KOMMENTERET HØRINGSOVERSIGT
vedrørende
forslag til lov om ændring af lov om behandling af personoplysninger (Gennemførelse af EU-rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager)
1. Høring
Et lovudkast har været sendt i høring hos følgende myndigheder, organisationer mv.:
Præsidenten for Østre Landsret, Præsidenten for Vestre Landsret, samtlige byretter, Den Danske Dommerforening, Domstolsstyrelsen, Dommerfuldmægtigforeningen, HK Landsklubben Danmarks Domstole, Rigsadvokaten, Rigspolitiet, Foreningen af Offentlige Anklagere, Politiforbundet i Danmark, Dansk Fængselsforbund, Foreningen af Fængselsinspektører, Vicefængselsinspektører og Økonomichefer, HK Landsklubben Kriminalforsorgen, Datatilsynet, Advokatrådet, Danske Advokater, Landforeningen af Beskikkede Advokater, Amnesty International, Dansk Retspolitisk Forening, Dansk Told & Skatteforbund, Det Kriminalpræventive Råd, Institut for Menneskerettigheder, Kriminalpolitisk Forening (KRIM) og Retssikkerhedsfonden.
2. Udformningen af lovforslaget
Det fremsatte lovforslag svarer – med enkelte ændringer – til det lovudkast, som har været sendt i høring.
3. Høringssvarene
3.1. Indledende bemærkninger
3.1.1. Justitsministeriet har modtaget høringssvar fra følgende myndigheder, organisationer mv.:
Præsidenten for Østre Landsret, Præsidenten for Vestre Landsret, Præsidenten for Københavns Byret (på vegne af byretspræsidenterne), Domstolsstyrelsen, Rigsadvokaten, Rigspolitiet, Dansk Fængselsforbund, Datatilsynet, HK, Landforeningen af Beskikkede Advokater, Det Kriminalpræventive Råd, Institut for Menneskerettigheder samt Retssikkerhedsfonden.
3.1.2. Præsidenten for Østre Landsret, Præsidenten for Vestre Landsret, Præsidenten for Københavns Byret (på vegne af byretspræsidenterne), Domstolsstyrelsen, Rigsadvokaten, Rigspolitiet, Dansk Fængselsforbund, Landforeningen af Beskikkede Advokater samt Det Kriminalpræventive Råd har ikke bemærkninger til lovfor-slaget.
3.1.3. Datatilsynet, HK, Institut for Menneskerettigheder samt Retssikkerhedsfonden er fremkommet med en række bemærkninger til lovudkastet, jf. herom i det følgende nedenfor under pkt. 3.2.-3.4.
3.2. Lovforslagets udformning, herunder den foreslåede bemyndigelsesbestemmelse i persondatalovens § 72 a
Datatilsynet har noteret sig, at den foreslåede bemyndigelsesbestemmelse alene giver justitsministeren adgang til (inden for rammeafgørelsens anvendelsesområde) at fastsætte regler, som i overensstemmelse med rammeafgørelsen indebærer en yderligere styrkelse af databeskyttelsen, når det gælder udveksling af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde. Indsættelse af en bemyndigelsesbestemmelse, som foreslået i lovudkastet, giver ikke i sig selv Datatilsynet anledning til bemærkninger.
HK finder generelt, at bestemmelser om styrkelse af registreredes rettigheder mv. skal fremgÃ¥ direkte af persondataloven. HK peger i den forbindelse pÃ¥ en række bestemmelser i rammeafgørelsen, som efter HK’s opfattelse bør indsættes i persondataloven. Det drejer sig om rammeafgørelsens definitioner samt om rammeafgørelsens bestemmelser om særligt følsomme oplysninger, om datakvalitet og om den registreredes rettigheder – som det i øvrigt efter HK’s opfattelse bør overvejes at lade gælde generelt, dvs. bl.a. ogsÃ¥ i forhold til den private sektor. Â
Retssikkerhedsfonden er af den opfattelse, at der er tale om en overordentlig vidtgÃ¥ende bemyndigelse i den foreslÃ¥ede nye § 72 a. Det anføres i den forbindelse bl.a., at selve bemyndigelsen er ganske generelt udformet, og at den ikke er begrænset til rammeafgørelsen, hvilket fonden finder utilfredsstillende inden for et sÃ¥ følsomt og særdeles væsentligt omrÃ¥de. Retssikkerhedsfonden foreslÃ¥r derfor bemyndigelsesbestemmelsen formuleret sÃ¥ledes, at det fremgÃ¥r af bestemmelsen, at den alene vil kunne benyttes til udstedelse af regler, der indebærer en øget persondatabeskyttelse. Samtidig advarer Retssikkerhedsfonden dog – ud fra en række principielle overvejelser – mod at basere den foreslÃ¥ede bemyndigelsesbestemmelse pÃ¥ kriteriet â€Ã¸get beskyttelseâ€, idet dette kriterium efter fondens opfattelse vil kunne give anledning til usikkerhed og i øvrigt mÃ¥ske ikke til fulde opfylder EU-reglens krav.
Institut for Menneskerettigheder foreslår, at det i bemyndigelsesbestemmelsen præciseres, at den foreslåede regulering alene vedrører gennemførelsen af den konkrete EU-rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. Instituttet finder i øvrigt, at enhver behandling af personoplysninger inden for dette område bør være sikret tilstrækkelig beskyttelse, således at også oplysninger i manuelle sager omfattes af rammeafgørelsens regler.
Justitsministeriet skal i den anledning bemærke følgende:
Justitsministeriet har i forbindelse med udformningen af lovforslaget overvejet, om rammeafgørelsens regler bør indarbejdes direkte i persondataloven, eller om der bør udstedes en bekendtgørelse inden for omrÃ¥det for politisamarbejde og retligt samarbejde i kriminalsager i EU.Â
Efter Justitsministeriets opfattelse vil det stemme bedst overens med persondatalovens mere generelle karakter, at de specifikke regler for behandling af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde inden for EU (som er nødvendige til opfyldelse af rammeafgørelsen) fastsættes i en bekendtgørelse på området.
Justitsministeriet foreslår på denne baggrund, at der indsættes en ny bemyndigelsesbestemmelse i § 72 a i persondataloven, hvorefter der på bekendtgørelsesniveau kan fastsættes nærmere regler om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde inden for Den Europæiske Union.
Justitsministeriet har herved ogsÃ¥ lagt vægt pÃ¥, at den foreslÃ¥ede bemyndigelsesbestemmelse alene vil give justitsministeren adgang til (inden for rammeafgørelsens anvendelsesomrÃ¥de) at fastsætte regler, som i overensstemmelse med rammeafgørelsen indebærer en yderligere styrkelse af databeskyttelsen, nÃ¥r det gælder udveksling af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde. Der er sÃ¥ledes ikke tale om en generel bemyndigelse til justitsministeren pÃ¥ omrÃ¥det, og det vil ikke være muligt at anvende bemyndigelsesbestemmelsen til at indføre en regulering, som indebærer en forringelse af databeskyttelsen pÃ¥ omrÃ¥det (set i forhold til, hvad der gælder efter persondataloven).   Â
Det, som den foreslåede nye § 72 a i persondataloven, med andre ord giver hjemmel til, er, at justitsministeren fastsætter nærmere administrative bestemmelser til opfyldelse af de krav til databeskyttelsen, som fremgår af EU-rammeafgørelsen. Der kan i den forbindelse nærmere henvises til lovforslagets almindelige bemærkninger pkt. 1.3. og 4.1.2. samt til bemærkningerne til lovforslagets § 1, nr. 1.
Efter Justitsministeriets opfattelse er der på den anførte baggrund ikke grundlag for de retssikkerhedsmæssige betænkeligheder, som er fremført i nogle af de modtagne høringssvar, jf. ovenfor, og Justitsministeriet finder i øvrigt ikke, at der er behov for at ændre udformningen af bemyndigelsesbestemmelsen i den foreslåede nye § 72 a (der som allerede nævnt alene giver hjemmel til, at justitsministeren kan fastsætte administrative regler til gennemførelse af rammeafgørelsen i dansk ret). Justitsministeriet har i den forbindelse også noteret sig, at Datatilsynet, som er den tilsynsmyndighed, der administrerer persondataloven, ikke har bemærkninger til indsættelse af en bemyndigelsesbestemmelse, som foreslået i lovforslaget.
Justitsministeriet skal i øvrigt bemærke, at ministeriet – af de ovenfor anførte grunde – ikke finder, at der i persondataloven bør indsættes bestemmelser af den karakter, som HK og Institut for Menneskerettigheder foreslår. Justitsministeriet lægger herved vægt på, at de pågældende forslag – i modsætning til lovforslaget – ikke (alene) tager sigte på at gennemføre EU-rammeafgørelsen i dansk ret, men derimod har et mere generelt sigte – hvilket efter Justitsministeriets opfattelse ville nødvendiggøre mere grundlæggende overvejelser i forhold til den nugældende ordning i persondataloven.
3.3. Udmøntningen af den foreslåede bemyndigelsesbestemmelse i persondatalovens § 72 a
Datatilsynet foreslår, at det – med henblik på at skabe klarhed over anvendelsesområdet for rammeafgørelsen – i bemærkningerne til lovforslaget præciseres, hvorledes forholdet er til bestemmelserne om Europol, Eurojust, Schengen-informationssystemet (SIS) og toldinformationssystemet (CIS).
Datatilsynet anfører endvidere – under henvisning til lovforslagets generelle bemærkninger (pkt. 4.2.2.4.), hvor det fremgÃ¥r, at rammeafgørelsen indeholder særlige regler om adgangen for danske myndigheder (dvs. politi, anklagemyndighed, kriminalforsorg og domstole) til at viderebehandle personoplysninger, som modtages fra eller stilles til rÃ¥dighed af myndigheder i andre medlemsstater – at det ikke umiddelbart stÃ¥r tilsynet klart, om oplistningen af de pÃ¥gældende myndigheder er udtømmende. Datatilsynet finder det hensigtsmæssigt, at det af lovforslaget fremgÃ¥r, hvilke danske myndigheder der er â€kompetente myndigheder†og derved kan behandle personoplysninger i medfør af de foreslÃ¥ede regler.
Datatilsynet henleder herudover opmærksomheden pÃ¥ den særlige bestemmelse i persondatalovens § 7, stk. 8, hvoraf det følger, at der for den offentlige forvaltning ikke mÃ¥ føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige. Datatilsynet anbefaler, at Justitsministeriet overvejer bestemmelsen i persondatalovens § 7, stk. 8, i forhold til de oplysninger, der registreres som følge af rammeafgørelsens artikel 10.   Â
Datatilsynet anfører desuden, at tilsynet ville finde det hensigtsmæssigt, at det af selve lovforslaget fremgår, hvorledes den registrerede skal udøve sine rettigheder i henhold til rammeafgørelsens artikel 18 (om ret til berigtigelse mv.). Datatilsynet peger i den forbindelse bl.a. på, at den registrerede efter rammeafgørelsens artikel 18 skal kunne gøre denne rettighed gældende direkte over for den dataansvarlige eller gennem den nationale tilsynsmyndighed.
Datatilsynet giver endvidere udtryk for, at det ikke stÃ¥r tilsynet klart, hvilke administrative regler om behandlingssikkerhed, som Justitsministeriet finder behov for at ændre (som følge af rammeafgørelsen), og hvorledes det vil pÃ¥virke Datatilsynets opgaver.  Â
Endelig foreslår Datatilsynet, at Justitsministeriet i det videre arbejde nærmere overvejer forholdet mellem den foreslåede bekendtgørelse og den regulering, som følger af kriminalregisterbekendtgørelsen.
HK giver udtryk for, at der er behov for, at de sikkerhedsgarantier, som følger af rammeafgørelsen, kommer til at fremgå af loven eller den dertil hørende bekendtgørelse.
Institut for Menneskerettigheder peger – med henvisning til nogle høringssvar om henholdsvis et udkast til kriminalregisterbekendtgørelse og lovforslag om Europol, som instituttet tidligere har afgivet – på adgangen for den registrerede til at få såkaldt egenacces i politiets registre samt på spørgsmålet om udveksling af oplysninger med tredjestater eller internationale organer, hvor der efter instituttets opfattelse er behov for et meget højt beskyttelsesniveau.
Justitsministeriet skal i den anledning bemærke følgende:
a. Justitsministeriet kan tilslutte sig Datatilsynets forslag om, at det præciseres i lovforslagets bemærkninger, hvorledes forholdet er mellem EU-rammeafgørelsen om databeskyttelse og de særlige databeskyttelsesbestemmelser, som fremgår af anden EU-lovgivning på området, såsom f.eks. EU-reglerne om Europol og Schengen-informationssystemet (SIS).
Der henvises herom nærmere til lovforslagets almindelige bemærkninger (pkt. 4.2.7.).
b. For sÃ¥ vidt angÃ¥r spørgsmÃ¥let om, hvilke danske myndigheder der er â€kompetente myndigheder†og derved kan behandle personoplysninger i medfør af de foreslÃ¥ede regler, bemærkes det, at det i praksis vil være politiet, anklagemyndigheden, kriminalforsorgen og domstolene, som omfattes af rammeafgørelsens regulering, jf. i den forbindelse definitionen af kompetente myndigheder i rammeafgørelsens artikel 2, litra h.
c. Efter Justitsministeriets opfattelse rejser rammeafgørelsens artikel 10 – der vedrører registrering eller dokumentation for videregivelse af personoplysninger med henblik på at sikre kontrol af databehandlingens lovlighed – ikke spørgsmål i forhold til persondatalovens § 7, stk. 8, hvorefter der for den offentlige forvaltning ikke må føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige.
d. For så vidt angår spørgsmålet om, hvorledes den registrerede skal udøve sine rettigheder i henhold til rammeafgørelsens artikel 18 (om ret til berigtigelse mv.), skal Justitsministeriet bemærke, at det efter ministeriets umiddelbare opfattelse vil være mest naturligt – i lighed med den nugældende ordning i persondatalovens § 37 – at gennemføre den pågældende bestemmelse i rammeafgørelsen på den måde, at retten til berigtigelse mv. skal gøres gældende (direkte) over for den dataansvarlige myndighed (og ikke over for tilsynsmyndigheden, som således alene bør være klageinstans i forhold til den beslutning, som træffes af den dataansvarlige myndighed). Justitsministeriet vil drøfte spørgsmålet nærmere med Datatilsynet og Domstolsstyrelsen i forbindelse med udarbejdelsen af den bekendtgørelse, som vil blive udstedt i henhold til den foreslåede nye § 72 a i persondataloven.
Der henvises i øvrigt til lovforslagets almindelige bemærkninger (pkt. 4.2.4.4.).
e. Justitsministeriet skal i lyset af høringssvaret fra HK bemærke, at der – i overensstemmelse med rammeafgørelsen – vil blive fastsat administrative bestemmelser om datakvalitet og behandlingssikkerhed. Der henvises i den forbindelse nærmere til pkt. 4.2.3. og 4.2.5. i lovforslagets almindelige bemærkninger.
f. NÃ¥r det gælder spørgsmÃ¥let om adgang til videregivelse til kompetente myndigheder i tredjelande eller til internationale organisationer af personoplysninger, som modtages fra eller stilles til rÃ¥dighed af en anden medlemsstat, bemærkes det, at der med reglerne i rammeafgørelsens artikel 13 om vilkÃ¥rene for sÃ¥danne videregivelser sker en styrkelse af databeskyttelsen i forbindelse med, at der mellem medlemsstaterne udveksles personoplysninger som led i det politimæssige og strafferetlige samarbejde. Der henvises i den forbindelse nærmere til lovforslagets almindelige bemærkninger (pkt. 2.1.2.1. og 2.2.2.6.). Som anført sidstnævnte sted er det (med visse specifikke undtagelser) ordningen efter rammeafgørelsens artikel 13, at videregivelse til tredjelande mv. kræver samtykke fra den medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en anden medlemsstat), og at det pÃ¥gældende tredjeland mv. skal sikre et tilstrækkeligt beskyttelsesniveau.       Â
g. Justitsministeriet vil i det videre arbejde nærmere overveje forholdet mellem den påtænkte bekendtgørelse (udstedt i henhold til den nye § 72 a) og den regulering, som følger af kriminalregisterbekendtgørelsen.
Om spørgsmÃ¥let om egenacces kan i øvrigt henvises til lovforslagets almindelige bemærkninger pkt. 4.2.4.3.Â
3.4. Lovforslagets økonomiske konsekvenser
Datatilsynet har noteret sig, at det i pkt. 5 i lovforslagets almindelige bemærkninger fremgår, at lovforslaget ikke skønnes at have økonomiske eller administrative konsekvenser for det offentlige af betydning.
Under henvisning til, at det i lovforslaget understreges, at rammeafgørelsen indebærer en styrkelse af databeskyttelsen, og at der er tale om et helt særskilt regelsæt, som skal administreres, er det Datatilsynets forventning, at tilsynet må tilføres yderligere ressourcer. Datatilsynet lægger derfor afgørende vægt på, at tilsynets ressourcemæssige situation indgår i de videre overvejelser om gennemførelse af rammeafgørelsen.
Da rækkevidden af rammeafgørelsen endnu ikke er afklaret på en række punkter, finder Datatilsynet det på nuværende tidspunkt vanskeligt at vurdere det nærmere omfang af rammeafgørelsens konsekvenser for tilsynet. Datatilsynet tager derfor forbehold for en nærmere drøftelse i det videre forløb af spørgsmålet om ressourcer.
Som anført i lovforslagets almindelige bemærkninger (pkt. 5) skønnes lovforslaget ikke at have økonomiske eller administrative konsekvenser for det offentlige af betydning. Justitsministeriet har herved navnlig lagt vægt pÃ¥, at der med rammeafgørelsen ikke indføres en væsentlig anderledes regulering end, hvad der gælder i dag. Rammeafgørelsen nødvendiggør sÃ¥ledes kun pÃ¥ ganske fÃ¥ punkter en regulering, som vil indebære nye opgaver for de berørte myndigheder.Â
Justitsministeriet har i øvrigt noteret sig Datatilsynets synspunkter.