<DOCUMENT_START>

 

Udkast til

 

<DOCUMENT_START> Forslag

til

Lov om ændring af lov om behandling af personoplysninger (persondataloven)

(Gennemførelse af EU-rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager)

§ 1

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret ved § 7 i lov nr. 280 af 25. april 2001, § 6 i lov nr. 552 af 24. juni 2005 og § 2 i lov nr. 519 af 6. juni 2007, foretages følgende ændring:

 

1. Efter § 72 indsættes:

    »§ 72 a. Justitsministeren kan fastsætte nærmere regler om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union mv.«

 

 

§ 2

 

Loven træder i kraft den 1. april 2009.

 

§ 3

 

Loven gælder ikke for Færøerne og Grønland. Loven kan dog ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger på Færøerne med de afvigelser, som de særlige færøske forhold tilsiger. Loven kan ved kongelig anordning endvidere sættes i kraft for Grønland med de afvigelser, som de særlige grønlandske forhold tilsiger.

 

 

Bemærkninger til lovforslaget

 

Almindelige bemærkninger

 

Indholdsfortegnelse

 

1.     Indledning............................................................................................. 3

2.     Rammeafgørelsen om databeskyttelse. 5

2.1.      Baggrund og hovedpunkter 5

            2.1.1. Baggrunden for rammeafgørelsen om databeskyttelse. 5

            2.1.2. Rammeafgørelsens hovedpunkter 7

2.2.      Nærmere om indholdet af rammeafgørelsen. 8

            2.2.1. Anvendelsesområde og definitioner 8

            2.2.2. Behandlingsregler 9

            2.2.3. Datakvalitet mv. 13

            2.2.4. Den registreredes rettigheder 15

            2.2.5. Behandlingssikkerhed. 17

            2.2.6. Tilsyn, domstolsprøvelse, erstatning og sanktioner 18

            2.2.7. Øvrige bestemmelser mv. 19

3.     Gældende ret 21

3.1.      Indledning. 21

3.2.      Nærmere om indholdet af persondataloven. 21

4.     Justitsministeriets overvejelser 24

4.1.      Generelle overvejelser 24

4.2.      Justitsministeriets overvejelser om de enkelte dele af ram-meafgørelsen  27

            4.2.1. Anvendelsesområde og definitioner 27

            4.2.2. Behandlingsregler 28

            4.2.3. Datakvalitet mv. 33

            4.2.4. Den registreredes rettigheder 34

            4.2.5. Behandlingssikkerhed. 39

            4.2.6. Tilsyn, domstolsprøvelse, erstatning og sanktioner 40

            4.2.7. Øvrige bestemmelser mv. 42

5.     De økonomiske og administrative konsekvenser for det offentlige. 42

6.     De økonomiske og administrative konsekvenser for erhvervs-

        livet mv. 43

7.     De administrative konsekvenser for borgere. 43

8.     De miljømæssige konsekvenser. 43

9.     Forholdet til EU-retten. 43

10.   Hørte myndigheder mv. 43

11.   Sammenfattende skema. 43

 

 

1. Indledning

1.1. Formålet med lovforslaget er at gennemføre en EU-rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (den såkaldte rammeafgørelse om databeskyttelse) i dansk ret.

 

Rammeafgørelsen er udarbejdet på grundlag af et forslag fra Kommissionen under henvisning til traktaten om Den Europæiske Union (TEU), særlig artikel 30 om fælles handling vedrørende politisamarbejde, artikel 31 om fælles handling vedrørende retligt samarbejde i kriminalsager samt artikel 34, stk. 2, litra b), hvorefter Rådet på initiativ af en medlemsstat eller Kommissionen med enstemmighed kan vedtage rammeafgørelser om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser.

 

En rammeafgørelse er et instrument, som Den Europæiske Union kan benytte sig af inden for det mellemstatslige samarbejde på det politimæssige og strafferetlige område (TEU afsnit VI). Rammeafgørelser er bindende for medlemsstaterne med hensyn til det tilsigtede mål, men overlader det til de nationale myndigheder at bestemme form og midler for gennemførelsen. Rammeafgørelser indebærer ikke umiddelbar anvendelighed.

 

Rammeafgørelser har således karakter af en folkeretligt bindende forpligtelse for medlemsstaterne, der indtræder ved Rådets vedtagelse af rammeafgørelsen. Medlemsstaterne er forpligtede til at sikre gennemførelsen af rammeafgørelser i national ret, herunder om nødvendigt i kraft af lovgivningsmæssige initiativer.

 

1.2. Det er Justitsministeriets vurdering, at rammeafgørelsen om databeskyttelse indeholder bestemmelser, der nødvendiggør lovgivning. Danmarks medvirken til Rådets vedtagelse af rammeafgørelsen forudsætter derfor Folketingets forudgående samtykke efter grundlovens § 19, stk. 1.

 

Ved folketingsbeslutning af 10. juni 2008 meddelte Folketinget dette samtykke. Danmark har på baggrund heraf hævet sit parlamentariske forbehold over for udkastet til rammeafgørelse.

 

Udkastet til rammeafgørelse – som er medtaget som bilag 2 til dette lovforslag – er endnu ikke vedtaget, idet enkelte medlemsstater endnu ikke har hævet deres parlamentariske forbehold. Dette forventes imidlertid at kunne ske inden udgangen af 2008, hvorefter rammeafgørelsen vil kunne vedtages af Rådet.   

 

1.3. Som anført finder Justitsministeriet, at gennemførelsen af rammeafgørelsen kræver lovgivning. Baggrunden herfor er, at rammeafgørelsen på enkelte punkter nødvendiggør ændringer af den regulering, som følger af persondataloven. Der er i alle tilfælde tale om ændringer, der i forhold til persondataloven indebærer en yderligere styrkelse af databeskyttelsen, herunder en yderligere styrkelse af de registreredes rettigheder.

 

Med henblik på at kunne opfylde de krav til databeskyttelsen, som fremgår af rammeafgørelsen, foreslås der indsat en ny bemyndigelsesbestemmelse i persondataloven (som § 72 a), hvorefter justitsministeren vil kunne fastsætte nærmere administrative bestemmelser om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union.

 

Når rammeafgørelsens regler ikke foreslås indsat (direkte) i persondataloven, hænger det navnlig sammen med, at persondatalovens regulering er af generel karakter og således bl.a. inden for det strafferetlige område omfatter behandling af personoplysninger på såvel nationalt som internationalt plan. Efter Justitsministeriets opfattelse vil det derfor stemme bedst overens med persondatalovens mere generelle karakter, at de specifikke regler for behandling af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde inden for EU (som er nødvendige til opfyldelse af rammeafgørelsen) fastsættes i en bekendtgørelse på området.

 

Justitsministeriet har herved også lagt vægt på, at den foreslåede bemyndigelsesbestemmelse alene giver justitsministeren adgang til (inden for rammeafgørelsens anvendelsesområde) at fastsætte regler, som i overensstemmelse med rammeafgørelsen indebærer en yderligere styrkelse af databeskyttelsen, når det gælder udveksling af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for EU. Der er således ikke tale om en generel bemyndigelse til justitsministeren på området, og det vil ikke være muligt at anvende bemyndigelsesbestemmelsen til at indføre en regulering, som indebærer en forringelse af databeskyttelsen på området (set i forhold til, hvad der gælder efter persondataloven).

 

I overensstemmelse med det anførte vil det bl.a. komme til at fremgå af den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a, at der i forbindelse med det politimæssige og strafferetlige samarbejde inden for EU alene vil kunne behandles følsomme personoplysninger (om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og om helbredsforhold eller seksuelle forhold), hvis det er strengt nødvendigt (og ikke som efter persondataloven, hvis det er nødvendigt). Det kan endvidere nævnes, at der i bekendtgørelsen vil blive fastsat regler om den registreredes rettigheder, som går videre end den regulering, der følger af persondataloven, herunder f.eks. om den registreredes ret til at kræve berigtigelse mv. af oplysninger, som udveksles i forbindelse med grænseoverskridende politisamarbejde eller retligt samarbejde inden for EU. Der henvises i øvrigt til pkt. 4 nedenfor.

 

2. Rammeafgørelsen om databeskyttelse

 

2.1. Baggrund og hovedpunkter

 

2.1.1. Baggrunden for rammeafgørelsen om databeskyttelse

2.1.1.1. Europa-Parlamentet og Rådet vedtog i 1995 et direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (direktiv nr. 95/46). Det pågældende direktiv suppleres af et direktiv fra 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv nr. 2002/58).

 

Direktiverne er vedtaget med hjemmel i EF-Traktatens artikel 95 om harmonisering af medlemsstaternes lovgivning af hensyn til det indre marked, og de tager dermed sigte på beskyttelse af personoplysninger på EF-Traktatens anvendelsesområde (det vil sige på området for 1. søjlesamarbejdet). Det fremgår således udtrykkeligt af direktiverne, at de ikke gælder for aktiviteter, der falder uden for anvendelsesområdet for fællesskabsretten, såsom aktiviteter, der er omhandlet i TEU afsnit VI (dvs. det politimæssige og strafferetlige samarbejde inden for den 3. søjle), og at de under ingen omstændigheder gælder for behandling i forbindelse med den offentlige sikkerhed, forsvaret, statens sikkerhed og statens aktiviteter på det strafferetlige område.

 

2.1.1.2. Inden for området for politimæssigt og strafferetligt samarbejde (under søjle 3) er der navnlig inden for de seneste år vedtaget en række EU-retsakter, som har til formål at udbygge og styrke udvekslingen af personoplysninger mellem medlemsstaternes kompetente myndigheder med henblik på kriminalitetsbekæmpelse. Det drejer sig bl.a. om bestemmelser om udveksling af personoplysninger i det såkaldte Schengen-informationssystem og om udveksling af personoplysninger direkte mellem EU-medlemsstaternes myndigheder eller som led i politisamarbejdet inden for Europol. 

 

Der er i et vist omfang i de enkelte retsakter fastsat specifikke regler om persondatabeskyttelse. Der er imidlertid ikke inden for området for politimæssigt og strafferetligt samarbejde fastsat generelle EU-regler om beskyttelse af personoplysninger.

 

I præambelteksten til rammeafgørelsen (betragtning nr. 3) er det anført, at fælles standarder for behandling og beskyttelse af personoplysninger, der behandles med henblik på forebyggelse og bekæmpelse af kriminalitet, vil kunne bidrage til at styrke politisamarbejdet og det retlige samarbejde i kriminalsager for så vidt angår såvel effektiviteten af dette samarbejde som dets legitimitet og overensstemmelse med de grundlæggende rettigheder, navnlig retten til privatlivets fred og til beskyttelse af personoplysninger. Der peges i præambelteksten endvidere på behovet for en nyskabende tilgang til udvekslingen på tværs af grænserne af oplysninger vedrørende retshåndhævelse under streng overholdelse af en række væsentlige krav på databeskyttelsesområdet, jf. herved betragtning nr. 4 og 5.         

 

Kommissionen fremsatte i lyset heraf i oktober 2005 et forslag til Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde.

 

Der blev i Rådet opnået grundlæggende politisk enighed om et udkast til rammeafgørelse på et rådsmøde den 8.- 9. november 2007. Som nævnt ovenfor under pkt. 1 forventes det, at alle parlamentariske forbehold til udkastet til rammeafgørelse vil kunne være hævet inden udgangen af 2008, hvorefter rammeafgørelsen vil kunne vedtages af Rådet.   

 

2.1.2. Rammeafgørelsens hovedpunkter

2.1.2.1. Formålet med rammeafgørelsen er at sikre beskyttelsen af personoplysninger, der behandles inden for rammerne af det politimæssige og strafferetlige samarbejde inden for EU.

 

I overensstemmelse hermed fastsættes der i rammeafgørelsen en række bestemmelser, som tager sigte på at beskytte fysiske personers grundlæggende rettigheder i forbindelse med grænseoverskridende udveksling af personoplysninger inden for det politi- og strafferetlige område.

 

Rammeafgørelsen indeholder bl.a. en række grundlæggende regler for behandling af personoplysninger. Den indeholder også regler om datakvalitet og behandlingssikkerhed, ligesom der i rammeafgørelsen er fastsat bestemmelser om tilsyn, domstolsprøvelse, erstatning og sanktioner. Rammeafgørelsen indeholder desuden regler for specifikke former for databehandling, herunder regler om viderebehandling af personoplysninger modtaget fra andre medlemsstater og om videregivelse af sådanne oplysninger til private og tredjelande/internationale organer. Herudover indeholder rammeafgørelsen bl.a. regler om den registreredes rettigheder med hensyn til bl.a. underretning og berigtigelse af urigtige oplysninger.

 

Med rammeafgørelsens regler, herunder navnlig reglerne om vilkårene for at viderebehandle personoplysninger modtaget fra andre medlemsstater og videregive sådanne oplysninger til private og tredjelande/internationale organer, sker der en styrkelse af databeskyttelsen i forbindelse med, at der mellem medlemsstaterne udveksles personoplysninger som led i det politimæssige og strafferetlige samarbejde.

 

2.1.2.2. Rammeafgørelsen finder – ligesom persondataloven – anvendelse på behandling af personoplysninger, der helt eller delvis foretages elektronisk, og på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

 

Reguleringen i rammeafgørelsen afspejles i nogen grad allerede i den gældende danske persondatalov (med tilhørende bekendtgørelser). Det kan dog bl.a. nævnes, at persondataloven ikke – på samme måde som rammeafgørelsen – indeholder særlige og detaljerede bestemmelser om udveksling af personoplysninger med andre medlemsstater eller om yderligere behandling, herunder videregivelse, af oplysninger, der er modtaget fra eller stillet til rådighed af andre medlemsstaters kompetente myndigheder. Også med hensyn til den registreredes rettigheder går rammeafgørelsen videre i sin regulering end gældende dansk lovgivning.

 

Uanset de nævnte forskelle må rammeafgørelsen efter Justitsministeriets opfattelse samlet set antages i meget vidt omfang at kunne gennemføres inden for rammerne af gældende dansk ret. Gennemførelsen af rammeafgørelsen i Danmark kan således efter Justitsministeriets opfattelse kun antages på enkelte punkter at nødvendiggøre ændringer af den regulering, som følger af persondataloven, jf. herom ovenfor under pkt. 1 samt nærmere nedenfor under pkt. 4.

 

2.2. Nærmere om indholdet af rammeafgørelsen

 

2.2.1. Anvendelsesområde og definitioner

2.2.1.1. Rammeafgørelsen indeholder i artikel 1 regler om rammeafgørelsens formål og anvendelsesområde.

 

Bestemmelsen fastsætter, at rammeafgørelsen finder anvendelse, når der med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner udveksles eller er udvekslet personoplysninger mellem medlemsstater (enten i form af videregivelse af personoplysninger eller ved at personoplysninger stilles eller er stillet til rådighed for en anden medlemsstat). Rammeafgørelsen finder endvidere anvendelse, når personoplysninger udveksles eller er udvekslet mellem på den ene side kompetente myndigheder i medlemsstaterne og på den anden side organer eller informationssystemer inden for EU-samarbejdet, jf. herved nærmere artikel 1, stk. 2.

 

Rammeafgørelsen tager således sigte på den grænseoverskridende informationsudveksling i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager – og den finder inden for dette område anvendelse på behandling af personoplysninger, der helt eller delvis foretages elektronisk, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. artikel 1, stk. 3. Der henvises i den forbindelse i øvrigt til betragtning nr. 7-9.

 

Af betragtning nr. 8 fremgår, at medlemsstaterne – for at fremme udvekslingen af oplysninger i EU – agter at sikre, at den standard for databeskyttelse, der anvendes i behandlingen af oplysninger på nationalt plan, stemmer overens med standarden i rammeafgørelsen. Det er i forhold til behandling og indsamling af personoplysninger på nationalt niveau endvidere bestemt, at rammeafgørelsen ikke er til hinder for, at medlemsstaterne yder sikkerhedsgarantier, der er mere omfattende end dem, der er fastsat i rammeafgørelsen, jf. herved artikel 1, stk. 5.

 

Rammeafgørelsen berører ikke væsentlige nationale sikkerhedsinteresser og specifikke efterretningsaktiviteter vedrørende national sikkerhed, jf. artikel 1, stk. 4.

 

2.2.1.2. Rammeafgørelsen indeholder i artikel 2 en række definitioner af databeskyttelsesmæssige begreber, som anvendes i rammeafgørelsen. Det drejer sig bl.a. om begreberne ”personoplysninger”, ”behandling”, ”register”, ”registerfører”, ”modtager”, ”den registreredes samtykke” og ”den registeransvarlige”, som i meget vidt omfang svarer til de definitioner, der anvendes i persondataloven (og det bagvedliggende databeskyttelsesdirektiv).

 

Rammeafgørelsen indeholder dog enkelte nyskabelser (i forhold til persondatalovens og databeskyttelsesdirektivets definitioner). Således defineres ”kompetente myndigheder” som myndigheder, der er oprettet ved retsakter vedtaget af Rådet i henhold til afsnit VI i TEU, samt politi, toldvæsen, retslige myndigheder og andre kompetente myndigheder i medlemsstaterne, der i henhold til national lov har beføjelse til at behandle personoplysninger inden for rammeafgørelsens anvendelsesområde. Rammeafgørelsen indeholder også (nye) definitioner af begreberne ”blokering”, ”at gøre anonymt” og ”referenceangivelse”.

 

2.2.2. Behandlingsregler

2.2.2.1. Rammeafgørelsen indeholder en række bestemmelser, der har karakter af materielle behandlingsregler. Det drejer sig dels om en række grundlæggende regler, dels om detaljerede regler om, i hvilket omfang en medlemsstat må viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat (eller udveksles med organer eller informationssystemer inden for EU-samarbejdet).

 

2.2.2.2. Artikel 3 forpligter medlemsstaterne til at følge visse grundlæggende behandlingsprincipper, når der indsamles oplysninger. De kompetente myndigheder må kun indsamle personoplysninger til udtrykkeligt angivne og legitime formål inden for rammerne af deres opgaver. Behandlingen af oplysningerne skal være lovlig og tilstrækkelig, relevant og stå i et rimeligt forhold til de formål, hvortil oplysningerne er indsamlet.

 

Indsamlede oplysninger må som udgangspunkt kun behandles til det formål, som de er indsamlet til. Viderebehandling til et andet formål er dog tilladt, hvis denne behandling ikke er uforenelig med de formål, hvortil oplysningerne er indsamlet, de kompetente myndigheder er bemyndiget til at behandle oplysningerne med henblik på et sådant formål efter de for dem gældende retsforskrifter, og behandlingen er nødvendig for og hensigtsmæssig i forhold til dette andet formål. Derudover må de kompetente myndigheder viderebehandle de videregivne personoplysninger til historiske, statistiske eller videnskabelige formål, hvis medlemsstaterne fastsætter passende garantier, som f.eks. ved at oplysningerne gøres anonyme. 

 

2.2.2.3. For så vidt angår behandling af særlige kategorier af personoplysninger, hvorved forstås oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt oplysninger om helbredsforhold eller seksuelle forhold, fastsættes det i artikel 6, at behandling af disse typer af oplysninger kun er tilladt, når det er strengt nødvendigt, og når der er fastsat passende sikkerhedsgarantier i den nationale lovgivning.

 

2.2.2.4. Efter artikel 7 forpligtes medlemsstaterne til at sikre, at en afgørelse, der har negative retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som udelukkende er baseret på elektronisk databehandling med henblik på vurdering af individuelle aspekter vedrørende den registreredes person, kun kan ske, hvis dette er tilladt ved lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser. Bestemmelsen må antages bl.a. at tage sigte på tilfælde, hvor der i en medlemsstat eksempelvis udstedes bøder alene på baggrund af elektroniske hastighedsmålere. 

 

2.2.2.5. Som tidligere nævnt indeholder rammeafgørelsen – foruden de nævnte grundlæggende behandlingsregler – en række detaljerede regler om, i hvilket omfang en medlemsstat må viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat.

 

Den centrale bestemmelse fremgår af rammeafgørelsens artikel 11, som fastsætter, at der – ud over de formål, hvortil oplysninger er modtaget eller stillet til rådighed af en anden medlemsstat – kun må ske viderebehandling af personoplysninger (i den modtagende medlemsstat) til følgende formål:

 

-           Forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner i forbindelse med andre straffelovsovertrædelser eller sanktioner end dem, hvortil de omhandlede personoplysninger blev videregivet eller stillet til rÃ¥dighed,

-           andre retlige og administrative procedurer, som hænger direkte sammen med forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner,

-           afværgelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed, eller

-           historiske, statistiske eller videnskabelige formÃ¥l, hvis medlemsstaterne fastsætter passende garantier, som f.eks. ved at oplysningerne gøres anonyme.

 

Hvis en medlemsstat derudover ønsker at viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat, til andre formål (end dem, hvortil oplysningerne oprindelig blev udvekslet), kræver det enten forhåndsgodkendelse fra den videregivende medlemsstat eller samtykke fra den registrerede i overensstemmelse med national ret.

 

2.2.2.6. Rammeafgørelsen indeholder i artikel 13 bestemmelser om videregivelse til kompetente myndigheder i tredjelande eller til internationale organer af personoplysninger, som modtages fra eller stilles til rådighed af en anden medlemsstat.

 

Den grundlæggende ordning efter bestemmelsen er, at videregivelse til tredjelande mv. kræver samtykke fra den medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en anden medlemsstat), og at det pågældende tredjeland mv. skal sikre et tilstrækkeligt beskyttelsesniveau, jf. i den forbindelse nærmere artikel 13, stk. 4. Derudover skal videregivelsen være nødvendig for forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, og den modtagende myndighed i tredjelandet mv. skal have ansvaret for at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

 

Kravet om samtykke (forhåndsgodkendelse) fra den medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en anden medlemsstat), kan kun fraviges, hvis videregivelsen af oplysningerne er afgørende for forebyggelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed i en medlemsstat eller et tredjeland eller en medlemsstats væsentlige interesser, og samtykket (forhåndsgodkendelsen) ikke kan indhentes i tide, jf. artikel 13, stk. 2. Den myndighed, der skal give sin godkendelse, skal orienteres omgående.

 

Kravet om, at det pågældende tredjeland mv. skal sikre et tilstrækkeligt beskyttelsesniveau, kan kun fraviges, hvis den nationale lovgivning i den medlemsstat, der videregiver oplysningerne, giver mulighed herfor på grund af den registreredes specifikke legitime interesser eller på grund af legitime vigtige interesser, navnlig vigtige offentlige interesser, eller tredjelandet mv. giver tilstrækkelige sikkerhedsgarantier, jf. artikel 13, stk. 3.

 

2.2.2.7. For så vidt angår spørgsmålet om videregivelse til private af personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat, fastsætter rammeafgørelsens artikel 14, at dette kun kan ske i begrænset omfang.

 

Videregivelse til private må således kun finde sted, hvis den medlemsstat, hvor oplysningerne er indsamlet, har givet tilladelse til videregivelsen. Det er endvidere en betingelse, at den registreredes specifikke legitime interesser ikke forhindrer videregivelse, og at videregivelse af oplysninger i særlige tilfælde er afgørende for, at den kompetente myndighed, der videregiver oplysningerne til private, kan varetage en række nærmere angivne hensyn. Det fremgår i den forbindelse af betragtning nr. 18 i præambelteksten, at artikel 14 ikke vedrører videregivelse af oplysninger til private (f.eks. forsvarsadvokater og ofre) som led i straffesager. Om betydningen af artikel 14 kan i øvrigt henvises til betragtning nr. 17.

 

Den myndighed, der videregiver oplysningerne til en privatperson, orienterer denne om, hvilke formål oplysningerne udelukkende må anvendes til.

 

2.2.2.8. Efter rammeafgørelsens artikel 12 er der åbnet mulighed for, at den afgivende medlemsstat kan forpligte modtagerstaten til at respektere særlige begrænsninger i forhold til behandlingen af udvekslede personoplysninger. Hvis der gælder særlige begrænsninger i den afgivende medlemsstat for behandling af de personoplysninger, der er tale om at udveksle, kan afgiverstaten således i medfør af artikel 12 orientere modtagerstaten herom. Virkningen af en sådan orientering er, at den modtagende medlemsstat forpligtes til at overholde de særlige begrænsninger.

 

Samtidig gælder der dog efter artikel 12 et antidiskriminationsprincip, idet en medlemsstat ikke må fastsætte andre sikkerhedsgarantier vedrørende videregivelse til andre medlemsstater mv. end dem, der gælder for en lignende national videregivelse.

 

2.2.2.9. Ifølge artikel 15 orienterer modtageren – efter anmodning – den myndighed, der har videregivet eller stillet personoplysningerne til rådighed, om behandlingen af oplysningerne.

 

2.2.3. Datakvalitet mv.

2.2.3.1. Rammeafgørelsen indeholder en række bestemmelser, der har til formål at sikre datakvaliteten af personoplysninger, der udveksles mellem medlemsstaterne mv., og at sikre, at oplysninger ikke opbevares længere tid end nødvendigt.

 

2.2.3.2. Artikel 4 forpligter medlemsstaterne til at sikre, at der foretages fornøden ajourføring af oplysningerne, herunder at oplysninger berigtiges, hvis de er urigtige, at oplysninger slettes eller anonymiseres, hvis de ikke længere er nødvendige til de formål, som de er indsamlet til, eller hvortil de viderebehandles på lovlig vis, og at oplysninger (som alternativ til sletning) blokeres, hvis der er rimelig grund til at tro, at en sletning kunne påvirke den registreredes legitime interesser. Blokerede oplysninger må kun behandles til det formål, der gjorde, at de ikke blev slettet.

 

Kravet om sletning eller anonymisering af personoplysninger, der ikke længere er nødvendige til de formål, som de er indsamlet til, eller hvortil de viderebehandles på lovlig vis, berører ikke adgangen til at foretage arkivering af oplysninger i en særskilt samling i en passende periode i henhold til national lovgivning, jf. i den forbindelse betragtning nr. 13.

 

Når personoplysninger er indeholdt i en retsafgørelse eller i et register, der er knyttet til udstedelsen af en retsafgørelse, skal berigtigelsen, sletningen eller blokeringen gennemføres i henhold til de nationale retsplejeregler, jf. artikel 4, stk. 4.

 

2.2.3.3. Rammeafgørelsens artikel 5 forpligter herudover medlemsstaterne til at sikre, at der fastsættes passende frister for sletningen af personoplysninger eller regelmæssig undersøgelse af behovet for lagringen. Det skal sikres ved proceduremæssige foranstaltninger, at disse frister overholdes.

 

2.2.3.4. Efter artikel 9 kan den videregivende myndighed i forbindelse med udveksling af personoplysninger tilkendegive, hvilke nationale tidsfrister for opbevaring af oplysninger der i vedkommende medlemsstat gælder for de pågældende oplysninger. Virkningen af en sådan tilkendegivelse er, at modtageren er forpligtet til ved udløbet af fristen at slette eller blokere oplysningerne eller undersøge, om der fortsat er behov for dem. Dette gælder dog ikke, hvis oplysningerne skal bruges i forbindelse med en igangværende undersøgelse, retsforfølgelse af lovovertrædelser eller håndhævelse af strafferetlige sanktioner.

 

Hvis den videregivende myndighed ikke har oplyst om nogen national tidsfrist for opbevaring, gælder de tidsfrister, der er fastsat i artikel 4 og 5, for opbevaring af oplysninger, som er omhandlet i den modtagende medlemsstats lovgivning. 

 

2.2.3.5. Artikel 8 forpligter medlemsstaterne til at føre kontrol med kvaliteten af de oplysninger, der videregives.

 

De kompetente myndigheder skal i den forbindelse træffe alle rimelige foranstaltninger til at sikre, at personoplysninger, der er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Myndighederne skal så vidt muligt verificere kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med al videregivelse af oplysninger skal der så vidt muligt tilføjes tilgængelige oplysninger, der gør det muligt for den modtagende medlemsstat at vurdere, om oplysningerne er rigtige, fuldstændige, ajourførte og pålidelige.

 

Hvis personoplysninger er blevet videregivet uanmodet, skal den modtagende myndighed straks vurdere, om oplysningerne er nødvendige til det formål, hvortil de er blevet videregivet.

 

Hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er videregivet ulovligt, meddeles dette straks modtageren. Oplysningerne skal i så fald rettes, slettes eller blokeres omgående i overensstemmelse med artikel 4. 

 

2.2.3.6. Med henblik på at der kan foretages kontrol af, om databehandlingen er lovlig, at der kan udøves egenkontrol, og at dataenes integritet og sikkerhed sikres, fastsættes det i rammeafgørelsens artikel 10, at hver videregivelse af personoplysninger skal registreres eller dokumenteres.

 

Den nævnte registrering eller dokumentation for videregivelse af personoplysninger udleveres til den kompetente tilsynsmyndighed på dennes anmodning med henblik på kontrol af databeskyttelsen. Den kompetente myndighed må kun anvende de modtagne oplysninger med henblik på kontrol af databeskyttelsen og med henblik på at sikre en korrekt databehandling og dataenes integritet og sikkerhed.

 

2.2.4. Den registreredes rettigheder

2.2.4.1. Rammeafgørelsen indeholder i artikel 16-18 en række bestemmelser om den registreredes rettigheder. Det nærmere indhold af visse af rettighederne vil afhænge af, hvordan den enkelte medlemsstat vælger at gennemføre rammeafgørelsen i national ret, jf. herom for Danmarks vedkommende nedenfor under pkt. 4.

 

2.2.4.2. Artikel 16 forpligter medlemsstaterne til at sikre, at den registrerede er underrettet om myndighedernes indsamling og behandling af personoplysninger i henhold til den nationale lovgivning.  

 

De nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra fastlægges således i den nationale lovgivning, jf. i den forbindelse betragtning nr. 27, hvor det bl.a. anføres, at underretning kan ske generelt, f.eks. gennem lovgivning eller ved offentliggørelse af en oversigt over behandlingerne.

 

Både den afgivende og den modtagende medlemsstat kan i det enkelte tilfælde (i henhold til national lovgivning) tilkendegive, at udvekslede oplysninger skal behandles fortroligt, og at den registrerede ikke må informeres uden samtykke fra vedkommende medlemsstat. I givet fald kan der kun ske underretning af den registrerede, hvis den medlemsstat, som har modsat sig dette, giver sit samtykke hertil.   

 

2.2.4.3. Artikel 17 om retten til indsigt fastslår, at en registreret person efter anmodning har ret til – uden større ventetid eller større udgifter – med rimelige mellemrum uhindret at modtage mindst en bekræftelse fra den dataansvarlige eller den nationale tilsynsmyndighed af, om der er udvekslet oplysninger om den pågældende, samt i bekræftende fald information om de modtagere eller kategorier af modtagere, oplysningerne er videregivet til, og meddelelse om, hvilke oplysninger der er omfattet af behandlingen.

 

Alternativt skal der (mindst) gives bekræftelse fra den nationale tilsynsmyndighed på, at der er foretaget alle fornødne kontroller.

 

Medlemsstaterne kan efter artikel 17, stk. 2, træffe lovmæssige foranstaltninger, der begrænser retten til indsigt, hvis en sådan begrænsning under hensyn til den pågældende persons legitime interesser er en nødvendig og proportionel foranstaltning:

 

-           for at undgÃ¥, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer,

-           for at undgÃ¥, at forebyggelsen, afsløringen, efterforskningen og retsforfølgning af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner,

-           for at beskytte den offentlige sikkerhed,

-           for at beskytte den nationale sikkerhed, eller

-           for at beskytte den registrerede eller andres rettigheder og frihedsrettigheder.

 

Afslag på eller begrænsning af indsigtsretten skal efter artikel 17, stk. 3, meddeles skriftligt, og i den forbindelse skal de faktiske og retlige grunde, som afgørelsen hviler på, også meddeles vedkommende. En sådan skriftlig begrundelse kan dog undlades, hvis de hensyn, som er nævnt i artikel 17, stk. 2, kan begrunde det. Den registrerede skal i alle tilfælde vejledes om vedkommendes klageadgang.

 

2.2.4.4. Herudover fremgår det af rammeafgørelsens artikel 18, at den registrerede har ret til at forvente, at den dataansvarlige overholder sine forpligtelser i henhold til rammeafgørelsens bestemmelser om berigtigelse, sletning og blokering af personoplysninger (i artikel 4, 8 og 9).

 

Medlemsstaterne bestemmer, om den registrerede skal kunne gøre denne rettighed gældende direkte overfor den dataansvarlige eller gennem den nationale tilsynsmyndighed.

 

Det følger endvidere af bestemmelsen, at afslag på berigtigelse, sletning eller blokering skal meddeles skriftligt og ledsages af klagevejledning.

 

Efter behandlingen af klagen informeres den registrerede om, hvorvidt den dataansvarlige har handlet korrekt eller ej. Medlemsstaterne kan også fastsætte, at den registrerede blot skal underrettes af den kompetente nationale tilsynsmyndighed om, at der er foretaget en undersøgelse.  

 

Hvis den registrerede gør indsigelse mod rigtigheden af en personoplysning, og det ikke kan konstateres, om oplysningen er rigtig eller ej, kan der anføres en bemærkning ud for oplysningen (”referenceangivelse”). Det er i den forbindelse fastsat i rammeafgørelsens artikel 2, litra j, at der ved begrebet ”referenceangivelse” skal forstås en markering af lagrede oplysninger, uden at det er hensigten at begrænse den fremtidige behandling af disse oplysninger. 

 

2.2.5. Behandlingssikkerhed

2.2.5.1. Rammeafgørelsen indeholder i artikel 21 og 22 bestemmelser om sikkerhed i forbindelse med behandlingen af personoplysninger.

 

2.2.5.2. Den almindelige regel følger af artikel 21, som fastsætter, at enhver med adgang til personoplysninger, som falder ind under rammeafgørelsens anvendelsesområde, kun må behandle disse oplysninger i deres egenskab af ansatte i eller efter instruks fra den kompetente myndighed (medmindre andet er fastsat ved lov) .

 

Enhver, der arbejder for en kompetent myndighed i en medlemsstat, er bundet af alle de databeskyttelsesregler, der gælder for den pågældende kompetente myndighed.

 

2.2.5.3. Rammeafgørelsens artikel 22 fastsætter nærmere og mere detaljerede krav til sikkerheden i forbindelse med behandlingen af personoplysninger.

 

Efter bestemmelsen forpligtes de kompetente myndigheder til at iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelse i et net eller oplysninger, der stilles til rådighed ved at give direkte elektronisk adgang, og mod enhver anden form for ulovlig behandling, jf. herved nærmere artikel 22, stk. 1.  

 

Med henblik herpå opstilles der en række specifikke sikkerhedskrav i bestemmelsen, jf. herved nærmere artikel 22, stk. 2

 

Efter artikel 22, stk. 3, fastsætter medlemsstaterne, at der som databehandler kun må udpeges en person, der kan garantere, at vedkommende kan træffe de fornødne tekniske og organisatoriske foranstaltninger (som er nævnt i artikel 22, stk. 1) og overholde de instrukser (som er nævnt i artikel 21). Den kompetente myndighed skal kontrollere, at databehandleren lever op til disse krav.

 

Databehandleren må efter artikel 22, stk. 4, kun behandle personoplysninger på grundlag af en retsakt eller en skriftlig kontrakt.

 

2.2.6. Tilsyn, domstolsprøvelse, erstatning og sanktioner

2.2.6.1. Efter artikel 25 skal hver medlemsstat have mindst én offentlig myndighed, der har til opgave at yde rådgivning og påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af rammeafgørelsen.

 

Denne myndighed udøver de funktioner, der tillægges den, i fuld uafhængighed.

 

Tilsynsmyndigheden skal kunne iværksætte efterforskninger og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og kunne indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver. Tilsynsmyndigheden skal også kunne gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlinger, beordre oplysninger slettet mv., midlertidigt eller definitivt forbyde en behandling, udstede advarsler, påtale overtrædelser og indbringe overtrædelser for retsinstanserne eller gøre retsinstanserne opmærksom på overtrædelserne. Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, skal kunne indbringes for en retsinstans.

 

Om tilsynsmyndighedens virksomhed kan i øvrigt henvises til bestemmelserne i artikel 25, stk. 3 og 4

 

2.2.6.2. Medlemsstaterne skal sikre, at de(n) nationale tilsynsmyndighed(er) høres inden behandling af personoplysninger, der vil indgå i et nyt register, der skal oprettes, når der behandles særlige kategorier af oplysninger, jf. artikel 6, eller når formen for behandling – især anvendelse af nye teknologier, mekanismer eller procedurer – i andre henseender indebærer særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, herunder især dennes privatliv. Der henvises herved til rammeafgørelsens artikel 23.

 

2.2.6.3. Efter rammeafgørelsens artikel 20 skal den registrerede – med forbehold af en eventuel administrativ klageadgang – have ret til at indbringe krænkelser af de rettigheder, der garanteres vedkommende i henhold til national lovgivning, for en domstol.

 

2.2.6.4. Rammeafgørelsens artikel 19 omhandler retten til erstatning. Efter bestemmelsen er enhver, der har lidt skade som følge af en ulovlig handling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af rammeafgørelsen, berettiget til erstatning for den forvoldte skade fra den kompetente myndighed (eller en anden myndighed, der er kompetent i henhold til den nationale lovgivning).

 

En medlemsstat, der har modtaget oplysninger fra en anden medlemsstat, kan inden for rammerne af det ansvar, den kompetente myndighed i henhold til den nationale lovgivning har over for den skadelidte, ikke påberåbe sig, at de videregivne oplysninger var urigtige. Hvis modtageren yder erstatning for en skade, der er forårsaget af anvendelsen af urigtigt videregivne oplysninger, refunderer den videregivende kompetente myndighed modtageren den ydede skadeserstatning under hensyn til et eventuelt ansvar hos modtageren.

 

Det er op til den enkelte medlemsstat at fastlægge, hvordan dens erstatningsbestemmelser skal udformes, jf. betragtning nr. 30.

 

2.2.6.5. Efter artikel 24 træffer medlemsstaterne de nødvendige foranstaltninger til at sikre, at rammeafgørelsens bestemmelser gennemføres fuldt ud, herunder bl.a. ved at fastsætte sanktioner, der er effektive, står i et rimeligt forhold til lovovertrædelsen, har afskrækkende virkning, og som skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til gennemførelse af rammeafgørelsen.

 

Det er op til den enkelte medlemsstat at fastlægge, hvilke sanktioner der skal finde anvendelse ved overtrædelse af de nationale databeskyttelsesbestemmelser, jf. betragtning nr. 30.

 

2.2.7. Øvrige bestemmelser mv.

2.2.7.1. Forholdet mellem rammeafgørelsen og aftaler indgået med tredjelande reguleres i artikel 26.

 

Heraf fremgår, at rammeafgørelsen ikke berører forpligtelser, der påhviler medlemsstaterne eller EU i henhold til bilaterale og/eller multilaterale aftaler indgået med tredjelande, som er gældende ved rammeafgørelsens vedtagelse. 

 

Ved anvendelsen af disse aftaler foretages overførsel til et tredjeland af personoplysninger, der er indsamlet i en anden medlemsstat, i henhold til artikel 13, stk. 1, litra c (om indhentelse af samtykke fra afgiverstaten), eller, hvis det er relevant, artikel 13, stk. 2 (hvorefter der i visse situationer kan ske overførsel uden forhåndsgodkendelse fra afgiverstaten).

 

2.2.7.2. Forholdet mellem rammeafgørelsen og tidligere vedtagne EU-retsakter reguleres i artikel 28.

 

Heraf følger, at hvis der i EU-retsakter, som er vedtaget før rammeafgørelsens ikrafttræden (som er tyvendedagen efter offentliggørelsen i EU-Tidende), og som regulerer udvekslingen af personoplysninger mellem medlemsstater mv., er fastsat særlige bestemmelser om den modtagende medlemsstats anvendelse af sådanne oplysninger, vil disse bestemmelser gå forud for rammeafgørelsens regler herom.

 

Om den nærmere betydning heraf kan der henvises til betragtning nr. 39 og 40.

 

2.2.7.3. Efter rammeafgørelsens artikel 29, stk. 1, skal medlemsstaterne træffe de nødvendige foranstaltninger for at efterkomme rammeafgørelsen senest to år fra dens vedtagelse.

 

Om gennemførelsen og ikrafttrædelsen af rammeafgørelsen henvises i øvrigt til rammeafgørelsens artikel 29, stk. 2, og artikel 30. Spørgsmålet om evaluering af rammeafgørelsen reguleres i rammeafgørelsens artikel 27.

 

2.2.7.4. Ud over de enkelte artikler indeholder præamblen til rammeafgørelsen på sædvanlig vis en række betragtninger, som vil kunne have betydning for fortolkningen og anvendelsen af rammeafgørelsen. Præamblen indeholder ingen selvstændige retligt forpligtende elementer.

 

2.2.7.5. Det skal bemærkes, at rammeafgørelsen ledsages af en råds-erklæring, hvorefter Rådet vil undersøge, hvordan man i fremtiden i overensstemmelse med de gældende retsgrundlag kan samle de opgaver, der udføres af de eksisterende fælles datatilsynsmyndigheder, som er oprettet særskilt for Schengen-informationssystemet, Europol, Eurojust og Toldinformationssystemet, under én datatilsynsmyndighed, idet der tages hensyn til disse systemers og organers særlige karakter. 

 

Den pågældende rådserklæring er en politisk tilkendegivelse om Rådets ønske om at arbejde videre med idéen om at oprette en fælles tilsynsmyndighed. Justitsministeriet har ikke nærmere oplysninger om tidshorisonten for det videre arbejde eller om indholdet af en eventuel senere beslutning herom, men det kan generelt oplyses, at regeringen stiller sig positiv over for at samle de forskellige tilsynsopgaver hos en fælles tilsynsmyndighed.  

 

3. Gældende ret

 

3.1. Indledning

Den centrale danske lov på området for persondatabeskyttelse er persondataloven (lov nr. 429 af 31. maj 2000 som senest ændret ved lov nr. 519 af 6. juni 2007). Persondataloven, der gennemfører databeskyttelsesdirektivet – direktiv nr. 95/46 – i dansk ret, regulerer ikke blot behandling af personoplysninger inden for fællesskabsrettens og dermed direktivets område (søjle 1), men finder generelt anvendelse på behandling af personoplysninger, og herunder altså også behandling af personoplysninger inden for det strafferetlige område. 

 

Også anden lovgivning indeholder regler, som har betydning for behandling af personoplysninger inden for det strafferetlige område. Der er således i retsplejeloven fastsat regler om sigtede personers mv. adgang til materiale, som er tilvejebragt af politiet i forbindelse med strafferetlig forfølgning (retsplejelovens kapitel 66). I retsplejeloven er der også fastsat almindelige regler om aktindsigt (retsplejelovens kapitel 3 a). Herudover kan bl.a. nævnes retsplejelovens særlige regler om berigtigelse, jf. lovens § 221.

 

3.2. Nærmere om indholdet af persondataloven

3.2.1. Persondatalovens almindelige anvendelsesområde er i lovens § 1, stk. 1, afgrænset til at omfatte behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

 

Uden for persondatalovens anvendelsesområde falder bl.a. behandling af personoplysninger, der udføres for politiets eller forsvarets efterretningstjenester, jf. lovens § 2, stk. 11.

 

Bestemmelserne i lovens kapitel 8 (om oplysningspligt over for den registrerede) og §§ 35-37 og § 39 (om bl.a. den registreredes indsigelsesret over for behandlinger, om den registreredes ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige mv. samt ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget mv. samt om den registreredes ret til indsigelse mod visse automatiserede afgørelser samt ret til oplysning om beslutningsgrundlaget) finder ikke anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område. Desuden finder kapitel 9 (om den registreredes indsigtsret) heller ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Der henvises til persondatalovens § 2, stk. 4.

 

3.2.2. Persondataloven indeholder i § 5 en række grundlæggende principper for behandling af personoplysninger, herunder regler om indsamling, ajourføring, opbevaring mv.

 

Reglerne i § 5 giver ikke et selvstændigt retligt grundlag for at foretage en bestemt behandling af personoplysninger. Hjemmelsgrundlaget herfor skal findes i de øvrige behandlingsregler i navnlig §§ 6-8, hvorefter der kan ske behandling, herunder videregivelse mv., hvis dette er nødvendigt til en række nærmere angivne formål, herunder bl.a. af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område. Det bemærkes i den forbindelse, at persondatalovens § 8, stk. 2, indeholder særlige videregivelsesregler vedrørende bl.a. oplysninger om strafbare forhold.

 

Herudover indeholder persondataloven i § 27 særlige regler om overførsel af personoplysninger til tredjelande.

 

3.2.3. Som tidligere nævnt følger det af persondatalovens § 2, stk. 4, at en række af lovens bestemmelser om den registreredes rettigheder ikke finder anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område.

 

Det drejer sig for det første om bestemmelserne i persondatalovens kapitel 8 (§§ 28-30) om oplysningspligt over for den registrerede.

 

For det andet er der gjort fravigelse fra bestemmelserne i persondatalovens kapitel 9 (§§ 31-34) om den registreredes indsigtsret, for så vidt angår behandling af personoplysninger, der foretages for domstolene inden for det strafferetlige område.

 

Reglerne i kapitel 9 gælder således alene med hensyn til behandlinger, der foretages for bl.a. politi og anklagemyndighed inden for det strafferetlige område.

 

Efter persondatalovens § 31, stk. 1, har en registreret person – efter begæring – ret til indsigt i en række oplysninger om vedkommende selv (egenacces). Dette gælder dog bl.a. ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private eller offentlige interesser, herunder bl.a. den offentlige sikkerhed eller forebyggelse, efterforskning, afsløring eller retsforfølgning i straffesager, eller hvis der i øvrigt er grundlag for at gøre undtagelser fra indsigtsretten efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og § 14. Der henvises til persondatalovens § 32, stk. 1 og 2.

 

Herudover følger det af lovens § 32, stk. 5, at justitsministeren under visse betingelser kan træffe bestemmelse om, at der generelt gøres undtagelse fra retten til indsigt i oplysninger, der behandles af offentlige myndigheder på det strafferetlige område, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås. Med hjemmel i denne bestemmelse er der fastsat nærmere regler om egenacces i bekendtgørelse nr. 218 af 27. marts 2001 om behandling af personoplysninger i Det Centrale Kriminalregister (med senere ændringer).

 

Endelig kan det - for det tredje – nævnes, at kun visse af bestemmelserne i persondatalovens kapitel 10 finder anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område.

 

3.2.4. Persondataloven indeholder i kapitel 11 (§§ 41-42) regler om den fysiske behandlingssikkerhed og i kapitel 12 (§§ 43-47) regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning til tilsynsmyndigheden. De nævnte regler om den fysiske sikkerhed (§§ 41-42) finder også anvendelse i forhold til domstolene, ligesom reglerne i §§ 43-46 gælder for anmeldelse til Domstolsstyrelsen af behandling af oplysninger, der foretages for domstolene, jf. herved persondatalovens § 52.    

 

Supplerende administrative bestemmelser om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for henholdsvis den offentlige forvaltning og for domstolene, er fastsat i bekendtgørelse nr. 528 og bekendtgørelse nr. 535, begge af 15. juni 2000.   

 

Bestemmelser om klageadgang, erstatningsansvar og sanktioner er fastsat i persondatalovens kapitel 18 (§§ 69-71).

 

Hvad angår reglerne om Datatilsynets organisation og funktioner, henvises der til persondatalovens kapitel 16 (§§ 55-66). Tilsynet med domstolene er reguleret i lovens §§ 67-68.

 

4. Justitsministeriets overvejelser

 

4.1. Generelle overvejelser

4.1.1. Justitsministeriet har tidligere i forbindelse med forslag til folketingsbeslutning om udkast til rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (B 79 af 28. marts 2008) redegjort for de lovgivningsmæssige konsekvenser af udkastet til rammeafgørelse.

 

Som anført i det pågældende beslutningsforslag afspejles den regulering, som fremgår af udkastet til rammeafgørelse, i nogen grad allerede i dag i persondataloven (med tilhørende bekendtgørelser).

 

Dette gælder navnlig med hensyn til bestemmelserne om rammeafgørelsens anvendelsesområde og definitioner (artikel 1-2), om grundlæggende principper for behandling af personoplysninger (især artikel 3), om fortrolighed og sikkerhed i forbindelse med databehandling (artikel 21 og 22), om erstatningsansvar, klageadgang, og sanktioner (artikel 19-20 og 24) samt om tilsynsmyndighed (artikel 25).

 

Disse bestemmelser svarer således stort set til, hvad der følger af persondataloven.      

 

Omvendt indeholder persondataloven imidlertid ikke – på samme måde som rammeafgørelsen – særlige og detaljerede bestemmelser om udveksling af personoplysninger med andre medlemsstater eller om yderligere behandling, herunder videregivelse, af oplysninger, der er modtaget fra eller stillet til rådighed af andre medlemsstaters kompetente myndigheder. Også med hensyn til den registreredes rettigheder må rammeafgørelsen antages at gå videre i sin regulering end gældende dansk lovgivning.

 

Uanset de nævnte forskelle må rammeafgørelsen efter Justitsministeriets opfattelse samlet set antages i meget vidt omfang at kunne gennemføres inden for rammerne af gældende dansk ret. Gennemførelse af rammeafgørelsen i Danmark kan således efter Justitsministeriets opfattelse kun antages på enkelte punkter at nødvendiggøre ændringer af den regulering, som følger af persondataloven, jf. nærmere nedenfor under pkt. 4.2.1.-4.2.7.

 

4.1.2. Justitsministeriet har overvejet, om rammeafgørelsens bestemmelser bør indarbejdes (direkte) i persondataloven, eller om der bør udstedes en bekendtgørelse inden for området for politisamarbejde og retligt samarbejde i kriminalsager i EU. 

 

Efter Justitsministeriets opfattelse vil det stemme bedst overens med persondatalovens mere generelle karakter, at de specifikke regler for behandling af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde inden for EU (som er nødvendige til opfyldelse af rammeafgørelsen) fastsættes i en bekendtgørelse på området.

 

På den baggrund foreslås der indsat en ny bemyndigelsesbestemmelse i § 72 a i persondataloven, hvorefter der på bekendtgørelsesniveau kan fastsættes nærmere regler om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union mv., jf. herved lovforslagets § 1, nr. 1.

 

Justitsministeriet har herved også lagt vægt på, at den foreslåede bemyndigelsesbestemmelse alene giver justitsministeren adgang til (inden for rammeafgørelsens anvendelsesområde) at fastsætte en nærmere administrativ regulering, som i overensstemmelse med rammeafgørelsen indebærer en styrkelse af databeskyttelsen, når det gælder udveksling af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for EU. Der er således ikke tale om en generel bemyndigelse til justitsministeren på området, og det vil ikke være muligt at anvende bemyndigelsesbestemmelsen til at indføre en regulering, som indebærer en forringelse af databeskyttelsen på området (set i forhold til, hvad der gælder efter persondataloven).

 

Det tilføjes, at den nugældende bestemmelse i persondatalovens § 72 – hvorefter vedkommende minister i særlige tilfælde kan fastsætte nærmere regler for behandlinger, som udføres for den offentlige forvaltning – alene vil kunne anvendes til at fastsætte regler om behandling af personoplysninger hos politiet, anklagemyndigheden og kriminalforsorgen, hvorimod det ikke efter bestemmelsen er muligt at regulere domstolenes forhold (idet de ikke er en del af den offentlige forvaltning). Da rammeafgørelsen bl.a. også omfatter domstolenes behandling af personoplysninger, der hidrører fra en anden medlemsstat, vil bemyndigelsen i persondatalovens § 72 ikke være tilstrækkelig til at gennemføre rammeafgørelsen i dansk ret.

 

4.1.3. Af rammeafgørelsens præambel (betragtning nr. 45-47) fremgår det, at rammeafgørelsen omfatter beskyttelse af personoplysninger i forbindelse med, at sådanne oplysninger – som led i grænseoverskridende politimæssigt og retligt samarbejde i kriminalsager – udveksles med de tredjelande, der deltager i det såkaldte Schengensamarbejde (for tiden Island, Norge, Schweiz og Liechtenstein). I overensstemmelse hermed vil den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven, også omfatte databeskyttelse i forbindelse med danske myndigheders politimæssige og strafferetlige samarbejde med Schengen-lande, jf. i den forbindelse udtrykket ”mv.” i den foreslåede nye § 72 a.       

 

4.1.4. Et udkast til bekendtgørelsen vil blive forelagt for tilsynsmyndighederne – Datatilsynet og Domstolsstyrelsen – til udtalelse, jf. herved persondatalovens § 57 og § 68, stk. 2.     

 

4.1.5. Om Justitsministeriets overvejelser om det nærmere indhold af den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven, henvises til den følgende gennemgang (nedenfor under pkt. 4.2.) af de enkelte dele af rammeafgørelsen. Justitsministeriet vil i øvrigt tage endelig stilling til den nærmere gennemførelse af rammeafgørelsen i dansk ret i forbindelse med udformningen af den pågældende bekendtgørelse.

 

4.2. Justitsministeriets overvejelser om de enkelte dele af rammeafgørelsen

 

4.2.1. Anvendelsesområde og definitioner

4.2.1.1. Persondataloven gælder – ligesom rammeafgørelsen – for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. lovens § 1, stk. 1.

 

Inden for dette anvendelsesområde gælder persondataloven for al form for behandling af personoplysninger, der foretages af danske myndigheder. Persondataloven omfatter således bl.a. også indsamling, opbevaring og udveksling mv. af personoplysninger, som foretages af politiet, anklagemyndigheden, kriminalforsorgen og domstolene i forbindelse med samarbejde med myndigheder i andre EU-medlemsstater inden for det strafferetlige område.

 

Som nævnt ovenfor under pkt. 2.2.1.1. finder rammeafgørelsen anvendelse på den grænseoverskridende informationsudveksling i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager i EU.

 

Persondatalovens anvendelsesområde er således bredere end rammeafgørelsens anvendelsesområde, og rammeafgørelsen nødvendiggør derfor efter Justitsministeriets opfattelse ikke, at der foretages ændringer i den nuværende afgrænsning i lovens § 1 af persondatalovens anvendelsesområde.

 

Det forhold, at visse nærmere angivne bestemmelser i persondataloven (om registrerede personers rettigheder) ikke finder anvendelse på behandlinger, der foretages af domstolene, politi og anklagemyndighed inden for det strafferetlige område, jf. herved lovens § 2, stk. 4, nødvendiggør efter Justitsministeriets opfattelse heller ikke ændringer i persondatalovens § 1. Om betydningen af reglen i persondatalovens § 2, stk. 4, henvises i øvrigt til det, som er anført nedenfor under pkt. 4.2.1.1.

 

Det bemærkes i øvrigt, at rammeafgørelsen efter Justitsministeriets opfattelse ikke er til hinder for, at den enkelte medlemsstat i sin nationale lovgivning kan fastsætte eller opretholde regler, der indeholder en yderligere databeskyttelse ud over, hvad der følger af rammeafgørelsen, jf. herved rammeafgørelsens artikel 1, stk. 5.

 

4.2.1.2. Uden for persondatalovens anvendelsesområde falder bl.a. behandling af personoplysninger, der udføres for politiets eller forsvarets efterretningstjenester, jf. lovens § 2, stk. 11.

 

Denne ordning vil kunne opretholdes ved en gennemførelse af rammeafgørelsen i dansk ret, idet rammeafgørelsen som nævnt ovenfor under pkt. 2.2.1.1. ikke berører væsentlige nationale sikkerhedsinteresser og specifikke efterretningsaktiviteter vedrørende national sikkerhed, jf. rammeafgørelsens artikel 1, stk. 4.

 

4.2.1.3. Persondataloven indeholder i § 3 definitioner af en række centrale databeskyttelsesmæssige begreber, såsom ”personoplysninger”, ”behandling”, ”register”, ”dataansvarlig” og ”databehandler”.

 

Som nævnt ovenfor under pkt. 2.2.1.2. svarer rammeafgørelsens definitioner i vidt omfang til de definitioner, der anvendes i persondataloven. Der indføres dog med rammeafgørelsen enkelte nye definitioner, som ikke er afspejlet i lovteksten til persondataloven. En indsættelse af de pågældende definitioner i persondataloven vil imidlertid efter Justitsministeriets opfattelse ikke være nødvendig til gennemførelse af rammeafgørelsen i dansk ret, idet definitionerne i fornødent omfang vil skulle lægges til grund af danske myndigheder mv. i forbindelse med udøvelse af aktiviteter inden for rammeafgørelsens anvendelsesområde. Det bemærkes i den forbindelse, at rammeafgørelsens definition af begrebet ”blokering” svarer til, hvad der i dag i praksis forstås ved det pågældende udtryk (som indgår i persondatalovens § 37 og § 59, stk. 1).  

 

4.2.2. Behandlingsregler

4.2.2.1. Persondataloven indeholder i kapitel 4 (§§ 5-14) en række materielle regler om behandling af personoplysninger.

 

De pågældende bestemmelser omfatter bl.a. den behandling af personoplysninger, som foretages af politi, anklagemyndighed, kriminalforsorg samt domstole inden for det strafferetlige område. Sådan behandling af personoplysninger vil således bl.a. skulle leve op til de grundlæggende principper, som følger af persondatalovens § 5.

 

Det betyder bl.a., at de nævnte myndigheders indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet (§ 5, stk. 2).

 

Personoplysninger, som behandles af de pågældende myndigheder, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles (§ 5, stk. 3).

 

Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges (§ 5, stk. 4).

 

Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles (§ 5, stk. 5).

 

De nævnte principper i persondatalovens § 5 skal ses i sammenhæng med bl.a. lovens §§ 6-8, hvorefter der – ud over på baggrund af et samtykke fra den registrerede – kan ske behandling af personoplysninger, herunder indsamling, registrering og videregivelse mv., hvis dette er nødvendigt til en række nærmere angivne formål, herunder bl.a. af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område, jf. bl.a. § 7, stk. 6. Der er i persondatalovens § 8, stk. 2, fastsat særlige videregivelsesregler for den offentlige forvaltning vedrørende bl.a. oplysninger om strafbare forhold.

 

Oplysninger, der er omfattet af persondataloven, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen, jf. persondatalovens § 14.   

 

De grundlæggende behandlingsregler i rammeafgørelsens artikel 3, som er beskrevet ovenfor i pkt. 2.2.2.2., må efter Justitsministeriets opfattelse antages indholdsmæssigt at svare til, hvad der følger af behandlingsreglerne i persondatalovens kapitel 4, herunder navnlig bestemmelserne i § 5 og § 14. Dette gælder således bl.a. i relation til reglen i rammeafgørelsens artikel 3, stk. 1, 2. pkt., (sammenholdt med artikel 3, stk. 2), som udtrykker et proportionalitetsprincip.

 

Rammeafgørelsen vurderes således ikke at nødvendiggøre lovændringer på dette punkt.

 

4.2.2.2. Der er i persondatalovens § 7 fastsat særlige regler om behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsforhold eller seksuelle forhold.

 

Efter bestemmelsen må der behandles personoplysninger, hvis den registrerede samtykker hertil, eller hvis behandlingen er nødvendig til en række nærmere angivne formål, herunder bl.a. af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område, jf. bl.a. § 7, stk. 6.

 

Som nævnt ovenfor i pkt. 2.2.2.3. følger det af rammeafgørelsens artikel 6, at de nævnte typer af følsomme personoplysninger kun må behandles, når det er strengt nødvendigt, og når der er fastsat passende sikkerhedsgarantier i den nationale lovgivning. Rammeafgørelsen fastsætter således (i princippet) strengere betingelser for, hvornår danske myndigheder på området kan behandle sådanne personoplysninger end, hvad der i dag følger af persondatalovens § 7. Det skal dog bemærkes, at det i praksis formentlig ikke vil være muligt at angive nogen væsentlig forskel på kriterierne ”nødvendigt” og ”strengt nødvendigt”. Det gælder således bl.a. i relation til politiets mv. adgang til at behandle de nævnte typer af følsomme personoplysninger med henblik på kriminalitetsbekæmpelse, f.eks. i forbindelse med opklaring af et politisk motiveret mord.

 

I overensstemmelse med rammeafgørelsens artikel 6 vil det blive fastsat i den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven, at der i forbindelse med det politimæssige og strafferetlige samarbejde inden for EU alene vil kunne behandles følsomme personoplysninger, hvis det er strengt nødvendigt (og ikke som efter persondataloven, hvis det er nødvendigt).

 

4.2.2.3. Rammeafgørelsens artikel 7 (om automatiserede afgørelser) kan efter Justitsministeriets opfattelse ikke antages at nødvendiggøre lovændringer. Der henvises herved til pkt. 2.2.2.4. ovenfor, hvor bestemmelsen er nærmere omtalt. Hvis der i Danmark ønskes indført automatiserede afgørelser på det strafferetlige område, vil de krav, som opstilles i artikel 7, i den forbindelse skulle iagttages.

 

4.2.2.4. Der er i rammeafgørelsens artikel 11-15 fastsat en række detaljerede regler om, i hvilket omfang en medlemsstat må viderebehandle personoplysninger, der modtages fra eller stilles til rådighed af en anden medlemsstat, herunder om medlemsstaten kan videregive sådanne oplysninger til henholdsvis myndigheder i tredjelande eller internationale organer og private. Om bestemmelsernes indhold henvises nærmere til pkt. 2.2.2.5.-2.2.2.9. ovenfor.  

 

Persondataloven indeholder ikke på samme måde som rammeafgørelsen særlige regler om adgangen for danske myndigheder (dvs. politi, anklagemyndighed, kriminalforsorg og domstole) til at viderebehandle personoplysninger, som modtages fra eller stilles til rådighed af myndigheder i andre medlemsstater. Om sådanne personoplysninger kan viderebehandles må således – medmindre der gælder særlige regler på området – afgøres ud fra behandlingsreglerne i persondatalovens kapitel 4, herunder i praksis navnlig bestemmelserne i § 5 og §§ 6-8.

 

Der er dog i persondatalovens § 27 fastsat særlige regler om overførsel af oplysninger til tredjelande. Det fremgår af stk. 1, at der kun må overføres oplysninger til et tredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau. Derudover kan der overføres oplysninger til et tredjeland, hvis en af de i stk. 3, nr. 1-8, nævnte betingelser er opfyldt. Herudover skal persondatalovens almindelige behandlingsregler, herunder i §§ 5-8, være opfyldt ved overførsel af oplysninger til tredjelande.

 

Persondatalovens § 27 om overførsel af personoplysninger til tredjelande svarer i et vist omfang til, hvad der følger af rammeafgørelsens artikel 13. Den pågældende bestemmelse indeholder imidlertid (i modsætning til rammeafgørelsens artikel 13) bl.a. ikke et krav om, at der som udgangspunkt skal foreligge samtykke fra den medlemsstat, der har afgivet oplysningen. Rammeafgørelsens artikel 13 indeholder således skærpede krav for overførsel af oplysninger til tredjelande (og internationale organer) i forhold til de krav, der følger af persondataloven.

 

Efter Justitsministeriets opfattelse nødvendiggør bestemmelserne i rammeafgørelsens artikel 11-15 imidlertid ikke lovændringer. De pågældende bestemmelser fastsætter som nævnt nogle grænser for, hvordan danske myndigheder kan anvende personoplysninger, som myndighederne har modtaget i forbindelse med det politimæssige og strafferetlige samarbejde i EU. Dette gælder, hvad enten der er tale om personoplysninger, der er ”modtaget” eller ”stillet til rådighed”. Danske myndigheder på området vil derfor, uden at en lovændring er påkrævet, være forpligtet til at overholde de betingelser, der følger af artikel 11-15. Det betyder bl.a., at der ikke vil kunne ske viderebehandling (ud over, hvad der er tilladt efter artikel 11-15 i rammeafgørelsen) på grundlag af forvaltningslovens § 31, hvorefter en forvaltningsmyndighed, i det omfang den er berettiget til at videregive en oplysning, også er forpligtet til at gøre det på begæring af en anden forvaltningsmyndighed, hvis oplysningen er af betydning for myndighedens virksomhed eller en afgørelse, som myndigheden skal træffe.                 

 

Noget tilsvarende er i øvrigt bl.a. lagt til grund i forbindelse med gennemførelsen af EU-retshjælpskonventionen (af 29. maj 2000) i dansk ret. Der henvises herved til forarbejderne til lov nr. 258 af 8. maj 2002 (som er gengivet i Folketingstidende 2001-2002, 2. samling, Tillæg A, side 3377).

  

Ud fra informative hensyn vil der i den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven, blive medtaget bestemmelser, som afspejler rammeafgørelsens regulering på det nævnte punkt. I overensstemmelse med det, som er anført ovenfor under pkt. 4.1.5., vil Justitsministeriet i forbindelse med udformningen af bekendtgørelsen tage endelig stilling til den nærmere gennemførelse af de omhandlede bestemmelser i rammeafgørelsen.

 

4.2.2.5. For så vidt angår forholdet mellem på den ene side rammeafgørelsens bestemmelser om viderebehandling af personoplysninger og på den anden side de danske regler om aktindsigt mv. bemærkes følgende: 

 

Som nævnt ovenfor i pkt. 2.2.2.7. indebærer rammeafgørelsens artikel 14, at personoplysninger, som modtages fra eller stilles til rådighed af en anden medlemsstat, kun i begrænset omfang (af de kompetente myndigheder i modtagerstaten) kan videregives til private.

 

Imidlertid fremgår det af den forklarende betragtning nr. 18 i rammeafgørelsens præambel, at artikel 14 ikke vedrører videregivelse af oplysninger til private (f.eks. forsvarsadvokater og ofre) som led i straffesager.

 

Efter Justitsministeriets opfattelse kan artikel 14 i rammeafgørelsen derfor ikke antages at nødvendiggøre ændringer i reglerne i retsplejelovens kapitel 66 (§§ 729 a-729 d) om sigtedes adgang til materiale, som er tilvejebragt af politiet i forbindelse med strafferetlig forfølgning.

 

Rammeafgørelsens artikel 14 kan efter Justitsministeriets opfattelse heller ikke antages at nødvendiggøre ændringer i den ordning, som følger af retsplejelovens kapitel 3 a (§§ 41-41 g) om aktindsigt i bl.a. domme og kendelser samt andre dokumenter, der vedrører straffesager. Af de pågældende bestemmelser følger bl.a., at retten til aktindsigt kan begrænses, hvis det er nødvendigt af hensyn til forholdet til fremmede magter, jf. § 41 b, stk. 3, nr. 1, og § 41 d, stk. 3, nr. 2. Der er endvidere i medfør af retsplejelovens § 41 e, stk. 4, 1. pkt., mulighed for at anonymisere et dokument, der indeholder oplysninger om enkeltpersoners rent private forhold, således at den pågældendes identitet ikke fremgår.

 

Justitsministeriet lægger herved også vægt på, at det af den forklarende betragtning nr. 31 i præamblen fremgår, at rammeafgørelsen giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat i den, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter. 

 

Efter offentlighedslovens § 2, stk. 1, 1. pkt., gælder loven ikke for sager inden for strafferetsplejen.  

 

På den anførte baggrund er det sammenfattende Justitsministeriets opfattelse, at rammeafgørelsens artikel 14 ikke nødvendiggør lovændringer på det nævnte punkt. 

 

4.2.3. Datakvalitet mv.

 Der er i persondatalovens § 5 (og § 14) fastsat en række regler om bl.a. ajourføring, rettelse, sletning og arkivering. De pågældende bestemmelser er beskrevet ovenfor i pkt. 4.2.2., hvortil der henvises. 

 

Herudover indeholder persondataloven i kapitel 11 (§§ 41-42) regler om behandlingssikkerhed. Der er i medfør af § 41, stk. 5, udstedt bekendtgørelser, som bl.a. indeholder regler om registrering (logning) af anvendelser af personoplysninger.

 

Endelig kan det nævnes, at persondataloven i kapitel 12 (§§ 43-47) og kapitel 14 (§ 52) indeholder regler om anmeldelse af behandlinger, der foretages for henholdsvis den offentlige forvaltning og for domstolene. Af bestemmelserne følger bl.a., at der i en anmeldelse skal oplyses om tidspunktet for sletning af oplysninger. For så vidt angår de behandlinger, som er undtaget fra anmeldelsespligten, er der i de udstedte bekendtgørelser på området fastsat regler om bl.a. opbevaring og sletning af oplysninger samt kontrol med behandling af oplysninger.  

 

Som det er fremgået ovenfor i pkt. 2.2.3., indeholder rammeafgørelsen en række bestemmelser (i artikel 4-5 og 8-10), der har til formål at sikre datakvaliteten af personoplysninger, der udveksles mellem medlemsstaterne mv., og som har til formål at sikre, at oplysninger ikke opbevares længere tid end nødvendigt.

 

Persondatalovens regulering dækker i vidt omfang de krav til datakvalitet mv., som følger af de pågældende bestemmelser i rammeafgørelsen. I den forbindelse bemærkes bl.a., at rammeafgørelsens artikel 4 ikke rejser spørgsmål i forhold til den særlige berigtigelsesregel, som fremgår af retsplejelovens § 221, jf. herved rammeafgørelsens artikel 4, stk. 4.     

 

Visse af rammeafgørelsens bestemmelser om datakvalitet mv. afspejles dog ikke direkte i persondataloven (med tilhørende bekendtgørelser). Det drejer sig bl.a. om rammeafgørelsens artikel 8, som fastsætter nogle krav til verifikation af kvaliteten af de oplysninger, der videregives eller stilles til rådighed, og krav om, at modtageren af oplysninger straks underrettes, hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er ulovligt videregivet.

 

Danske myndigheder vil, uden at en lovændring er påkrævet, være forpligtet til at overholde de krav og betingelser, som følger af de pågældende bestemmelser.

 

Ud fra informative hensyn vil der i den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven, blive medtaget bestemmelser, som afspejler rammeafgørelsens regulering på det nævnte punkt. I overensstemmelse med det, som er anført ovenfor under pkt. 4.1.5., vil Justitsministeriet i forbindelse med udformningen af bekendtgørelsen tage endelig stilling til den nærmere gennemførelse af de omhandlede bestemmelser i rammeafgørelsen.

 

4.2.4. Den registreredes rettigheder

4.2.4.1. Som nævnt ovenfor i pkt. 4.2.1. finder persondataloven generelt anvendelse på behandling af personoplysninger, herunder også behandlinger der foretages inden for det strafferetlige område af politi, anklagemyndighed, kriminalforsorg samt domstole.

 

Det følger dog af persondatalovens § 2, stk. 4, at bestemmelserne i lovens kapitel 8 (om oplysningspligt over for den registrerede) og §§ 35-37 og § 39 (om bl.a. den registreredes ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige mv., samt ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget mv.) ikke finder anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område. Herudover fremgår det af persondatalovens § 2, stk. 4, at bestemmelserne i lovens kapitel 9 (om den registreredes indsigtsret) heller ikke finder anvendelse på behandling af personoplysninger, der foretages for domstolene inden for det strafferetlige område.

 

4.2.4.2. Persondataloven indeholder i kapitel 8 (§§ 28-30) bestemmelser om den dataansvarlige myndigheds oplysningspligt over for den registrerede. De pågældende regler gælder som nævnt ovenfor ikke for behandling af personoplysninger, som foretages for politi, anklagemyndighed og domstole inden for det strafferetlige område.

 

Rammeafgørelsens artikel 16 forpligter medlemsstaterne til at sikre, at den registrerede er underrettet om myndighedernes indsamling og behandling af personoplysninger i henhold til den nationale lovgivning. Artikel 16 overlader det således til medlemsstaterne at fastsætte de nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra. Underretning kan bl.a. ske generelt, f.eks. gennem lovgivning eller ved offentliggørelse af en oversigt over behandlingerne, jf. nærmere ovenfor under pkt. 2.2.4.2.

 

Efter Justitsministeriets opfattelse giver den nærmere rækkevidde af artikel 16 anledning til tvivl. Efter bestemmelsen overlades det således til medlemsstaterne at fastsætte de nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra, og artikel 16 overlader således medlemsstaterne et meget betydeligt råderum med hensyn til fastlæggelsen af den nærmere ordning for underretning. Imidlertid synes det at være forudsat med artikel 16 (sammenholdt med de forklarende betragtninger nr. 26 og 27), at der – inden for rammeafgørelsens anvendelsesområde – i et vist omfang skal gælde en underretningspligt, hvis nærmere udformning det dog som nævnt er op til medlemsstaterne at fastlægge.

 

Der kan i den forbindelse peges på, at en anmeldelse til tilsynsmyndighederne i dag efter persondataloven bl.a. skal indeholde oplysninger om behandlingens betegnelse og formål mv., jf. herved § 43, stk. 2 (for den offentlige forvaltning) og § 52 (for domstolene). Tilsynsmyndighederne fører efter persondatalovens § 54, stk. 1, en fortegnelse over anmeldte behandlinger. Herudover følger det af § 54, stk. 2, at en dataansvarlig skal stille en række angivne oplysninger om alle de behandlinger, som udføres for vedkommende, til rådighed for enhver, som anmoder derom.  

 

Denne pligt til (på begæring) at stille oplysninger til rådighed vil – i lyset af rammeafgørelsen – blive udbygget i den bekendtgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for EU, som Justitsministeriet vil udstede i henhold til den foreslåede nye § 72 a i persondataloven. I overensstemmelse med, hvad der er angivet i betragtning nr. 27 i rammeafgørelsens præambel, påtænkes det således fastsat i bekendtgørelsen, at danske myndigheder, der foretager behandling af personoplysninger som angivet i rammeafgørelsen, vil skulle offentliggøre en oversigt over behandlingerne, som indeholder en overordnet beskrivelse af, i hvilke sammenhænge den pågældende myndighed modtager og behandler personoplysninger fra andre medlemsstater. Der påtænkes ikke herudover fastsat regler om, at der skal ske individuel underretning af den registrerede. Justitsministeriet vil i øvrigt – som nævnt ovenfor under pkt. 4.1.5. – tage endelig stilling til den nærmere gennemførelse af rammeafgørelsens artikel 16 i dansk ret i forbindelse med udformningen af den pågældende bekendtgørelse.  

 

4.2.4.3. Der er i persondatalovens kapitel 9 (§§ 31-34) fastsat regler om den registreredes indsigtsret.

 

Efter § 31, stk. 1, har en registreret person – efter begæring – ret til indsigt i en række oplysninger om vedkommende selv (egenacces). Dette gælder dog bl.a. ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private eller offentlige interesser, herunder bl.a. statens sikkerhed, den offentlige sikkerhed eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, eller hvis der i øvrigt er grundlag for at gøre undtagelser fra indsigtsretten efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og § 14. Der henvises til persondatalovens § 32, stk. 1 og 2. 

 

Herudover følger det af persondatalovens § 32, stk. 5, at justitsministeren under visse betingelser kan træffe bestemmelse om, at der generelt gøres undtagelse fra retten til indsigt i oplysninger, der behandles af offentlige myndigheder på det strafferetlige område, for så vidt bestemmelsen i § 32, stk. 1, jf. § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås. Med hjemmel i denne bestemmelse er der fastsat nærmere regler om egenacces i bekendtgørelse nr. 218 af 27. marts 2001 om behandling af personoplysninger i Det Centrale Kriminalregister (med senere ændringer). Bekendtgørelsen indeholder i kapitel 3 (§§ 11-14) regler om registrerede personers adgang til oplysninger om sig selv.

 

Reglerne i persondatalovens kapitel 9 om indsigtsret finder som tidligere nævnt ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område, jf. lovens § 2, stk. 4, 1. pkt. Her gælder reglerne om aktindsigt i domme og kendelser samt andre dokumenter, der vedrører straffesager (i retsplejelovens §§ 41-41g).

 

Der er – som tidligere nævnt – endvidere i retsplejelovens §§ 729 a-729 d fastsat regler om sigtedes adgang til materiale, som er tilvejebragt af politiet i forbindelse med strafferetlig forfølgning.

 

Som nævnt ovenfor i pkt. 2.2.4.3. fastsætter rammeafgørelsens artikel 17, at en registreret person har ret til at modtage nærmere angivne oplysninger fra den dataansvarlige eller – alternativt – en bekræftelse fra den nationale tilsynsmyndighed på, at der er foretaget alle fornødne kontroller. Indsigtsretten kan begrænses i den nationale lovgivning, hvis en sådan begrænsning under hensyn til den pågældende persons legitime interesser er en nødvendig og proportionel foranstaltning af en række nærmere angivne grunde.

 

Særligt med hensyn til domstolene kan der rejses det spørgsmål, om den indsigtsret, som registrerede personer skal have efter rammeafgørelsens artikel 17, kan anses for dækket af de gældende regler på området. Det skyldes, at persondatalovens regler om egenacces ikke gælder for domstolene inden for det strafferetlige område, og at de regler i retsplejeloven om aktindsigt, som regulerer domstolenes forhold, ikke tager sigte på registrerede personers adgang til oplysninger af den i artikel 17 omhandlede karakter, men mere bredt vedrører spørgsmålet om aktindsigt i domme og kendelser samt dokumenter udarbejdet af domstolene som led i behandlingen af en straffesag (dvs. uafhængigt af, om der findes oplysninger i dokumenterne om den begærende selv).

 

Domstolene vil i praksis ikke være involveret i informationsudveksling med andre medlemsstaters myndigheder inden for det strafferetlige område, idet dette varetages af politi og anklagemyndighed. Det betyder, at domstolene ikke vil være i besiddelse af oplysninger omfattet af rammeafgørelsens artikel 17, uden at de pågældende oplysninger i samme omfang også vil foreligge hos politi og anklagemyndighed. Justitsministeriet finder derfor, at det vil være hensigtsmæssigt med en ordning, hvorefter kompetencen til at træffe afgørelse om indsigtsbegæringer (inden for rammeafgørelsens anvendelsesområde) ligger hos vedkommende politidirektør.

 

I overensstemmelse hermed agter Justitsministeriet i den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven, at medtage en bestemmelse, hvorefter kompetencen til at behandle anmodninger om indsigt i personoplysninger, som hidrører fra andre medlemsstater, placeres hos vedkommende politidirektør (der vil skulle afgøre sådanne anmodninger på grundlag af de materielle regler i persondatalovens kapitel 9). Som en konsekvens heraf vil domstolene skulle henvise eventuelle indsigtsbegæringer (inden for rammeafgørelsens anvendelsesområde) til vedkommende politidirektør. Justitsministeriet vil i øvrigt – som nævnt ovenfor under pkt. 4.1.5 – tage endelig stilling til den nærmere gennemførelse af rammeafgørelsens artikel 17 i dansk ret i forbindelse med udformningen af den pågældende bekendtgørelse.  

 

4.2.4.4. Som nævnt ovenfor i pkt. 3.2.1. finder bestemmelserne i bl.a. persondatalovens § 37 om den registreredes ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige mv., samt ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget mv., ikke anvendelse på behandlinger, der foretages for henholdsvis domstolene og politi og anklagemyndighed inden for det strafferetlige område, jf. herved persondatalovens § 2, stk. 4.

 

Efter rammeafgørelsens artikel 18 har den registrerede ret til at forvente, at den dataansvarlige myndighed overholder sine forpligtelser i henhold til rammeafgørelsens bestemmelser om berigtigelse, sletning og blokering (eller at der eventuelt sker ”referenceangivelse”). Den registrerede skal kunne gøre denne rettighed gældende direkte over for den dataansvarlige eller gennem den nationale tilsynsmyndighed. Der henvises nærmere til pkt. 2.2.4.4. ovenfor.

 

Efter Justitsministeriets opfattelse må bestemmelsen i artikel 18 mest nærliggende forstås således, at den går videre end de forpligtelser, som umiddelbart påhviler dataansvarlige myndigheder efter rammeafgørelsens artikel 8 og 9. Bestemmelsen må således formentlig antages at skulle forstås sådan, at den indebærer, at registrerede personer skal have (en selvstændig) ret til at kræve berigtigelse mv. inden for de rammer, som i øvrigt er angivet i artikel 18. Efter Justitsministeriets opfattelse må gennemførelse af rammeafgørelsens artikel 18 i dansk ret derfor antages at nødvendiggøre en ændring af den gældende retstilstand.

 

De nærmere regler om registrerede personers ret til at kræve berigtigelse mv. af oplysninger, som videregives eller stilles til rådighed i forbindelse med grænseoverskridende politisamarbejde eller retligt samarbejde i kriminalsager inden for EU, vil blive fastsat i den bekendtgørelse, som Justitsministeriet vil udstede i henhold til den foreslåede nye § 72 a i persondataloven.    

 

4.2.5. Behandlingssikkerhed

Persondataloven indeholder i kapitel 11 (§§ 41-42) regler om behandlingssikkerhed. Reglerne finder også anvendelse inden for det strafferetlige område.

 

Det fremgår af persondatalovens § 41, stk. 1, at personer, virksomheder mv., som udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, som udgangspunkt kun må behandle disse efter instruks fra den dataansvarlige.

 

Lovens § 41, stk. 3, indeholder de overordnede krav til den dataansvarliges behandlingssikkerhed. Ifølge bestemmelsen skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

 

I tilknytning til reglerne i lovens § 41, stk. 3, har Justitsministeriet udstedt to bekendtgørelser om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for henholdsvis den offentlige forvaltning og domstolene. Bekendtgørelserne indeholder detaljerede regler om de sikkerhedsforanstaltninger, den dataansvarlige skal træffe i forbindelse med behandling af personoplysninger, som foretages helt eller delvis ved hjælp af elektronisk databehandling. 

 

Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale mellem parterne, jf. lovens § 42, stk. 2. 

 

Rammeafgørelsens bestemmelser om behandlingssikkerhed i artikel 21 og 22 svarer i vidt omfang til reglerne i persondatalovens kapitel 11 med tilhørende bekendtgørelser. Efter Justitsministeriets opfattelse kan bestemmelserne ikke antages at nødvendiggøre lovændringer, men der vil dog formentlig være behov for visse ændringer af de administrativt fastsatte regler om behandlingssikkerhed med henblik på at gennemføre rammeafgørelsen i dansk ret, jf. herved nærmere rammeafgørelsens artikel 22, stk. 2.    

 

4.2.6. Tilsyn, domstolsprøvelse, erstatning og sanktioner

4.2.6.1. I persondatalovens kapitel 16 (§§ 55-66) er der fastsat bestemmelser om Datatilsynets organisation og virksomhed. Tilsynet med domstolene føres dog af Domstolsstyrelsen og retterne, jf. reglerne i kapitel 17 (§§ 67 og 68).

 

En gennemførelse af rammeafgørelsens regler om tilsyn, jf. herved artikel 25, som er beskrevet ovenfor i pkt. 2.2.6.1., kan efter Justitsministeriets opfattelse ikke antages at nødvendiggøre ændringer i de regler, som følger af persondatalovens kapitel 16 og 17.

 

4.2.6.2. Også kravene i rammeafgørelsens artikel 23 om, at den nationale tilsynsmyndighed høres inden behandlingen af visse former for personoplysninger, må efter Justitsministeriets opfattelse antages at være opfyldt ved den gældende anmeldelsesordning for den offentlige forvaltning (i persondatalovens kapitel 12) og for domstolene (i persondatalovens kapitel 14).  

 

Høringspligten efter rammeafgørelsens artikel 23 gælder ved behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt oplysninger om helbredsforhold eller seksuelle forhold, eller når formen for behandling, især anvendelse af nye teknologier, mekanismer eller procedurer, i andre henseender indebærer særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, herunder især dennes privatliv.

 

Efter persondatalovens § 45, stk. 1, nr. 1, skal Datatilsynets udtalelse indhentes, inden der iværksættes en række forskellige former for behandlinger af personoplysninger, som på grund af deres art, omfang eller formål indebærer særlige risici for personers rettigheder eller frihedsrettigheder. Dette gælder således bl.a. med hensyn til behandling af de (i rammeafgørelsens artikel 23) nævnte former for følsomme personoplysninger. Herudover er det i lovens § 45, stk. 2, bestemt, at justitsministeren kan fastsætte regler om, at tilsynets udtalelse skal indhentes inden iværksættelsen af andre (end de i lovens § 45, stk. 1) nævnte behandlinger. Bestemmelsen vil f.eks. kunne tænkes anvendt i tilfælde, hvor der anvendes ny teknologi, der indebærer særlige risici for registrerede personer. Bemyndigelsen i § 45, stk. 2, er på nuværende tidspunkt ikke udnyttet.  

 

4.2.6.3. Som nævnt ovenfor i pkt. 2.2.6.3. skal der efter rammeafgørelsens artikel 20 være adgang for den registrerede til at indbringe krænkelser af de rettigheder, der garanteres vedkommende i henhold til national lovgivning, for en domstol.

 

Der findes ikke udtrykkelige regler herom i persondataloven, idet adgangen til domstolsprøvelse allerede er sikret i dansk ret, jf. herved grundlovens § 63, stk. 1, hvorefter domstolene er berettigede til at påkende ethvert spørgsmål om øvrighedsmyndighedens grænser. Der vil således bl.a. være mulighed for domstolsprøvelse af sager afgjort af Datatilsynet på baggrund af f.eks. en klage fra den registrerede, og rammeafgørelsens artikel 20 nødvendiggør derfor ikke lovændringer. 

 

4.2.6.4. Persondataloven indeholder i § 69 bestemmelser om erstatning. Det fremgår således, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med loven, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

 

Gennemførelse af rammeafgørelsens artikel 19, stk. 1 – hvorefter enhver, der har lidt skade som følge af en ulovlig handling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af rammeafgørelsen, er berettiget til erstatning fra den kompetente myndighed – nødvendiggør derfor efter Justitsministeriets opfattelse ikke lovændringer.  

 

Efter Justitsministeriets opfattelse må det derimod antages at være nødvendigt, at der i den bekendtgørelse (som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven) medtages bestemmelser, som åbner mulighed for, at danske myndigheder kan yde erstatning/refusion i alle tilfælde omfattet af rammeafgørelsens artikel 19, stk. 2.

 

4.2.6.5. Som nævnt i pkt. 2.2.6.5. forpligter rammeafgørelsens artikel 24 medlemsstaterne til at fastsætte sanktioner, som skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til gennemførelse af rammeafgørelsen.

 

Persondatalovens § 70, stk. 2 og 4, indeholder bestemmelser om strafansvar i forbindelse med behandling af personoplysninger, der udføres for offentlige myndigheder. Hertil kommer, at der efter omstændighederne vil kunne pålægges strafansvar i medfør af straffelovens kapitel 16 om forbrydelser i offentlig tjeneste eller hverv mv., ligesom der også er mulighed for at pålægge offentligt ansatte et disciplinært ansvar.

 

Det må antages, at den danske lovgivning allerede lever op til bestemmelsen i rammeafgørelsens artikel 24 om sanktioner. Det vurderes derfor ikke at være nødvendigt at fastsætte yderligere straf- og disciplinærretlige foranstaltninger end dem, der allerede gælder til sikring af, at lovgivningen overholdes fuldt ud. 

 

4.2.7. Øvrige bestemmelser mv.

Rammeafgørelsen, herunder bestemmelserne om bl.a. forholdet mellem rammeafgørelsen og aftaler indgået med tredjelande og forholdet mellem rammeafgørelsen og tidligere vedtagne EU-retsakter, som er beskrevet ovenfor under pkt. 2.2.7., rejser efter Justitsministeriets opfattelse ikke i øvrigt spørgsmål om lovændringer.

 

5. De økonomiske og administrative konsekvenser for det offentlige

Lovforslaget skønnes ikke at have økonomiske eller administrative konsekvenser for det offentlige af betydning.

 

6. De økonomiske og administrative konsekvenser for erhvervslivet mv.

Lovforslaget har ingen økonomiske og administrative konsekvenser for erhvervslivet.

 

7. De administrative konsekvenser for borgere

Lovforslaget har ingen administrative konsekvenser for borgerne. 

 

8. De miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

 

9. Forholdet til EU-retten

Lovforslaget gennemfører en EU-rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager i dansk ret.

 

10. Hørte myndigheder mv.

Et lovudkast har været sendt i høring hos følgende myndigheder, organisationer mv.:

 

Præsidenten for Østre Landsret, Præsidenten for Vestre Landsret, samtlige byretter, Den Danske Dommerforening, Domstolsstyrelsen, Dommerfuldmægtigforeningen, HK Landsklubben Danmarks Domstole, Rigsadvokaten, Rigspolitiet, Foreningen af Offentlige Anklagere, Politiforbundet i Danmark, Dansk Fængselsforbund, Foreningen af Fængselsinspektører, Vicefængselsinspektører og Økonomichefer, HK Landsklubben Kriminalforsorgen, Datatilsynet, Advokatrådet, Danske Advokater, Landforeningen af Beskikkede Advokater, Amnesty International, Dansk Retspolitisk Forening, Dansk Told & Skatteforbund, Det Kriminalpræventive Råd, Institut for Menneskerettigheder, Kriminalpolitisk Forening (KRIM) og Retssikkerhedsfonden.

 

11. Sammenfattende skema

 

	Positive konsekvenser/ mindreudgifter	Negative konsekvenser/ merudgifter
Økonomiske konsekvenser for stat, regioner og kommuner	Ingen af betydning	Ingen af betydning
Administrative konsekvenser for stat, regioner og kommuner	Ingen af betydning	Ingen af betydning
Økonomiske konsekvenser for erhvervslivet	Ingen	Ingen
Administrative konsekvenser for erhvervslivet	Ingen	Ingen
Miljømæssige konsekvenser	Ingen	Ingen
Administrative konsekvenser for borgerne	Ingen	Ingen
Forholdet til EU-retten	Lovforslaget gennemfører en EU-rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager i dansk ret.

 

Bemærkninger til lovforslagets enkelte bestemmelser

 

I lovforslagets bilag 1 er de foreslåede bestemmelser sammenholdt med de nugældende bestemmelser.

 

Til § 1

 

Til nr. 1 (§ 72 a)

 

Det foreslås, at der som ny § 72 a i persondataloven indsættes en bemyndigelsesbestemmelse, hvorefter justitsministeren kan fastsætte nærmere regler om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union mv. 

 

Med den foreslåede bemyndigelsesbestemmelse gives justitsministeren alene adgang til (inden for rammeafgørelsens anvendelsesområde) at fastsætte en nærmere administrativ regulering, som indebærer en styrkelse af databeskyttelsen, når det gælder udveksling af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for EU. Der er således ikke tale om en generel bemyndigelse til justitsministeren på området, og det vil ikke være muligt at anvende bemyndigelsesbestemmelsen til at indføre en regulering, som indebærer en forringelse af databeskyttelsen på området (set i forhold til, hvad der gælder efter persondataloven).

 

Formålet med den foreslåede bemyndigelsesbestemmelse er med andre ord at skabe det fornødne retsgrundlag for dansk opfyldelse af de krav til databeskyttelsen, som fremgår af rammeafgørelsen. Det bemærkes i den forbindelse, at der i en bekendtgørelse på området – ud fra informative hensyn – vil kunne medtages bestemmelser, som afspejler rammeafgørelsens regulering (men som det ikke er nødvendigt at medtage for at opfylde rammeafgørelsen i dansk ret).

 

De regler, som vil blive fastsat i henhold til den foreslåede bemyndigelsesbestemmelse, vil også omfatte databeskyttelse i forbindelse med danske myndigheders politimæssige og strafferetlige samarbejde med Schengen-lande (for tiden Island, Norge, Schweiz og Liechtenstein), jf. i den forbindelse udtrykket ”mv.” i den foreslåede nye § 72 a.      

 

Et udkast til en bekendtgørelse på området vil blive forelagt for tilsynsmyndighederne – Datatilsynet og Domstolsstyrelsen – til udtalelse, jf. herved persondatalovens § 57 og § 68, stk. 2.     

 

Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.

 

Til § 2

 

Det foreslås, at loven træder i kraft den 1. april 2009.

 

Til § 3

 

Bestemmelsen vedrører lovens territoriale gyldighed.

 

Det følger af bestemmelsen, at loven ikke gælder for Færøerne og Grønland. Loven kan dog ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger på Færøerne med de afvigelser, som de særlige færøske forhold tilsiger. Loven kan endvidere ved kongelig anordning sættes i kraft for Grønland med de afvigelser, som de særlige grønlandske forhold tilsiger.

 

 

Bilag 1

 

Lovforslaget sammenholdt med gældende lov

 

 

Gældende formulering		Lovforslaget   § 1 I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret ved § 7 i lov nr. 280 af 25. april 2001, § 6 i lov nr. 552 af 24. juni 2005 og § 2 i lov nr. 519 af 6. juni 2007, foretages følgende ændringer:     1. Efter § 72 indsættes       Ȥ 72 a. Justitsministeren kan fastsætte nærmere regler om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union.«