fra den kompetente myndighed.

 

En medlemsstat, der har modtaget oplysninger fra en anden medlemsstat, kan inden for rammerne af det ansvar, den kompetente myndighed i henhold til den nationale lovgivning har over for den skadelidte, ikke påberåbe sig, at de videregivne oplysninger var urigtige. Hvis modtageren yder erstatning for en skade, der er forårsaget af anvendelsen af urigtigt videregivne oplysninger, refunderer den videregivende kompetente myndighed modtageren den ydede skadeserstatning under hensyn til et eventuelt ansvar hos modtageren.

 

Det er op til den enkelte medlemsstat at fastlægge, hvordan dens erstatningsbestemmelser skal udformes, jf. betragtning nr. 15.

 

3.6.5. Efter artikel 24 træffer medlemsstaterne de nødvendige foranstaltninger til at sikre, at rammeafgørelsens bestemmelser gennemføres fuldt ud, herunder bl.a. ved at fastsætte sanktioner, der er effektive, står i et rimeligt forhold til lovovertrædelsen, har afskrækkende virkning, og som skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til gennemførelse af rammeafgørelsen.

 

Det er op til den enkelte medlemsstat at fastlægge, hvilke sanktioner der skal finde anvendelse ved overtrædelse af de nationale databeskyttelsesbestemmelser, jf. betragtning nr. 15.

 

3.7. Øvrige bestemmelser mv.

 

3.7.1. Forholdet mellem rammeafgørelsen og aftaler indgået med tredjelande reguleres i artikel 27.

 

Heraf fremgår, at rammeafgørelsen ikke berører forpligtelser, der påhviler medlemsstaterne eller Den Europæiske Union i henhold til bilaterale og/eller multilaterale aftaler indgået med tredjelande, som er gældende ved rammeafgørelsens vedtagelse.  

 

Når der i henhold til sådanne aftaler foretages overførsel til et tredjeland af personoplysninger, der er modtaget fra en anden medlemsstat, skal artikel 14, stk. 1, litra c), og artikel 14, stk. 2, om indhentelse af samtykke fra afgiverstaten dog respekteres.

 

3.7.2. Forholdet mellem rammeafgørelsen og tidligere vedtagne EU-retsakter reguleres i artikel 27b.

 

Heraf følger, at hvis der i EU-retsakter, som er vedtaget før rammeafgørelsens ikrafttræden (som er tyvendedagen efter offentliggørelsen i EU-Tidende), og som regulerer udvekslingen af oplysninger mellem medlemsstater, er vedtaget særlige bestemmelser om den modtagende medlemsstats anvendelse af sådanne oplysninger, vil disse bestemmelser gå forud for rammeafgørelsens regler herom.

 

Om den nærmere betydning heraf kan der henvises til betragtning nr. 24a og 24b.

 

3.7.3. Efter rammeafgørelsens artikel 28, stk. 1, skal medlemsstaterne træffe de nødvendige foranstaltninger for at efterkomme rammeafgørelsen senest to år fra dens vedtagelse.

 

Om gennemførelsen og ikrafttrædelsen af rammeafgørelsen henvises i øvrigt til rammeafgørelsens artikel 28, stk. 2, og artikel 29. Spørgsmålet om evaluering af rammeafgørelsen (når der er gået tre år fra gennemførelsesfristen) reguleres i rammeafgørelsens artikel 27 a.

 

3.7.4. Ud over de enkelte artikler indeholder præamblen til rammeafgørelsen på sædvanlig vis en række betragtninger, som vil kunne have betydning for fortolkningen og anvendelsen af rammeafgørelsen. Præamblen indeholder ingen selvstændige retligt forpligtende elementer.

 

3.7.5. Det skal bemærkes, at udkastet til rammeafgørelse ledsages af et udkast til en rådserklæring, hvorefter Rådet vil undersøge, hvordan man i fremtiden i overensstemmelse med de gældende retsgrundlag kan samle de opgaver, der udføres af de eksisterende fælles datatilsynsmyndigheder, som er oprettet særskilt for Schengen-informationssystemet, Europol, Eurojust og Toldinformationssystemet, under én datatilsynsmyndighed, idet der tages hensyn til disse systemers og organers særlige karakter. 

 

4. De lovgivningsmæssige konsekvenser af udkastet til rammeafgørelse

 

4.1. Indledende bemærkninger

 

4.1.1. Den centrale danske lov på området for persondatabeskyttelse er persondataloven (lov nr. 429 af 31. maj 2000 som senest ændret ved lov nr. 519 af 6. juni 2007). Persondataloven, der gennemfører persondatadirektivet – direktiv nr. 95/46 – i dansk ret, regulerer ikke blot behandling af personoplysninger inden for fællesskabsrettens og dermed direktivets område (søjle 1), men finder generelt anvendelse på behandling af personoplysninger, og herunder altså også behandling af personoplysninger inden for det strafferetlige område.  

 

Der er i medfør af persondataloven udstedt en række bekendtgørelser, hvoraf nogle omtales nedenfor.

 

Også anden lovgivning indeholder regler, som har betydning for behandling af personoplysninger inden for det strafferetlige område. Der er således i retsplejeloven fastsat regler om sigtede personers mv. adgang til materiale, som er tilvejebragt af politiet i forbindelse med strafferetlig forfølgning (retsplejelovens kapitel 66). I retsplejeloven er der også fastsat almindelige regler om aktindsigt (retsplejelovens kapitel 3 a). Herudover kan bl.a. nævnes retsplejelovens særlige regler om berigtigelse, jf. lovens § 221.

 

4.1.2. Den regulering, som fremgår af udkastet til rammeafgørelse, afspejles i nogen grad allerede i dag i persondataloven (med tilhørende bekendtgørelser).

 

Dette gælder navnlig med hensyn til bestemmelserne om rammeafgørelsens anvendelsesområde og definitioner (artikel 1-2), om grundlæggende principper for behandling af personoplysninger (især artikel 3), om fortrolighed og sikkerhed i forbindelse med databehandling (artikel 21 og 22), om klageadgang, erstatningsansvar og sanktioner (artikel 19-20 og 24) samt om tilsynsmyndighed (artikel 25).

 

Disse bestemmelser svarer således stort set til, hvad der følger af persondataloven.       

 

Omvendt indeholder persondataloven imidlertid ikke – på samme måde som udkastet til rammeafgørelse – særlige og detaljerede bestemmelser om udveksling af personoplysninger med andre medlemsstater eller om yderligere behandling, herunder videregivelse, af oplysninger, der er modtaget fra eller stillet til rådighed af andre medlemsstaters kompetente myndigheder. Også med hensyn til den registreredes rettigheder må udkastet til rammeafgørelse antages at gå videre i sin regulering end gældende dansk lovgivning.

 

Hovedvægten i gennemgangen nedenfor lægges derfor på rammeafgørelsens behandlingsregler og regler om den registreredes rettigheder, og det vurderes i den forbindelse, om de pågældende regler (og rammeafgørelsens bestemmelser i øvrigt) nødvendiggør lovændringer.

 

Derimod tages der på nuværende tidspunkt ikke stilling til den nærmere gennemførelse af rammeafgørelsen i dansk ret. Justitsministeriet vil behandle dette spørgsmål i forbindelse med fremsættelse af lovforslag på området. Justitsministeriet vil i samme forbindelse tage stilling til, om der er behov for at fastsætte yderligere administrative bestemmelser i forbindelse med gennemførelse af rammeafgørelsen i dansk ret.  

 

4.2. Anvendelsesområde og definitioner

 

4.2.1. Persondataloven gælder – ligesom udkastet til rammeafgørelse – for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. lovens § 1.

 

Inden for dette anvendelsesområde gælder persondataloven for al form for behandling af personoplysninger, der foretages af danske myndigheder. Persondataloven omfatter således bl.a. også indsamling, opbevaring og udveksling mv. af personoplysninger, som foretages af politiet, anklagemyndigheden, kriminalforsorgen og domstolene i forbindelse med samarbejde med myndigheder i andre EU-medlemsstater inden for det strafferetlige område.

 

Som nævnt ovenfor under pkt. 3.1.1. finder rammeafgørelsen anvendelse på den grænseoverskridende informationsudveksling i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager.

 

Persondatalovens anvendelsesområde er således bredere end rammeafgørelsens anvendelsesområde, og rammeafgørelsen nødvendiggør derfor efter Justitsministeriets opfattelse ikke, at der foretages ændringer i den nuværende afgrænsning i lovens § 1 af persondatalovens anvendelsesområde.

 

Det forhold, at visse nærmere angivne bestemmelser i persondataloven (om registrerede personers rettigheder) ikke finder anvendelse på behandlinger, der foretages af domstolene, politi og anklagemyndighed inden for det strafferetlige område, jf. herved lovens § 2, stk. 4, nødvendiggør efter Justitsministeriets opfattelse heller ikke ændringer i persondatalovens § 1. Om betydningen af reglen i persondatalovens § 2, stk. 4, henvises i øvrigt til det, som er anført nedenfor under pkt. 4.5.

 

4.2.2. Uden for persondatalovens anvendelsesområde falder bl.a. behandling af personoplysninger, der udføres for politiets eller forsvarets efterretningstjenester, jf. lovens § 2, stk. 11.

 

Denne ordning vil kunne opretholdes ved en gennemførelse af rammeafgørelsen i dansk ret, idet rammeafgørelsen som nævnt ovenfor under pkt. 3.1.1. ikke berører væsentlige nationale sikkerhedsinteresser og specifikke efterretningsaktiviteter vedrørende national sikkerhed, jf. rammeafgørelsens artikel 1, stk. 4.

 

4.2.3. Persondataloven indeholder i § 3 definitioner af en række centrale databeskyttelsesmæssige begreber, såsom ”personoplysninger”, ”behandling”, ”register”, ”dataansvarlig” og ”databehandler”.

 

Som nævnt ovenfor under pkt. 3.1.2. svarer rammeafgørelsens definitioner i vidt omfang til de definitioner, der anvendes i persondataloven. Der indføres dog med rammeafgørelsen enkelte nye definitioner, som ikke er afspejlet i lovteksten til persondataloven. En indsættelse af de pågældende definitioner i persondataloven vil imidlertid efter Justitsministeriets opfattelse ikke være nødvendig til gennemførelse af rammeafgørelsen i dansk ret, idet definitionerne i fornødent omfang vil skulle lægges til grund af danske myndigheder mv. i forbindelse med udøvelse af aktiviteter inden for rammeafgørelsens anvendelsesområde. Det bemærkes i den forbindelse, at rammeafgørelsens definition af begrebet ”blokering” svarer til, hvad der i dag i praksis forstås ved det pågældende udtryk (som indgår i persondatalovens § 37 og § 59, stk. 1).   

 

4.3. Behandlingsregler

 

4.3.1. Persondataloven indeholder i kapitel 4 (§§ 5-14) en række materielle regler om behandling af personoplysninger.

 

De pågældende bestemmelser omfatter bl.a. den behandling af personoplysninger, som foretages af politi, anklagemyndighed, kriminalforsorg samt domstole inden for det strafferetlige område. Sådan behandling af personoplysninger vil således bl.a. skulle leve op til de grundlæggende principper, som følger af persondatalovens § 5.

 

Det betyder bl.a., at de nævnte myndigheders indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet (§ 5, stk. 2).

 

Personoplysninger, som behandles af de pågældende myndigheder, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles (§ 5, stk. 3).

 

Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges (§ 5, stk. 4).

 

Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles (§ 5, stk. 5).

 

De nævnte principper i persondatalovens § 5 skal ses i sammenhæng med bl.a. lovens §§ 6-8, hvorefter der – ud over på baggrund af et samtykke fra den registrerede – kan ske behandling af personoplysninger, herunder indsamling, registrering og videregivelse mv., hvis dette er nødvendigt til en række nærmere angivne formål, herunder bl.a. af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område, jf. bl.a. § 7, stk. 6. Der er i persondatalovens § 8, stk. 2, fastsat særlige videregivelsesregler for den offentlige forvaltning vedrørende bl.a. oplysninger om strafbare forhold.

 

Oplysninger, der er omfattet af persondataloven, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen, jf. persondatalovens § 14.    

 

De grundlæggende behandlingsregler i udkastet til rammeafgørelse artikel 3, som er beskrevet ovenfor i pkt. 3.2.2., må efter Justitsministeriets opfattelse antages indholdsmæssigt at svare til, hvad der følger af behandlingsreglerne i persondatalovens kapitel 4, herunder navnlig bestemmelserne i § 5 og § 14. Udkastet til rammeafgørelse vurderes således ikke at nødvendiggøre lovændringer på dette punkt. 

 

4.3.2. Der er i persondatalovens § 7 fastsat særlige regler om behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om seksuelle forhold.

 

Efter bestemmelsen må der behandles personoplysninger, hvis den registrerede samtykker hertil, eller hvis behandlingen er nødvendig til en række nærmere angivne formål, herunder bl.a. af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område, jf. bl.a. § 7, stk. 6.

 

Som nævnt ovenfor i pkt. 3.2.3. følger det af rammeafgørelsens artikel 7, at de nævnte typer af følsomme personoplysninger kun må behandles, når det er strengt nødvendigt, og når der er fastsat passende sikkerhedsgarantier i den nationale lovgivning. Udkastet til rammeafgørelse fastsætter således (i princippet) strengere betingelser for, hvornår danske myndigheder på området kan behandle sådanne personoplysninger end, hvad der i dag følger af persondatalovens § 7. Det skal dog bemærkes, at det i praksis formentlig ikke vil være muligt at angive nogen væsentlig forskel på kriterierne ”nødvendigt” og ”strengt nødvendigt”. Det gælder således bl.a. i relation til politiets mv. adgang til at behandle de nævnte typer af følsomme personoplysninger med henblik på kriminalitetsbekæmpelse, f.eks. i forbindelse med opklaring af et politisk motiveret mord.

 

Danske myndigheder, som foretager grænseoverskridende informationsudveksling inden for rammeafgørelsens anvendelsesområde, vil være forpligtet til at overholde de betingelser, der følger af artikel 7 i udkastet til rammeafgørelse. Efter Justitsministeriets umiddelbare opfattelse nødvendiggør artikel 7 derfor ikke ændringer af persondatalovens § 7. En endelig stillingtagen til dette spørgsmål vil dog ske i forbindelse med gennemførelsen af rammeafgørelsen i dansk ret.

 

4.3.3. Heller ikke udkastet til rammeafgørelse artikel 8 (om automatiserede afgørelser) kan efter Justitsministeriets opfattelse antages at nødvendiggøre lovændringer. Der henvises herved til pkt. 3.2.4. ovenfor, hvor bestemmelsen er nærmere omtalt. Hvis der i Danmark ønskes indført automatiserede afgørelser på det strafferetlige område vil de krav, som opstilles i artikel 8 i den forbindelse skulle iagttages.

 

4.3.4. Der er i udkastet til rammeafgørelse artikel 12-15 fastsat en række detaljerede regler om, i hvilket omfang en medlemsstat må viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat, herunder om medlemsstaten kan videregive sådanne oplysninger til henholdsvis myndigheder i tredjelande eller internationale organisationer og private. Om bestemmelsernes indhold henvises nærmere til pkt. 3.2.5.-3.2.9. ovenfor.  

 

Persondataloven indeholder ikke på samme måde som udkastet til rammeafgørelse særlige regler om adgangen for danske myndigheder (dvs. politi, anklagemyndighed, kriminalforsorg og domstole) til at viderebehandle personoplysninger, som modtages fra eller stilles til rådighed af myndigheder i andre medlemsstater. Om sådanne personoplysninger kan viderebehandles må således – medmindre der gælder særlige regler på området – afgøres ud fra behandlingsreglerne i persondatalovens kapitel 4, herunder i praksis navnlig bestemmelserne i § 5 og §§ 6-8.

 

Der er dog i persondatalovens § 27 fastsat særlige regler om overførsel af oplysninger til tredjelande. Det fremgår af stk. 1, at der kun må overføres oplysninger til et tredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau. Derudover kan der overføres oplysninger til et tredjeland, hvis en af de i stk. 3, nr. 1-8, nævnte betingelser er opfyldt. Herudover skal persondatalovens almindelige behandlingsregler, herunder i §§ 5-8, være opfyldt ved overførsel af oplysninger til tredjelande.

 

Persondatalovens § 27 om overførsel af personoplysninger til tredjelande svarer i et vist omfang til, hvad der følger af rammeafgørelsens artikel 14. Den pågældende bestemmelse indeholder imidlertid (i modsætning til rammeafgørelsens artikel 14) bl.a. ikke et krav om, at der som udgangspunkt skal foreligge samtykke fra den medlemsstat, der har afgivet oplysningen. Rammeafgørelsens artikel 14 indeholder således skærpede krav for overførsel af oplysninger til tredjelande (og internationale organisationer) i forhold til de krav, der følger af persondataloven.

 

Efter Justitsministeriets opfattelse nødvendiggør bestemmelserne i udkastet til rammeafgørelse artikel 12-15 imidlertid ikke lovændringer. De pågældende bestemmelser fastsætter som nævnt nogle grænser for, hvordan danske myndigheder kan anvende personoplysninger, som myndighederne har modtaget i forbindelse med det politimæssige og strafferetlige samarbejde i EU. Dette gælder, hvad enten der er tale om personoplysninger, der er ”modtaget” eller ”stillet til rådighed”. Danske myndigheder på området vil derfor være forpligtet til at overholde de betingelser, der følger af artikel 12-15. Det betyder bl.a., at der ikke vil kunne ske viderebehandling (ud over, hvad der er tilladt efter artikel 12-15 i rammeafgørelsen) på grundlag af forvaltningslovens § 31, hvorefter en forvaltningsmyndighed, i det omfang den er berettiget til at videregive en oplysning, også er forpligtet til at gøre det på begæring af en anden forvaltningsmyndighed, hvis oplysningen er af betydning for myndighedens virksomhed eller en afgørelse, som myndigheden skal træffe.                  

 

Noget tilsvarende er i øvrigt bl.a. lagt til grund i forbindelse med gennemførelsen af EU-retshjælpskonventionen (af 29. maj 2000) i dansk ret. Der henvises herved til forarbejderne til lov nr. 258 af 8. maj 2002 (som er gengivet i Folketingstidende 2001-2002, 2. samling, Tillæg A, side 3377).

  

4.3.5. For så vidt angår forholdet mellem på den ene side rammeafgørelsens bestemmelser om viderebehandling af personoplysninger og på den anden side de danske regler om aktindsigt mv. bemærkes følgende: 

 

Som nævnt ovenfor i pkt. 3.2.7. indebærer udkastet til rammeafgørelse artikel 14a, at personoplysninger, som modtages fra eller stilles til rådighed af en anden medlemsstat, kun i begrænset omfang (af de kompetente myndigheder i modtagerstaten) kan videregives til private.

 

Imidlertid fremgår det af den forklarende betragtning nr. 10a i rammeafgørelsens præambel, at artikel 14a ikke berører videregivelse af oplysninger til private (f.eks. forsvarsadvokater og ofre) som led i straffesager.

 

Efter Justitsministeriets opfattelse kan artikel 14a i udkastet til rammeafgørelse derfor ikke antages at nødvendiggøre ændringer i reglerne i retsplejelovens kapitel 66 (§§ 729 a-729 d) om sigtedes adgang til materiale, som er tilvejebragt af politiet i forbindelse med strafferetlig forfølgning.

 

Rammeafgørelsens artikel 14a kan efter Justitsministeriets opfattelse heller ikke antages at nødvendiggøre ændringer i den ordning, som følger af retsplejelovens kapitel 3 a (§§ 41-41 g) om aktindsigt i bl.a. domme og kendelser samt andre dokumenter, der vedrører straffesager. Af de pågældende bestemmelser følger bl.a., at retten til aktindsigt kan begrænses, hvis det er nødvendigt af hensyn til forholdet til fremmede magter, jf. § 41 b, stk. 3, nr. 1, og § 41 d, stk. 3, nr. 2. Der er endvidere i medfør af retsplejelovens § 41 e, stk. 4, 1. pkt., mulighed for at anonymisere et dokument, der indeholder oplysninger om enkeltpersoners rent private forhold, således at den pågældendes identitet ikke fremgår.

 

Justitsministeriet lægger herved også vægt på, at det af den forklarende betragtning nr. 15a i præamblen fremgår, at rammeafgørelsen giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat i den, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter. 

 

Efter offentlighedslovens § 2, stk. 1, 1. pkt., gælder loven ikke for sager inden for strafferetsplejen.   

 

På den anførte baggrund er det sammenfattende Justitsministeriets opfattelse, at udkastet til rammeafgørelse artikel 14a ikke nødvendiggør lovændringer på det nævnte punkt. 

 

4.4. Datakvalitet mv.

 

Der er i persondatalovens § 5 (og § 14) fastsat en række regler om bl.a. ajourføring, rettelse, sletning og arkivering. De pågældende bestemmelser er beskrevet ovenfor i pkt. 4.3.1., hvortil der henvises.  

 

Herudover indeholder persondataloven i kapitel 11 (§§ 41-42) regler om behandlingssikkerhed. Der er i medfør af § 41, stk. 5, udstedt bekendtgørelser, som bl.a. indeholder regler om registrering (logning) af anvendelser af personoplysninger.

 

Endelig kan det nævnes, at persondataloven i kapitel 12 (§§ 43-47) og kapitel 14 (§ 52) indeholder regler om anmeldelse af behandlinger, der foretages for henholdsvis den offentlige forvaltning og for domstolene. Af bestemmelserne følger bl.a., at der i en anmeldelse skal oplyses om tidspunktet for sletning af oplysninger. For så vidt angår de behandlinger, som er undtaget fra anmeldelsespligten, er der i de udstedte bekendtgørelser på området fastsat regler om bl.a. opbevaring og sletning af oplysninger samt kontrol med behandling af oplysninger. 

 

Som det er fremgået ovenfor i pkt. 3.3., indeholder udkastet til rammeafgørelse en række bestemmelser (i artikel 4, 6 og 9-11), der har til formål at sikre datakvaliteten af personoplysninger, der udveksles mellem medlemsstaterne, og som har til formål at sikre, at oplysninger ikke opbevares længere tid end nødvendigt.

 

Persondatalovens regulering dækker i vidt omfang de krav til datakvalitet mv., som følger af de pågældende bestemmelser i rammeafgørelsen. I den forbindelse bemærkes bl.a., at rammeafgørelsens artikel 4 ikke rejser spørgsmål i forhold til den særlige berigtigelsesregel, som fremgår af retsplejelovens § 221, jf. herved rammeafgørelsens artikel 4, stk. 4.     

 

Visse af rammeafgørelsens bestemmelser om datakvalitet mv. afspejles dog ikke direkte i persondataloven (med tilhørende bekendtgørelser). Det drejer sig bl.a. om rammeafgørelsens artikel 9, som fastsætter nogle krav til verifikation af kvaliteten af de oplysninger, der videregives eller stilles til rådighed, og krav om, at modtageren af oplysninger straks underrettes, hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er ulovligt videregivet.

 

Danske myndigheder vil være forpligtet til at overholde de krav og betingelser, som følger af de pågældende bestemmelser. Efter Justitsministeriets umiddelbare opfattelse nødvendiggør de omhandlede bestemmelser i udkastet til rammeafgørelse derfor ikke lovændringer. En endelig stillingtagen til dette spørgsmål vil dog ske i forbindelse med gennemførelsen af rammeafgørelsen i dansk ret.

 

4.5. Den registreredes rettigheder

 

4.5.1. Som nævnt ovenfor i pkt. 4.2. finder persondataloven generelt anvendelse på behandling af personoplysninger, herunder også behandlinger der foretages inden for det strafferetlige område af politi, anklagemyndighed, kriminalforsorg samt domstole.

 

Det følger dog af persondatalovens § 2, stk. 4, at bestemmelserne i lovens kapitel 8 (om oplysningspligt over for den registrerede) og §§ 35-37 og § 39 (om bl.a. den registreredes ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige mv., samt ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget mv.) ikke finder anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område. Herudover fremgår det af persondatalovens § 2, stk. 4, at bestemmelserne i lovens kapitel 9 (om den registreredes indsigtsret) heller ikke finder anvendelse på behandling af personoplysninger, der foretages for domstolene inden for det strafferetlige område.

 

4.5.2. Persondataloven indeholder i kapitel 8 (§§ 28-30) bestemmelser om den dataansvarlige myndigheds oplysningspligt over for den registrerede. De pågældende regler gælder som nævnt ovenfor ikke for behandling af personoplysninger, som foretages for politi, anklagemyndighed og domstole inden for det strafferetlige område.

 

Rammeafgørelsens artikel 16 forpligter medlemsstaterne til at sikre, at den registrerede er underrettet om myndighedernes indsamling og behandling af personoplysninger i henhold til den nationale lovgivning. Artikel 16 overlader det således til medlemsstaterne at fastsætte de nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra. Underretning kan bl.a. ske generelt, f.eks. gennem lovgivning eller ved offentliggørelse af en oversigt over behandlingerne, jf. nærmere ovenfor under pkt. 3.4.2.

 

Efter Justitsministeriets opfattelse giver den nærmere rækkevidde af artikel 16 anledning til tvivl. Efter bestemmelsen overlades det således til medlemsstaterne at fastsætte de nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra, og artikel 16 overlader således medlemsstaterne et meget betydeligt råderum med hensyn til fastlæggelsen af den nærmere ordning for underretning. Imidlertid synes det at være forudsat med artikel 16 (sammenholdt med de forklarende betragtninger nr. 13 og 13 a), at der – inden for rammeafgørelsens anvendelsesområde – i et vist omfang skal gælde en underretningspligt, hvis nærmere udformning det dog som nævnt er op til medlemsstaterne at fastlægge.

 

Der kan i den forbindelse peges på, at en anmeldelse til tilsynsmyndighederne i dag efter persondataloven bl.a. skal indeholde oplysninger om behandlingens betegnelse og formål mv., jf. herved § 43, stk. 2 (for den offentlige forvaltning) og § 52 (for domstolene). Tilsynsmyndighederne fører efter persondatalovens § 54 en fortegnelse over anmeldte behandlinger.

 

Justitsministeriet vil i forbindelse med gennemførelsen af rammeafgørelsen i dansk ret vurdere, om der – i lyset af rammeafgørelsens artikel 16 – bør ske en udbygning af de nuværende regler om offentliggørelse af behandlinger af personoplysninger, eller om der eventuelt bør indføres bestemmelser om oplysningspligt over for den enkelte registrerede person inden for det strafferetlige område.

 

4.5.3. Der er i persondatalovens kapitel 9 (§§ 31-34) fastsat regler om den registreredes indsigtsret.

 

Efter § 31, stk. 1, har en registreret person – efter begæring – ret til indsigt i en række oplysninger om vedkommende selv (egenacces). Dette gælder dog bl.a. ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private eller offentlige interesser, herunder bl.a. statens sikkerhed, den offentlige sikkerhed eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, eller hvis der i øvrigt er grundlag for at gøre undtagelser fra indsigtsretten efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og § 14. Der henvises til persondatalovens § 32, stk. 1 og 2. 

 

Herudover følger det af persondatalovens § 32, stk. 5, at justitsministeren under visse betingelser kan træffe bestemmelse om, at der generelt gøres undtagelse fra retten til indsigt i oplysninger, der behandles af offentlige myndigheder på det strafferetlige område, for så vidt bestemmelsen i § 32, stk. 1, jf. § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås. Med hjemmel i denne bestemmelse er der fastsat nærmere regler om egenacces i bekendtgørelse nr. 218 af 27. marts 2001 som senest ændret ved bekendtgørelse nr. 1030 af 13. oktober 2006 om behandling af personoplysninger i Det Centrale Kriminalregister. Bekendtgørelsen indeholder i kapitel 3 (§§ 11-14) regler om registrerede personers adgang til oplysninger om sig selv.

 

Reglerne i persondatalovens kapitel 9 om indsigtsret finder som tidligere nævnt ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område, jf. lovens § 2, stk. 4, 1. pkt. Her gælder reglerne om aktindsigt i domme og kendelser samt andre dokumenter, der vedrører straffesager (i retsplejelovens §§ 41-41g).

 

Der er – som tidligere nævnt – endvidere i retsplejelovens §§ 729 a-729 d fastsat regler om sigtedes adgang til materiale, som er tilvejebragt af politiet i forbindelse med strafferetlig forfølgning.

 

Som nævnt ovenfor i pkt. 3.4.3. fastsætter rammeafgørelsens artikel 17, at en registreret person har ret til at modtage nærmere angivne oplysninger fra den dataansvarlige eller – alternativt – en bekræftelse fra den nationale tilsynsmyndighed på, at der er foretaget alle fornødne kontroller. Indsigtsretten kan begrænses i den nationale lovgivning, hvis en sådan begrænsning under hensyn til den pågældende persons legitime interesser er en nødvendig og proportionel foranstaltning af en række nærmere angivne grunde.

 

Efter Justitsministeriets opfattelse giver det anledning til tvivl, om den indsigtsret, som registrerede personer skal have efter rammeafgørelsens artikel 17, kan anses for dækket af de gældende regler på området. Der synes herved bl.a. at kunne peges på, at de regler i retsplejeloven, som regulerer domstolenes forhold, ikke tager sigte på registrerede personers adgang til oplysninger af den i artikel 17 omhandlede karakter, men mere bredt vedrører spørgsmålet om aktindsigt i domme og kendelser samt dokumenter udarbejdet af domstolene som led i behandlingen af en straffesag (dvs. uafhængigt af, om der findes oplysninger i dokumenterne om den begærende selv). Heroverfor står, at domstolene i praksis ikke vil være involveret i informationsudveksling med andre medlemsstaters myndigheder inden for det strafferetlige område, idet dette varetages af politi og anklagemyndighed.   

 

Justitsministeriet vil i forbindelse med gennemførelsen af rammeafgørelsen i dansk ret nærmere vurdere, i hvilket omfang artikel 17 nødvendiggør lovændringer, herunder bl.a. om der f.eks. bør indføres regler om egenacces i behandlinger af personoplysninger, der foretages af domstolene inden for det strafferetlige område, eller om der f.eks. bør indføres en indirekte adgang til indsigt i sådanne oplysninger (dvs. at den nationale tilsynsmyndighed – og ikke den registrerede selv – har adgang til oplysningerne og efter en gennemgang kan bekræfte over for den registrerede, at alle nødvendige kontroller er foretaget).

 

4.5.4. Som nævnt ovenfor i pkt. 3.5.1. finder bestemmelserne i bl.a. persondatalovens § 37 om den registreredes ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige mv., samt ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget mv., ikke anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område, jf. herved persondatalovens § 2, stk. 4.

 

Efter rammeafgørelsens artikel 18 har den registrerede ret til at forvente, at den dataansvarlige myndighed overholder sine forpligtelser i henhold til rammeafgørelsens bestemmelser om berigtigelse, sletning og blokering (eller at der eventuelt sker ”referenceangivelse”). Den registrerede skal kunne gøre denne rettighed gældende direkte over for den dataansvarlige eller gennem den nationale tilsynsmyndighed. Der henvises nærmere til pkt. 3.4. ovenfor.

 

Efter Justitsministeriets opfattelse må bestemmelsen i artikel 18 mest nærliggende forstås således, at den går videre end de forpligtelser, som umiddelbart påhviler dataansvarlige myndigheder efter rammeafgørelsens artikel 4, 9 og 10. Bestemmelsen må således formentlig antages at skulle forstås således, at den indebærer, at registrerede personer skal have (en selvstændig) ret til at kræve berigtigelse mv. inden for de rammer, som i øvrigt er angivet i artikel 18. Efter Justitsministeriets opfattelse må gennemførelse af rammeafgørelsens artikel 18 i dansk ret derfor antages at nødvendiggøre lovændringer.

 

4.6. Behandlingssikkerhed

 

Persondataloven indeholder i kapitel 11 (§§ 41-42) regler om behandlingssikkerhed. Reglerne finder også anvendelse inden for det strafferetlige område.

 

Det fremgår af persondatalovens § 41, stk. 1, at personer, virksomheder mv., som udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, som udgangspunkt kun må behandle disse efter instruks fra den dataansvarlige.

 

Lovens § 41, stk. 3, indeholder de overordnede krav til den dataansvarliges behandlingssikkerhed. Ifølge bestemmelsen skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

 

I tilknytning til reglerne i lovens § 41, stk. 3, har Justitsministeriet udstedt to bekendtgørelser om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for henholdsvis den offentlige forvaltning og domstolene. Bekendtgørelserne indeholder detaljerede regler om de sikkerhedsforanstaltninger, den dataansvarlige skal træffe i forbindelse med behandling af personoplysninger, som foretages helt eller delvis ved hjælp af elektronisk databehandling. 

 

Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale mellem parterne, jf. lovens § 42, stk. 2.  

 

Rammeafgørelsens bestemmelser om behandlingssikkerhed i artikel 21 og 22 svarer i vidt omfang til reglerne i persondatalovens kapitel 11 med tilhørende bekendtgørelser. Efter Justitsministeriets opfattelse kan bestemmelserne ikke antages at nødvendiggøre lovændringer. Der vil dog muligvis være behov for visse ændringer af de administrativt fastsatte regler om behandlingssikkerhed med henblik på at gennemføre rammeafgørelsen i dansk ret.   

 

4.7. Tilsyn, domstolsprøvelse, erstatning og sanktioner

 

4.7.1. I persondatalovens kapitel 16 (§§ 55-66) er der fastsat bestemmelser om Datatilsynets organisation og virksomhed. Tilsynet med domstolene føres dog af Domstolsstyrelsen og retterne, jf. reglerne i kapitel 17 (§§ 67 og 68).

 

En gennemførelse af rammeafgørelsens regler om tilsyn, jf. herved artikel 25, som er beskrevet ovenfor i pkt. 3.6.1., kan efter Justitsministeriets opfattelse ikke antages at nødvendiggøre ændringer i de regler, som følger af persondatalovens kapitel 16 og 17.

 

4.7.2. Også kravene i rammeafgørelsens artikel 23 om, at den nationale tilsynsmyndighed høres inden behandlingen af visse former for personoplysninger, må efter Justitsministeriets opfattelse antages at være opfyldt ved den gældende anmeldelsesordning for den offentlige forvaltning (i persondatalovens kapitel 12) og for domstolene (i persondatalovens kapitel 14).   

 

4.7.3. Som nævnt ovenfor i pkt. 3.6.3. skal der efter rammeafgørelsens artikel 20 være adgang for den registrerede til at indbringe krænkelser af de rettigheder, der garanteres vedkommende i henhold til national lovgivning, for en domstol.

 

Der findes ikke udtrykkelige regler herom i persondataloven, idet adgangen til domstolsprøvelse allerede er sikret i dansk ret, jf. herved grundlovens § 63, stk. 1, hvorefter domstolene er berettigede til at påkende ethvert spørgsmål om øvrighedsmyndighedens grænser. Der vil således bl.a. være mulighed for domstolsprøvelse af sager afgjort af Datatilsynet på baggrund af f.eks. en klage fra den registrerede, og rammeafgørelsens artikel 20 nødvendiggør derfor ikke lovændringer. 

 

4.7.4. Persondataloven indeholder i § 69 bestemmelser om erstatning. Det fremgår således, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med loven, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

 

Gennemførelse af rammeafgørelsens artikel 19, stk. 1 – hvorefter enhver, der har lidt skade som følge af en ulovlig handling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af rammeafgørelsen, har ret til erstatning fra den kompetente myndighed – nødvendiggør derfor efter Justitsministeriets opfattelse ikke lovændringer. Det bør derimod efter Justitsministeriets opfattelse i forbindelse med den senere gennemførelse af rammeafgørelsen i dansk ret overvejes nærmere, om der er behov for at fastsætte særlige lovbestemmelser, der sikrer mulighed for, at der kan ydes erstatning/refusion i alle tilfælde omfattet af rammeafgørelsens artikel 19, stk. 2.

 

4.7.5. Som nævnt i pkt. 3.6.5. forpligter rammeafgørelsens artikel 24 medlemsstaterne til at fastsætte sanktioner, som skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til gennemførelse af rammeafgørelsen.

 

Persondatalovens § 70, stk. 2, indeholder bestemmelser om strafansvar i forbindelse med behandling af personoplysninger, der udføres for offentlige myndigheder. Hertil kommer, at der efter omstændighederne vil kunne pålægges strafansvar i medfør af straffelovens kapitel 16 om forbrydelser i offentlig tjeneste eller hverv mv., ligesom der også er mulighed for at pålægge offentligt ansatte et disciplinært ansvar.

 

Det må efter Justitsministeriets opfattelse antages, at den danske lovgivning allerede lever op til bestemmelsen i rammeafgørelsens artikel 24 om sanktioner. Det vurderes derfor ikke at være nødvendigt at fastsætte yderligere straf- og disciplinærretlige foranstaltninger end dem, der allerede gælder til sikring af, at lovgivningen overholdes fuldt ud. 

 

4.8. Øvrige bestemmelser mv.

 

Udkastet til rammeafgørelse, herunder bestemmelserne om bl.a. forholdet mellem rammeafgørelsen og aftaler indgået med tredjelande og forholdet mellem rammeafgørelsen og tidligere vedtagne EU-retsakter, som er beskrevet ovenfor under pkt. 3.7., rejser efter Justitsministeriets opfattelse ikke i øvrigt spørgsmål om lovændringer.