L 62 (som fremsat): Forslag til lov om ændring
af lov om behandling af personoplysninger. (Gennemførelse af
EU-rammeafgørelse om beskyttelse af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager).
Fremsat den 13. november 2008 af
justitsministeren (Brian Mikkelsen)
Forslag
til
Lov om ændring af lov om behandling af
personoplysninger
(Gennemførelse af
EU-rammeafgørelse om beskyttelse af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager)
§ 1
I lov nr. 429 af 31. maj 2000 om behandling af
personoplysninger, som ændret ved § 7 i lov nr. 280
af 25. april 2001, § 6 i lov nr. 552 af 24. juni 2005 og
§ 2 i lov nr. 519 af 6. juni 2007, foretages
følgende ændring:
1.
Efter § 72
indsættes:
Ȥ 72
a. Justitsministeren kan fastsætte nærmere
regler om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for
Den Europæiske Union mv.«
§ 2
Loven træder i kraft den 1. april 2009.
§ 3
Loven gælder ikke for Færøerne
og Grønland. Loven kan dog ved kongelig anordning
sættes i kraft for rigsmyndighedernes behandling af
oplysninger på Færøerne med de afvigelser, som
de særlige færøske forhold tilsiger. Loven kan
ved kongelig anordning endvidere sættes i kraft for
Grønland med de afvigelser, som de særlige
grønlandske forhold tilsiger.
Bemærkninger til lovforslaget
Almindelige bemærkninger
| | | |
1. | Indledning | 2 |
2. | Rammeafgørelsen om
databeskyttelse | 3 |
| | 2.1. | Baggrund og hovedpunkter | 3 |
| | | 2.1.1. | Baggrunden for rammeafgørelsen om
databeskyttelse | 3 |
| | | 2.1.2. | Rammeafgørelsens hovedpunkter | 4 |
| | 2.2. | Nærmere om indholdet af
rammeafgørelsen | 5 |
| | | 2.2.1. | Anvendelsesområde og
definitioner | 5 |
| | | 2.2.2. | Behandlingsregler | 5 |
| | | 2.2.3. | Datakvalitet mv. | 7 |
| | | 2.2.4. | Den registreredes rettigheder | 8 |
| | | 2.2.5. | Behandlingssikkerhed | 9 |
| | | 2.2.6. | Tilsyn, domstolsprøvelse,
erstatning og sanktioner | 9 |
| | | 2.2.7. | Øvrige bestemmelser mv. | 10 |
3. | Gældende ret | 11 |
| | 3.1. | Indledning | 11 |
| | 3.2. | Nærmere om indholdet af
persondataloven | 11 |
4. | Justitsministeriets overvejelser | 12 |
| | 4.1. | Generelle overvejelser | 12 |
| | 4.2. | Justitsministeriets overvejelser om de
enkelte dele af rammeafgørelsen | 13 |
| | | 4.2.1. | Anvendelsesområde og
definitioner | 13 |
| | | 4.2.2. | Behandlingsregler | 14 |
| | | 4.2.3. | Datakvalitet mv. | 16 |
| | | 4.2.4. | Den registreredes rettigheder | 17 |
| | | 4.2.5. | Behandlingssikkerhed | 19 |
| | | 4.2.6. | Tilsyn, domstolsprøvelse,
erstatning og sanktioner | 19 |
| | | 4.2.7. | Øvrige bestemmelser mv. | 20 |
5. | De økonomiske og administrative
konsekvenser for det offentlige | 20 |
6. | De økonomiske og administrative
konsekvenser for erhvervslivet mv. | 20 |
7. | De administrative konsekvenser for
borgere | 20 |
8. | De miljømæssige
konsekvenser. | 21 |
9. | Forholdet til EU-retten | 21 |
10. | Hørte myndigheder mv. | 21 |
11. | Sammenfattende skema | 21 |
1. Indledning
1.1. Formålet med
lovforslaget er at gennemføre en EU-rammeafgørelse om
beskyttelse af personoplysninger i forbindelse med politisamarbejde
og retligt samarbejde i kriminalsager (den såkaldte
rammeafgørelse om databeskyttelse) i dansk ret.
Rammeafgørelsen er udarbejdet på grundlag af et
forslag fra Kommissionen under henvisning til traktaten om Den
Europæiske Union (TEU), særlig artikel 30 om
fælles handling vedrørende politisamarbejde, artikel
31 om fælles handling vedrørende retligt samarbejde i
kriminalsager samt artikel 34, stk. 2, litra b), hvorefter
Rådet på initiativ af en medlemsstat eller Kommissionen
med enstemmighed kan vedtage rammeafgørelser om indbyrdes
tilnærmelse af medlemsstaternes love og administrative
bestemmelser.
En rammeafgørelse er et instrument, som Den
Europæiske Union kan benytte sig af inden for det
mellemstatslige samarbejde på det politimæssige og
strafferetlige område (TEU afsnit VI). Rammeafgørelser
er bindende for medlemsstaterne med hensyn til det tilsigtede
mål, men overlader det til de nationale myndigheder at
bestemme form og midler for gennemførelsen.
Rammeafgørelser indebærer ikke umiddelbar
anvendelighed.
Rammeafgørelser har således karakter af en
folkeretligt bindende forpligtelse for medlemsstaterne, der
indtræder ved Rådets vedtagelse af
rammeafgørelsen. Medlemsstaterne er forpligtede til at sikre
gennemførelsen af rammeafgørelser i national ret,
herunder om nødvendigt i kraft af lovgivningsmæssige
initiativer.
1.2. Det er Justitsministeriets
vurdering, at rammeafgørelsen om databeskyttelse indeholder
bestemmelser, der nødvendiggør lovgivning. Danmarks
medvirken til Rådets vedtagelse af rammeafgørelsen
forudsætter derfor Folketingets forudgående samtykke
efter grundlovens § 19, stk. 1.
Ved folketingsbeslutning af 10. juni 2008 meddelte Folketinget
dette samtykke. Danmark har på baggrund heraf hævet sit
parlamentariske forbehold over for udkastet til
rammeafgørelse.
Udkastet til rammeafgørelse - som er medtaget som bilag
2 til dette lovforslag - er endnu ikke vedtaget, idet enkelte
medlemsstater endnu ikke har hævet deres parlamentariske
forbehold. Dette forventes imidlertid at kunne ske inden udgangen
af 2008, hvorefter rammeafgørelsen vil kunne vedtages af
Rådet.
1.3. Som anført finder
Justitsministeriet, at gennemførelsen af
rammeafgørelsen kræver lovgivning. Baggrunden herfor
er, at rammeafgørelsen på enkelte punkter
nødvendiggør ændringer af den regulering, som
følger af persondataloven. Der er i alle tilfælde tale
om ændringer, der i forhold til persondataloven
indebærer en yderligere styrkelse af databeskyttelsen,
herunder en yderligere styrkelse af de registreredes
rettigheder.
Med henblik på at kunne opfylde de krav til
databeskyttelsen, som fremgår af rammeafgørelsen,
foreslås der indsat en ny bemyndigelsesbestemmelse i
persondataloven (som § 72 a), hvorefter justitsministeren
vil kunne fastsætte nærmere administrative bestemmelser
om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for
Den Europæiske Union.
Når rammeafgørelsens regler ikke foreslås
indsat (direkte) i persondataloven, hænger det navnlig sammen
med, at persondatalovens regulering er af generel karakter og
således bl.a. inden for det strafferetlige område
omfatter behandling af personoplysninger på såvel
nationalt som internationalt plan. Efter Justitsministeriets
opfattelse vil det derfor stemme bedst overens med persondatalovens
mere generelle karakter, at de specifikke regler for behandling af
personoplysninger i forbindelse med det politimæssige og
strafferetlige samarbejde inden for EU (som er nødvendige
til opfyldelse af rammeafgørelsen) fastsættes i en
bekendtgørelse på området.
Justitsministeriet har herved også lagt vægt
på, at den foreslåede bemyndigelsesbestemmelse alene
giver justitsministeren adgang til (inden for
rammeafgørelsens anvendelsesområde) at fastsætte
regler, som i overensstemmelse med rammeafgørelsen
indebærer en yderligere styrkelse af databeskyttelsen,
når det gælder udveksling af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager inden for EU. Der er således ikke tale om en
generel bemyndigelse til justitsministeren på området,
og det vil ikke være muligt at anvende
bemyndigelsesbestemmelsen til at indføre en regulering, som
indebærer en forringelse af databeskyttelsen på
området (set i forhold til, hvad der gælder efter
persondataloven).
I overensstemmelse med det anførte vil det bl.a. komme
til at fremgå af den bekendtgørelse, som vil blive
udstedt i henhold til den foreslåede nye § 72 a, at
der i forbindelse med det politimæssige og strafferetlige
samarbejde inden for EU alene vil kunne behandles følsomme
personoplysninger (om racemæssig eller etnisk baggrund,
politisk, religiøs eller filosofisk overbevisning,
fagforeningsmæssigt tilhørsforhold og om
helbredsforhold eller seksuelle forhold), hvis det er strengt
nødvendigt (og ikke som efter persondataloven, hvis det er
nødvendigt). Det kan endvidere nævnes, at der i
bekendtgørelsen vil blive fastsat regler om den
registreredes rettigheder, som går videre end den regulering,
der følger af persondataloven, herunder f.eks. om den
registreredes ret til at kræve berigtigelse mv. af
oplysninger, som udveksles i forbindelse med
grænseoverskridende politisamarbejde eller retligt samarbejde
inden for EU. Der henvises i øvrigt til pkt. 4
nedenfor.
2. Rammeafgørelsen om
databeskyttelse
2.1. Baggrund og hovedpunkter
2.1.1. Baggrunden for
rammeafgørelsen om databeskyttelse
2.1.1.1. Europa-Parlamentet og
Rådet vedtog i 1995 et direktiv om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om
fri udveksling af sådanne oplysninger (direktiv nr. 95/46).
Det pågældende direktiv suppleres af et direktiv fra
2002 om behandling af personoplysninger og beskyttelse af
privatlivets fred i den elektroniske kommunikationssektor (direktiv
nr. 2002/58).
Direktiverne er vedtaget med hjemmel i EF-Traktatens artikel
95 om harmonisering af medlemsstaternes lovgivning af hensyn til
det indre marked, og de tager dermed sigte på beskyttelse af
personoplysninger på EF-Traktatens anvendelsesområde
(det vil sige på området for 1.
søjlesamarbejdet). Det fremgår således
udtrykkeligt af direktiverne, at de ikke gælder for
aktiviteter, der falder uden for anvendelsesområdet for
fællesskabsretten, såsom aktiviteter, der er omhandlet
i TEU afsnit VI (dvs. det politimæssige og strafferetlige
samarbejde inden for den 3. søjle), og at de under ingen
omstændigheder gælder for behandling i forbindelse med
den offentlige sikkerhed, forsvaret, statens sikkerhed og statens
aktiviteter på det strafferetlige område.
2.1.1.2. Inden for området
for politimæssigt og strafferetligt samarbejde (under
søjle 3) er der navnlig inden for de seneste år
vedtaget en række EU-retsakter, som har til formål at
udbygge og styrke udvekslingen af personoplysninger mellem
medlemsstaternes kompetente myndigheder med henblik på
kriminalitetsbekæmpelse. Det drejer sig bl.a. om bestemmelser
om udveksling af personoplysninger i det såkaldte
Schengen-informationssystem og om udveksling af personoplysninger
direkte mellem EU-medlemsstaternes myndigheder eller som led i
politisamarbejdet inden for Europol.
Der er i et vist omfang i de enkelte retsakter fastsat
specifikke regler om persondatabeskyttelse. Der er imidlertid ikke
inden for området for politimæssigt og strafferetligt
samarbejde fastsat generelle EU-regler om beskyttelse af
personoplysninger.
I præambelteksten til rammeafgørelsen
(betragtning nr. 3) er det anført, at fælles
standarder for behandling og beskyttelse af personoplysninger, der
behandles med henblik på forebyggelse og bekæmpelse af
kriminalitet, vil kunne bidrage til at styrke politisamarbejdet og
det retlige samarbejde i kriminalsager for så vidt
angår såvel effektiviteten af dette samarbejde som dets
legitimitet og overensstemmelse med de grundlæggende
rettigheder, navnlig retten til privatlivets fred og til
beskyttelse af personoplysninger. Der peges i præambelteksten
endvidere på behovet for en nyskabende tilgang til
udvekslingen på tværs af grænserne af oplysninger
vedrørende retshåndhævelse under streng
overholdelse af en række væsentlige krav på
databeskyttelsesområdet, jf. herved betragtning nr. 4 og
5.
Kommissionen fremsatte i lyset heraf i oktober 2005 et forslag
til Rådets rammeafgørelse om beskyttelse af
personoplysninger i forbindelse med det politimæssige og
strafferetlige samarbejde.
Der blev i Rådet opnået grundlæggende
politisk enighed om et udkast til rammeafgørelse på et
rådsmøde den 8.- 9. november 2007. Som nævnt
ovenfor under pkt. 1 forventes det, at alle parlamentariske
forbehold til udkastet til rammeafgørelse vil kunne
være hævet inden udgangen af 2008, hvorefter
rammeafgørelsen vil kunne vedtages af Rådet.
2.1.2. Rammeafgørelsens
hovedpunkter
2.1.2.1. Formålet med
rammeafgørelsen er at sikre beskyttelsen af
personoplysninger, der behandles inden for rammerne af det
politimæssige og strafferetlige samarbejde inden for
EU.
I overensstemmelse hermed fastsættes der i
rammeafgørelsen en række bestemmelser, som tager sigte
på at beskytte fysiske personers grundlæggende
rettigheder i forbindelse med grænseoverskridende udveksling
af personoplysninger inden for det politi- og strafferetlige
område.
Rammeafgørelsen indeholder bl.a. en række
grundlæggende regler for behandling af personoplysninger. Den
indeholder også regler om datakvalitet og
behandlingssikkerhed, ligesom der i rammeafgørelsen er
fastsat bestemmelser om tilsyn, domstolsprøvelse, erstatning
og sanktioner. Rammeafgørelsen indeholder desuden regler for
specifikke former for databehandling, herunder regler om
viderebehandling af personoplysninger modtaget fra andre
medlemsstater og om videregivelse af sådanne oplysninger til
private og tredjelande/internationale organer. Herudover indeholder
rammeafgørelsen bl.a. regler om den registreredes
rettigheder med hensyn til bl.a. underretning og berigtigelse af
urigtige oplysninger.
Med rammeafgørelsens regler, herunder navnlig reglerne
om vilkårene for at viderebehandle personoplysninger modtaget
fra andre medlemsstater og videregive sådanne oplysninger til
private og tredjelande/internationale organer, sker der en
styrkelse af databeskyttelsen i forbindelse med, at der mellem
medlemsstaterne udveksles personoplysninger som led i det
politimæssige og strafferetlige samarbejde.
2.1.2.2. Rammeafgørelsen
finder - ligesom persondataloven - anvendelse på behandling
af personoplysninger, der helt eller delvis foretages elektronisk,
og på ikke-elektronisk behandling af personoplysninger, der
er eller vil blive indeholdt i et register.
Reguleringen i rammeafgørelsen afspejles i nogen grad
allerede i den gældende danske persondatalov (med
tilhørende bekendtgørelser). Det kan dog bl.a.
nævnes, at persondataloven ikke - på samme måde
som rammeafgørelsen - indeholder særlige og
detaljerede bestemmelser om udveksling af personoplysninger med
andre medlemsstater eller om yderligere behandling, herunder
videregivelse, af oplysninger, der er modtaget fra eller stillet
til rådighed af andre medlemsstaters kompetente myndigheder.
Også med hensyn til den registreredes rettigheder går
rammeafgørelsen videre i sin regulering end gældende
dansk lovgivning.
Uanset de nævnte forskelle må
rammeafgørelsen efter Justitsministeriets opfattelse samlet
set antages i meget vidt omfang at kunne gennemføres inden
for rammerne af gældende dansk ret. Gennemførelsen af
rammeafgørelsen i Danmark kan således efter
Justitsministeriets opfattelse kun antages på enkelte punkter
at nødvendiggøre ændringer af den regulering,
som følger af persondataloven, jf. herom ovenfor under pkt.
1 samt nærmere nedenfor under pkt. 4.
2.2. Nærmere om indholdet af
rammeafgørelsen
2.2.1. Anvendelsesområde og
definitioner
2.2.1.1. Rammeafgørelsen
indeholder i artikel 1 regler om rammeafgørelsens
formål og anvendelsesområde.
Bestemmelsen fastsætter, at rammeafgørelsen
finder anvendelse, når der med henblik på at forebygge,
efterforske, afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner udveksles eller er udvekslet personoplysninger mellem
medlemsstater (enten i form af videregivelse af personoplysninger
eller ved at personoplysninger stilles eller er stillet til
rådighed for en anden medlemsstat). Rammeafgørelsen
finder endvidere anvendelse, når personoplysninger udveksles
eller er udvekslet mellem på den ene side kompetente
myndigheder i medlemsstaterne og på den anden side organer
eller informationssystemer inden for EU-samarbejdet, jf. herved
nærmere artikel 1, stk. 2.
Rammeafgørelsen tager således sigte på den
grænseoverskridende informationsudveksling i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager - og den
finder inden for dette område anvendelse på behandling
af personoplysninger, der helt eller delvis foretages elektronisk,
samt på ikke-elektronisk behandling af personoplysninger, der
er eller vil blive indeholdt i et register, jf. artikel 1,
stk. 3. Der henvises i den forbindelse i øvrigt til
betragtning nr. 7-9.
Af betragtning nr. 8 fremgår, at medlemsstaterne - for
at fremme udvekslingen af oplysninger i EU - agter at sikre, at den
standard for databeskyttelse, der anvendes i behandlingen af
oplysninger på nationalt plan, stemmer overens med standarden
i rammeafgørelsen. Det er i forhold til behandling og
indsamling af personoplysninger på nationalt niveau endvidere
bestemt, at rammeafgørelsen ikke er til hinder for, at
medlemsstaterne yder sikkerhedsgarantier, der er mere omfattende
end dem, der er fastsat i rammeafgørelsen, jf. herved
artikel 1, stk. 5.
Rammeafgørelsen berører ikke væsentlige
nationale sikkerhedsinteresser og specifikke
efterretningsaktiviteter vedrørende national sikkerhed, jf.
artikel 1, stk. 4.
2.2.1.2. Rammeafgørelsen
indeholder i artikel 2 en række definitioner af
databeskyttelsesmæssige begreber, som anvendes i
rammeafgørelsen. Det drejer sig bl.a. om begreberne
»personoplysninger«, »behandling«,
»register«, »registerfører«,
»modtager«, »den registreredes samtykke« og
»den registeransvarlige«, som i meget vidt omfang
svarer til de definitioner, der anvendes i persondataloven (og det
bagvedliggende databeskyttelsesdirektiv).
Rammeafgørelsen indeholder dog enkelte nyskabelser (i
forhold til persondatalovens og databeskyttelsesdirektivets
definitioner). Således defineres »kompetente
myndigheder« som myndigheder, der er oprettet ved retsakter
vedtaget af Rådet i henhold til afsnit VI i TEU, samt politi,
toldvæsen, retslige myndigheder og andre kompetente
myndigheder i medlemsstaterne, der i henhold til national lov har
beføjelse til at behandle personoplysninger inden for
rammeafgørelsens anvendelsesområde.
Rammeafgørelsen indeholder også (nye) definitioner af
begreberne »blokering«, »at gøre
anonymt« og »referenceangivelse«.
2.2.2. Behandlingsregler
2.2.2.1. Rammeafgørelsen
indeholder en række bestemmelser, der har karakter af
materielle behandlingsregler. Det drejer sig dels om en række
grundlæggende regler, dels om detaljerede regler om, i
hvilket omfang en medlemsstat må viderebehandle
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat (eller udveksles med organer
eller informationssystemer inden for EU-samarbejdet).
2.2.2.2. Artikel 3 forpligter
medlemsstaterne til at følge visse grundlæggende
behandlingsprincipper, når der indsamles oplysninger. De
kompetente myndigheder må kun indsamle personoplysninger til
udtrykkeligt angivne og legitime formål inden for rammerne af
deres opgaver. Behandlingen af oplysningerne skal være lovlig
og tilstrækkelig, relevant og stå i et rimeligt forhold
til de formål, hvortil oplysningerne er indsamlet.
Indsamlede oplysninger må som udgangspunkt kun behandles
til det formål, som de er indsamlet til. Viderebehandling til
et andet formål er dog tilladt, hvis denne behandling ikke er
uforenelig med de formål, hvortil oplysningerne er indsamlet,
de kompetente myndigheder er bemyndiget til at behandle
oplysningerne med henblik på et sådant formål
efter de for dem gældende retsforskrifter, og behandlingen er
nødvendig for og hensigtsmæssig i forhold til dette
andet formål. Derudover må de kompetente myndigheder
viderebehandle de videregivne personoplysninger til historiske,
statistiske eller videnskabelige formål, hvis medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
2.2.2.3. For så vidt
angår behandling af særlige kategorier af
personoplysninger, hvorved forstås oplysninger om
racemæssig eller etnisk baggrund, politisk, religiøs
eller filosofisk overbevisning og fagforeningsmæssigt
tilhørsforhold samt oplysninger om helbredsforhold eller
seksuelle forhold, fastsættes det i artikel 6, at behandling
af disse typer af oplysninger kun er tilladt, når det er
strengt nødvendigt, og når der er fastsat passende
sikkerhedsgarantier i den nationale lovgivning.
2.2.2.4. Efter artikel 7
forpligtes medlemsstaterne til at sikre, at en afgørelse,
der har negative retlige virkninger for den registrerede eller
påvirker vedkommende i væsentlig grad, og som
udelukkende er baseret på elektronisk databehandling med
henblik på vurdering af individuelle aspekter
vedrørende den registreredes person, kun kan ske, hvis dette
er tilladt ved lov, som også indeholder bestemmelser til
beskyttelse af den registreredes legitime interesser. Bestemmelsen
må antages bl.a. at tage sigte på tilfælde, hvor
der i en medlemsstat eksempelvis udstedes bøder alene
på baggrund af elektroniske hastighedsmålere.
2.2.2.5. Som tidligere nævnt
indeholder rammeafgørelsen - foruden de nævnte
grundlæggende behandlingsregler - en række detaljerede
regler om, i hvilket omfang en medlemsstat må viderebehandle
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat.
Den centrale bestemmelse fremgår af
rammeafgørelsens artikel 11, som fastsætter, at der -
ud over de formål, hvortil oplysninger er modtaget eller
stillet til rådighed af en anden medlemsstat - kun må
ske viderebehandling af personoplysninger (i den modtagende
medlemsstat) til følgende formål:
- Forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner i forbindelse med andre straffelovsovertrædelser
eller sanktioner end dem, hvortil de omhandlede personoplysninger
blev videregivet eller stillet til rådighed,
- andre retlige og
administrative procedurer, som hænger direkte sammen med
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner,
- afværgelse
af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed,
eller
- historiske,
statistiske eller videnskabelige formål, hvis medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
Hvis en medlemsstat derudover ønsker at viderebehandle
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat, til andre formål (end
dem, hvortil oplysningerne oprindelig blev udvekslet), kræver
det enten forhåndsgodkendelse fra den videregivende
medlemsstat eller samtykke fra den registrerede i overensstemmelse
med national ret.
2.2.2.6. Rammeafgørelsen
indeholder i artikel 13 bestemmelser om videregivelse til
kompetente myndigheder i tredjelande eller til internationale
organer af personoplysninger, som modtages fra eller stilles til
rådighed af en anden medlemsstat.
Den grundlæggende ordning efter bestemmelsen er, at
videregivelse til tredjelande mv. kræver samtykke fra den
medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en
anden medlemsstat), og at det pågældende tredjeland mv.
skal sikre et tilstrækkeligt beskyttelsesniveau, jf. i den
forbindelse nærmere artikel 13, stk. 4. Derudover skal
videregivelsen være nødvendig for forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner, og den modtagende myndighed i tredjelandet mv. skal
have ansvaret for at forebygge, efterforske, afsløre eller
retsforfølge straffelovsovertrædelser eller fuldbyrde
strafferetlige sanktioner.
Kravet om samtykke (forhåndsgodkendelse) fra den
medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en
anden medlemsstat), kan kun fraviges, hvis videregivelsen af
oplysningerne er afgørende for forebyggelse af en umiddelbar
og alvorlig trussel mod den offentlige sikkerhed i en medlemsstat
eller et tredjeland eller en medlemsstats væsentlige
interesser, og samtykket (forhåndsgodkendelsen) ikke kan
indhentes i tide, jf. artikel 13, stk. 2. Den myndighed, der
skal give sin godkendelse, skal orienteres omgående.
Kravet om, at det pågældende tredjeland mv. skal
sikre et tilstrækkeligt beskyttelsesniveau, kan kun fraviges,
hvis den nationale lovgivning i den medlemsstat, der videregiver
oplysningerne, giver mulighed herfor på grund af den
registreredes specifikke legitime interesser eller på grund
af legitime vigtige interesser, navnlig vigtige offentlige
interesser, eller tredjelandet mv. giver tilstrækkelige
sikkerhedsgarantier, jf. artikel 13, stk. 3.
2.2.2.7. For så vidt
angår spørgsmålet om videregivelse til private
af personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat, fastsætter
rammeafgørelsens artikel 14, at dette kun kan ske i
begrænset omfang.
Videregivelse til private må således kun finde
sted, hvis den medlemsstat, hvor oplysningerne er indsamlet, har
givet tilladelse til videregivelsen. Det er endvidere en
betingelse, at den registreredes specifikke legitime interesser
ikke forhindrer videregivelse, og at videregivelse af oplysninger i
særlige tilfælde er afgørende for, at den
kompetente myndighed, der videregiver oplysningerne til private,
kan varetage en række nærmere angivne hensyn. Det
fremgår i den forbindelse af betragtning nr. 18 i
præambelteksten, at artikel 14 ikke vedrører
videregivelse af oplysninger til private (f.eks. forsvarsadvokater
og ofre) som led i straffesager. Om betydningen af artikel 14 kan i
øvrigt henvises til betragtning nr. 17.
Den myndighed, der videregiver oplysningerne til en
privatperson, orienterer denne om, hvilke formål
oplysningerne udelukkende må anvendes til.
2.2.2.8. Efter
rammeafgørelsens artikel 12 er der åbnet mulighed for,
at den afgivende medlemsstat kan forpligte modtagerstaten til at
respektere særlige begrænsninger i forhold til
behandlingen af udvekslede personoplysninger. Hvis der gælder
særlige begrænsninger i den afgivende medlemsstat for
behandling af de personoplysninger, der er tale om at udveksle, kan
afgiverstaten således i medfør af artikel 12 orientere
modtagerstaten herom. Virkningen af en sådan orientering er,
at den modtagende medlemsstat forpligtes til at overholde de
særlige begrænsninger.
Samtidig gælder der dog efter artikel 12 et
antidiskriminationsprincip, idet en medlemsstat ikke må
fastsætte andre sikkerhedsgarantier vedrørende
videregivelse til andre medlemsstater mv. end dem, der gælder
for en lignende national videregivelse.
2.2.2.9. Ifølge artikel 15
orienterer modtageren - efter anmodning - den myndighed, der har
videregivet eller stillet personoplysningerne til rådighed,
om behandlingen af oplysningerne.
2.2.3. Datakvalitet mv.
2.2.3.1. Rammeafgørelsen
indeholder en række bestemmelser, der har til formål at
sikre datakvaliteten af personoplysninger, der udveksles mellem
medlemsstaterne mv., og at sikre, at oplysninger ikke opbevares
længere tid end nødvendigt.
2.2.3.2. Artikel 4 forpligter
medlemsstaterne til at sikre, at der foretages fornøden
ajourføring af oplysningerne, herunder at oplysninger
berigtiges, hvis de er urigtige, at oplysninger slettes eller
anonymiseres, hvis de ikke længere er nødvendige til
de formål, som de er indsamlet til, eller hvortil de
viderebehandles på lovlig vis, og at oplysninger (som
alternativ til sletning) blokeres, hvis der er rimelig grund til at
tro, at en sletning kunne påvirke den registreredes legitime
interesser. Blokerede oplysninger må kun behandles til det
formål, der gjorde, at de ikke blev slettet.
Kravet om sletning eller anonymisering af personoplysninger,
der ikke længere er nødvendige til de formål,
som de er indsamlet til, eller hvortil de viderebehandles på
lovlig vis, berører ikke adgangen til at foretage arkivering
af oplysninger i en særskilt samling i en passende periode i
henhold til national lovgivning, jf. i den forbindelse betragtning
nr. 13.
Når personoplysninger er indeholdt i en
retsafgørelse eller i et register, der er knyttet til
udstedelsen af en retsafgørelse, skal berigtigelsen,
sletningen eller blokeringen gennemføres i henhold til de
nationale retsplejeregler, jf. artikel 4, stk. 4.
2.2.3.3. Rammeafgørelsens
artikel 5 forpligter herudover medlemsstaterne til at sikre, at der
fastsættes passende frister for sletningen af
personoplysninger eller regelmæssig undersøgelse af
behovet for lagringen. Det skal sikres ved proceduremæssige
foranstaltninger, at disse frister overholdes.
2.2.3.4. Efter artikel 9 kan den
videregivende myndighed i forbindelse med udveksling af
personoplysninger tilkendegive, hvilke nationale tidsfrister for
opbevaring af oplysninger der i vedkommende medlemsstat
gælder for de pågældende oplysninger. Virkningen
af en sådan tilkendegivelse er, at modtageren er forpligtet
til ved udløbet af fristen at slette eller blokere
oplysningerne eller undersøge, om der fortsat er behov for
dem. Dette gælder dog ikke, hvis oplysningerne skal bruges i
forbindelse med en igangværende undersøgelse,
retsforfølgelse af lovovertrædelser eller
håndhævelse af strafferetlige sanktioner.
Hvis den videregivende myndighed ikke har oplyst om nogen
national tidsfrist for opbevaring, gælder de tidsfrister, der
er fastsat i artikel 4 og 5, for opbevaring af oplysninger, som er
omhandlet i den modtagende medlemsstats lovgivning.
2.2.3.5. Artikel 8 forpligter
medlemsstaterne til at føre kontrol med kvaliteten af de
oplysninger, der videregives.
De kompetente myndigheder skal i den forbindelse træffe
alle rimelige foranstaltninger til at sikre, at personoplysninger,
der er urigtige, ufuldstændige eller ikke ajourførte,
ikke videregives eller stilles til rådighed. Myndighederne
skal så vidt muligt verificere kvaliteten af
personoplysningerne, før de videregives eller stilles til
rådighed. I forbindelse med al videregivelse af oplysninger
skal der så vidt muligt tilføjes tilgængelige
oplysninger, der gør det muligt for den modtagende
medlemsstat at vurdere, om oplysningerne er rigtige,
fuldstændige, ajourførte og pålidelige.
Hvis personoplysninger er blevet videregivet uanmodet, skal
den modtagende myndighed straks vurdere, om oplysningerne er
nødvendige til det formål, hvortil de er blevet
videregivet.
Hvis det konstateres, at der er videregivet urigtige
oplysninger, eller at oplysningerne er videregivet ulovligt,
meddeles dette straks modtageren. Oplysningerne skal i så
fald rettes, slettes eller blokeres omgående i
overensstemmelse med artikel 4.
2.2.3.6. Med henblik på at
der kan foretages kontrol af, om databehandlingen er lovlig, at der
kan udøves egenkontrol, og at dataenes integritet og
sikkerhed sikres, fastsættes det i rammeafgørelsens
artikel 10, at hver videregivelse af personoplysninger skal
registreres eller dokumenteres.
Den nævnte registrering eller dokumentation for
videregivelse af personoplysninger udleveres til den kompetente
tilsynsmyndighed på dennes anmodning med henblik på
kontrol af databeskyttelsen. Den kompetente tilsynsmyndighed
må kun anvende de modtagne oplysninger med henblik på
kontrol af databeskyttelsen og med henblik på at sikre en
korrekt databehandling og dataenes integritet og sikkerhed.
2.2.4. Den registreredes
rettigheder
2.2.4.1. Rammeafgørelsen
indeholder i artikel 16-18 en række bestemmelser om den
registreredes rettigheder. Det nærmere indhold af visse af
rettighederne vil afhænge af, hvordan den enkelte medlemsstat
vælger at gennemføre rammeafgørelsen i national
ret, jf. herom for Danmarks vedkommende nedenfor under pkt.
4.
2.2.4.2. Artikel 16 forpligter
medlemsstaterne til at sikre, at den registrerede er underrettet om
myndighedernes indsamling og behandling af personoplysninger i
henhold til den nationale lovgivning.
De nærmere bestemmelser for den registreredes ret til at
blive informeret og undtagelserne herfra fastlægges
således i den nationale lovgivning, jf. i den forbindelse
betragtning nr. 27, hvor det bl.a. anføres, at underretning
kan ske generelt, f.eks. gennem lovgivning eller ved
offentliggørelse af en oversigt over behandlingerne.
Både den afgivende og den modtagende medlemsstat kan i
det enkelte tilfælde (i henhold til national lovgivning)
tilkendegive, at udvekslede oplysninger skal behandles fortroligt,
og at den registrerede ikke må informeres uden samtykke fra
vedkommende medlemsstat. I givet fald kan der kun ske underretning
af den registrerede, hvis den medlemsstat, som har modsat sig
dette, giver sit samtykke hertil.
2.2.4.3. Artikel 17 om retten til
indsigt fastslår, at en registreret person efter anmodning
har ret til - uden større ventetid eller større
udgifter - med rimelige mellemrum uhindret at modtage mindst en
bekræftelse fra den dataansvarlige eller den nationale
tilsynsmyndighed af, om der er udvekslet oplysninger om den
pågældende, samt i bekræftende fald information
om de modtagere eller kategorier af modtagere, oplysningerne er
videregivet til, og meddelelse om, hvilke oplysninger der er
omfattet af behandlingen.
Alternativt skal der (mindst) gives bekræftelse fra den
nationale tilsynsmyndighed på, at der er foretaget alle
fornødne kontroller.
Medlemsstaterne kan efter artikel 17, stk. 2,
træffe lovmæssige foranstaltninger, der begrænser
retten til indsigt, hvis en sådan begrænsning under
hensyn til den pågældende persons legitime interesser
er en nødvendig og proportionel foranstaltning:
- for at
undgå, at der lægges hindringer i vejen for officielle
eller retlige undersøgelser, efterforskninger eller
procedurer,
- for at
undgå, at forebyggelsen, afsløringen, efterforskningen
og retsforfølgning af strafbare handlinger skades, eller af
hensyn til fuldbyrdelsen af strafferetlige sanktioner,
- for at beskytte
den offentlige sikkerhed,
- for at beskytte
den nationale sikkerhed, eller
- for at beskytte
den registrerede eller andres rettigheder og
frihedsrettigheder.
Afslag på eller begrænsning af indsigtsretten skal
efter artikel 17, stk. 3, meddeles skriftligt, og i den
forbindelse skal de faktiske og retlige grunde, som
afgørelsen hviler på, også meddeles vedkommende.
En sådan skriftlig begrundelse kan dog undlades, hvis de
hensyn, som er nævnt i artikel 17, stk. 2, kan begrunde
det. Den registrerede skal i alle tilfælde vejledes om
vedkommendes klageadgang.
2.2.4.4. Herudover fremgår
det af rammeafgørelsens artikel 18, at den registrerede har
ret til at forvente, at den dataansvarlige overholder sine
forpligtelser i henhold til rammeafgørelsens bestemmelser om
berigtigelse, sletning og blokering af personoplysninger (i artikel
4, 8 og 9).
Medlemsstaterne bestemmer, om den registrerede skal kunne
gøre denne rettighed gældende direkte overfor den
dataansvarlige eller gennem den nationale tilsynsmyndighed.
Det følger endvidere af bestemmelsen, at afslag
på berigtigelse, sletning eller blokering skal meddeles
skriftligt og ledsages af klagevejledning.
Efter behandlingen af klagen informeres den registrerede om,
hvorvidt den dataansvarlige har handlet korrekt eller ej.
Medlemsstaterne kan også fastsætte, at den registrerede
blot skal underrettes af den kompetente nationale tilsynsmyndighed
om, at der er foretaget en undersøgelse.
Hvis den registrerede gør indsigelse mod rigtigheden af
en personoplysning, og det ikke kan konstateres, om oplysningen er
rigtig eller ej, kan der anføres en bemærkning ud for
oplysningen (»referenceangivelse«). Det er i den
forbindelse fastsat i rammeafgørelsens artikel 2, litra j,
at der ved begrebet »referenceangivelse« skal
forstås en markering af lagrede oplysninger, uden at det er
hensigten at begrænse den fremtidige behandling af disse
oplysninger.
2.2.5. Behandlingssikkerhed
2.2.5.1. Rammeafgørelsen
indeholder i artikel 21 og 22 bestemmelser om sikkerhed i
forbindelse med behandlingen af personoplysninger.
2.2.5.2. Den almindelige regel
følger af artikel 21, som fastsætter, at enhver med
adgang til personoplysninger, som falder ind under
rammeafgørelsens anvendelsesområde, kun må
behandle disse oplysninger i deres egenskab af ansatte i eller
efter instruks fra den kompetente myndighed (medmindre andet er
fastsat ved lov).
Enhver, der arbejder for en kompetent myndighed i en
medlemsstat, er bundet af alle de databeskyttelsesregler, der
gælder for den pågældende kompetente
myndighed.
2.2.5.3. Rammeafgørelsens
artikel 22 fastsætter nærmere og mere detaljerede krav
til sikkerheden i forbindelse med behandlingen af
personoplysninger.
Efter bestemmelsen forpligtes de kompetente myndigheder til at
iværksætte de fornødne tekniske og
organisatoriske foranstaltninger til at beskytte personoplysninger
mod hændelig eller ulovlig tilintetgørelse, mod
hændeligt tab, mod forringelse, ubeføjet udbredelse
eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter
fremsendelse i et net eller oplysninger, der stilles til
rådighed ved at give direkte elektronisk adgang, og mod
enhver anden form for ulovlig behandling, jf. herved nærmere
artikel 22, stk. 1.
Med henblik herpå opstilles der en række
specifikke sikkerhedskrav i bestemmelsen, jf. herved nærmere
artikel 22, stk. 2
Efter artikel 22, stk. 3, fastsætter
medlemsstaterne, at der som databehandler kun må udpeges en
person, der kan garantere, at vedkommende kan træffe de
fornødne tekniske og organisatoriske foranstaltninger (som
er nævnt i artikel 22, stk. 1) og overholde de
instrukser (som er nævnt i artikel 21). Den kompetente
myndighed skal kontrollere, at databehandleren lever op til disse
krav.
Databehandleren må efter artikel 22, stk. 4, kun
behandle personoplysninger på grundlag af en retsakt eller en
skriftlig kontrakt.
2.2.6. Tilsyn,
domstolsprøvelse, erstatning og sanktioner
2.2.6.1. Efter artikel 25 skal
hver medlemsstat have mindst én offentlig myndighed, der har
til opgave at yde rådgivning og påse overholdelsen af
de bestemmelser, medlemsstaten vedtager til gennemførelse af
rammeafgørelsen.
Denne myndighed udøver de funktioner, der
tillægges den, i fuld uafhængighed.
Tilsynsmyndigheden skal kunne iværksætte
efterforskninger og bl.a. have adgang til de oplysninger, der
gøres til genstand for en behandling, og kunne indsamle alle
oplysninger, der er nødvendige for at varetage dens
tilsynsopgaver. Tilsynsmyndigheden skal også kunne gribe
effektivt ind ved f.eks. at afgive udtalelser forud for
iværksættelsen af behandlinger, beordre oplysninger
slettet mv., midlertidigt eller definitivt forbyde en behandling,
udstede advarsler, påtale overtrædelser og indbringe
overtrædelser for retsinstanserne eller gøre
retsinstanserne opmærksom på overtrædelserne.
Afgørelser truffet af tilsynsmyndigheden, som går en
involveret part imod, skal kunne indbringes for en
retsinstans.
Om tilsynsmyndighedens virksomhed kan i øvrigt henvises
til bestemmelserne i artikel 25, stk. 3 og 4
2.2.6.2. Medlemsstaterne skal
sikre, at de(n) nationale tilsynsmyndighed(er) høres inden
behandling af personoplysninger, der vil indgå i et nyt
register, der skal oprettes, når der behandles særlige
kategorier af oplysninger, jf. artikel 6, eller når formen
for behandling - især anvendelse af nye teknologier,
mekanismer eller procedurer - i andre henseender indebærer
særlige risici for den registreredes grundlæggende
rettigheder og frihedsrettigheder, herunder især dennes
privatliv. Der henvises herved til rammeafgørelsens artikel
23.
2.2.6.3. Efter
rammeafgørelsens artikel 20 skal den registrerede - med
forbehold af en eventuel administrativ klageadgang - have ret til
at indbringe krænkelser af de rettigheder, der garanteres
vedkommende i henhold til national lovgivning, for en
domstol.
2.2.6.4. Rammeafgørelsens
artikel 19 omhandler retten til erstatning. Efter bestemmelsen er
enhver, der har lidt skade som følge af en ulovlig handling
eller enhver anden handling, der er uforenelig med de nationale
bestemmelser, der vedtages til gennemførelse af
rammeafgørelsen, berettiget til erstatning for den forvoldte
skade fra den kompetente myndighed (eller en anden myndighed, der
er kompetent i henhold til den nationale lovgivning).
En medlemsstat, der har modtaget oplysninger fra en anden
medlemsstat, kan inden for rammerne af det ansvar, den kompetente
myndighed i henhold til den nationale lovgivning har over for den
skadelidte, ikke påberåbe sig, at de videregivne
oplysninger var urigtige. Hvis modtageren yder erstatning for en
skade, der er forårsaget af anvendelsen af urigtigt
videregivne oplysninger, refunderer den videregivende kompetente
myndighed modtageren den ydede skadeserstatning under hensyn til et
eventuelt ansvar hos modtageren.
Det er op til den enkelte medlemsstat at fastlægge,
hvordan dens erstatningsbestemmelser skal udformes, jf. betragtning
nr. 30.
2.2.6.5. Efter artikel 24
træffer medlemsstaterne de nødvendige foranstaltninger
til at sikre, at rammeafgørelsens bestemmelser
gennemføres fuldt ud, herunder bl.a. ved at fastsætte
sanktioner, der er effektive, står i et rimeligt forhold til
lovovertrædelsen, har afskrækkende virkning, og som
skal finde anvendelse i tilfælde af overtrædelse af de
bestemmelser, der vedtages til gennemførelse af
rammeafgørelsen.
Det er op til den enkelte medlemsstat at fastlægge,
hvilke sanktioner der skal finde anvendelse ved overtrædelse
af de nationale databeskyttelsesbestemmelser, jf. betragtning nr.
30.
2.2.7. Øvrige bestemmelser
mv.
2.2.7.1. Forholdet mellem
rammeafgørelsen og aftaler indgået med tredjelande
reguleres i artikel 26.
Heraf fremgår, at rammeafgørelsen ikke
berører forpligtelser, der påhviler medlemsstaterne
eller EU i henhold til bilaterale og/eller multilaterale aftaler
indgået med tredjelande, som er gældende ved
rammeafgørelsens vedtagelse.
Ved anvendelsen af disse aftaler foretages overførsel
til et tredjeland af personoplysninger, der er indsamlet i en anden
medlemsstat, i henhold til artikel 13, stk. 1, litra c (om
indhentelse af samtykke fra afgiverstaten), eller, hvis det er
relevant, artikel 13, stk. 2 (hvorefter der i visse
situationer kan ske overførsel uden
forhåndsgodkendelse fra afgiverstaten).
2.2.7.2. Forholdet mellem
rammeafgørelsen og tidligere vedtagne EU-retsakter reguleres
i artikel 28.
Heraf følger, at hvis der i EU-retsakter, som er
vedtaget før rammeafgørelsens ikrafttræden (som
er tyvendedagen efter offentliggørelsen i EU-Tidende), og
som regulerer udvekslingen af personoplysninger mellem
medlemsstater mv., er fastsat særlige bestemmelser om den
modtagende medlemsstats anvendelse af sådanne oplysninger,
vil disse bestemmelser gå forud for rammeafgørelsens
regler herom.
Om den nærmere betydning heraf kan der henvises til
betragtning nr. 39 og 40.
2.2.7.3. Efter
rammeafgørelsens artikel 29, stk. 1, skal
medlemsstaterne træffe de nødvendige foranstaltninger
for at efterkomme rammeafgørelsen senest to år fra
dens vedtagelse.
Om gennemførelsen og ikrafttrædelsen af
rammeafgørelsen henvises i øvrigt til
rammeafgørelsens artikel 29, stk. 2, og artikel 30.
Spørgsmålet om evaluering af rammeafgørelsen
reguleres i rammeafgørelsens artikel 27.
2.2.7.4. Ud over de enkelte
artikler indeholder præamblen til rammeafgørelsen
på sædvanlig vis en række betragtninger, som vil
kunne have betydning for fortolkningen og anvendelsen af
rammeafgørelsen. Præamblen indeholder ingen
selvstændige retligt forpligtende elementer.
2.2.7.5. Det skal bemærkes,
at rammeafgørelsen ledsages af en
råds-erklæring, hvorefter Rådet vil
undersøge, hvordan man i fremtiden i overensstemmelse med de
gældende retsgrundlag kan samle de opgaver, der
udføres af de eksisterende fælles
datatilsynsmyndigheder, som er oprettet særskilt for
Schengen-informationssystemet, Europol, Eurojust og
Toldinformationssystemet, under én datatilsynsmyndighed,
idet der tages hensyn til disse systemers og organers særlige
karakter.
Den pågældende rådserklæring er en
politisk tilkendegivelse om Rådets ønske om at arbejde
videre med idéen om at oprette en fælles
tilsynsmyndighed. Justitsministeriet har ikke nærmere
oplysninger om tidshorisonten for det videre arbejde eller om
indholdet af en eventuel senere beslutning herom, men det kan
generelt oplyses, at regeringen stiller sig positiv over for at
samle de forskellige tilsynsopgaver hos en fælles
tilsynsmyndighed.
3. Gældende ret
3.1. Indledning
Den centrale danske lov på området for
persondatabeskyttelse er persondataloven (lov nr. 429 af 31. maj
2000 som senest ændret ved lov nr. 519 af 6. juni 2007).
Persondataloven, der gennemfører databeskyttelsesdirektivet
- direktiv nr. 95/46 - i dansk ret, regulerer ikke blot behandling
af personoplysninger inden for fællesskabsrettens og dermed
direktivets område (søjle 1), men finder generelt
anvendelse på behandling af personoplysninger, og herunder
altså også behandling af personoplysninger inden for
det strafferetlige område.
Også anden lovgivning indeholder regler, som har
betydning for behandling af personoplysninger inden for det
strafferetlige område. Der er således i retsplejeloven
fastsat regler om sigtede personers mv. adgang til materiale, som
er tilvejebragt af politiet i forbindelse med strafferetlig
forfølgning (retsplejelovens kapitel 66). I retsplejeloven
er der også fastsat almindelige regler om aktindsigt
(retsplejelovens kapitel 3 a). Herudover kan bl.a. nævnes
retsplejelovens særlige regler om berigtigelse, jf. lovens
§ 221.
3.2. Nærmere om indholdet af
persondataloven
3.2.1. Persondatalovens
almindelige anvendelsesområde er i lovens § 1,
stk. 1, afgrænset til at omfatte behandling af
personoplysninger, som helt eller delvis foretages ved hjælp
af elektronisk databehandling, og ikke-elektronisk behandling af
personoplysninger, der er eller vil blive indeholdt i et
register.
Uden for persondatalovens anvendelsesområde falder bl.a.
behandling af personoplysninger, der udføres for politiets
eller forsvarets efterretningstjenester, jf. lovens § 2,
stk. 11.
Bestemmelserne i lovens kapitel 8 (om oplysningspligt over for
den registrerede) og §§ 35-37 og § 39 (om
bl.a. den registreredes indsigelsesret over for behandlinger, om
den registreredes ret til berigtigelse, sletning eller blokering af
oplysninger, der er urigtige mv. samt ret til underretning af
tredjemand, som har modtaget oplysninger, der er berigtiget mv.
samt om den registreredes ret til indsigelse mod visse
automatiserede afgørelser samt ret til oplysning om
beslutningsgrundlaget) finder ikke anvendelse på
behandlinger, der foretages for henholdsvis domstolene og politi og
anklagemyndighed inden for det strafferetlige område. Desuden
finder kapitel 9 (om den registreredes indsigtsret) heller ikke
anvendelse på behandlinger, der foretages for domstolene
inden for det strafferetlige område. Der henvises til
persondatalovens § 2, stk. 4.
3.2.2. Persondataloven indeholder
i § 5 en række grundlæggende principper for
behandling af personoplysninger, herunder regler om indsamling,
ajourføring, opbevaring mv.
Reglerne i § 5 giver ikke et selvstændigt
retligt grundlag for at foretage en bestemt behandling af
personoplysninger. Hjemmelsgrundlaget herfor skal findes i de
øvrige behandlingsregler i navnlig §§ 6-8,
hvorefter der kan ske behandling, herunder videregivelse mv., hvis
dette er nødvendigt til en række nærmere angivne
formål, herunder bl.a. af hensyn til en offentlig myndigheds
varetagelse af sine opgaver på det strafferetlige
område. Det bemærkes i den forbindelse, at
persondatalovens § 8, stk. 2, indeholder
særlige videregivelsesregler vedrørende bl.a.
oplysninger om strafbare forhold.
Herudover indeholder persondataloven i § 27
særlige regler om overførsel af personoplysninger til
tredjelande.
3.2.3. Som tidligere nævnt
følger det af persondatalovens § 2, stk. 4,
at en række af lovens bestemmelser om den registreredes
rettigheder ikke finder anvendelse på behandlinger, der
foretages for henholdsvis domstolene og politi og anklagemyndighed
inden for det strafferetlige område.
Det drejer sig for det første om bestemmelserne i
persondatalovens kapitel 8 (§§ 28-30) om
oplysningspligt over for den registrerede.
For det andet er der gjort fravigelse fra bestemmelserne i
persondatalovens kapitel 9 (§§ 31-34) om den
registreredes indsigtsret, for så vidt angår behandling
af personoplysninger, der foretages for domstolene inden for det
strafferetlige område.
Reglerne i kapitel 9 gælder således alene med
hensyn til behandlinger, der foretages for bl.a. politi og
anklagemyndighed inden for det strafferetlige område.
Efter persondatalovens § 31, stk. 1, har en
registreret person - efter begæring - ret til indsigt i en
række oplysninger om vedkommende selv (egenacces). Dette
gælder dog bl.a. ikke, hvis den registreredes interesse i at
få kendskab til oplysningerne findes at burde vige for
afgørende hensyn til private eller offentlige interesser,
herunder bl.a. den offentlige sikkerhed eller forebyggelse,
efterforskning, afsløring eller retsforfølgning i
straffesager, eller hvis der i øvrigt er grundlag for at
gøre undtagelser fra indsigtsretten efter reglerne i
offentlighedslovens § 2 samt §§ 7-11 og
§ 14. Der henvises til persondatalovens § 32,
stk. 1 og 2.
Herudover følger det af lovens § 32,
stk. 5, at justitsministeren under visse betingelser kan
træffe bestemmelse om, at der generelt gøres
undtagelse fra retten til indsigt i oplysninger, der behandles af
offentlige myndigheder på det strafferetlige område,
for så vidt bestemmelsen i § 32, stk. 1, jf.
herved § 30, må antages at medføre, at
begæringer om ret til indsigt i almindelighed må
afslås. Med hjemmel i denne bestemmelse er der fastsat
nærmere regler om egenacces i bekendtgørelse nr. 218
af 27. marts 2001 om behandling af personoplysninger i Det Centrale
Kriminalregister (med senere ændringer).
Endelig kan det - for det tredje - nævnes, at kun visse
af bestemmelserne i persondatalovens kapitel 10 finder anvendelse
på behandlinger, der foretages for henholdsvis domstolene og
politi og anklagemyndighed inden for det strafferetlige
område.
3.2.4. Persondataloven indeholder
i kapitel 11 (§§ 41-42) regler om den fysiske
behandlingssikkerhed og i kapitel 12 (§§ 43-47)
regler om anmeldelse af behandlinger, der foretages for den
offentlige forvaltning til tilsynsmyndigheden. De nævnte
regler om den fysiske sikkerhed (§§ 41-42) finder
også anvendelse i forhold til domstolene, ligesom reglerne i
§§ 43-46 gælder for anmeldelse til
Domstolsstyrelsen af behandling af oplysninger, der foretages for
domstolene, jf. herved persondatalovens § 52.
Supplerende administrative bestemmelser om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger,
som behandles for henholdsvis den offentlige forvaltning og for
domstolene, er fastsat i bekendtgørelse nr. 528 og
bekendtgørelse nr. 535, begge af 15. juni 2000.
Bestemmelser om klageadgang, erstatningsansvar og sanktioner
er fastsat i persondatalovens kapitel 18
(§§ 69-71).
Hvad angår reglerne om Datatilsynets organisation og
funktioner, henvises der til persondatalovens kapitel 16
(§§ 55-66). Tilsynet med domstolene er reguleret i
lovens §§ 67-68.
4. Justitsministeriets
overvejelser
4.1. Generelle overvejelser
4.1.1. Justitsministeriet har
tidligere i forbindelse med forslag til folketingsbeslutning om
udkast til rammeafgørelse om beskyttelse af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager (B 79 af 28. marts 2008) redegjort for
de lovgivningsmæssige konsekvenser af udkastet til
rammeafgørelse.
Som anført i det pågældende
beslutningsforslag afspejles den regulering, som fremgår af
udkastet til rammeafgørelse, i nogen grad allerede i dag i
persondataloven (med tilhørende
bekendtgørelser).
Dette gælder navnlig med hensyn til bestemmelserne om rammeafgørelsens
anvendelsesområde og definitioner (artikel 1-2), om grundlæggende principper for
behandling af personoplysninger (især artikel 3), om fortrolighed og sikkerhed i forbindelse
med databehandling (artikel 21 og 22), om erstatningsansvar, klageadgang, og
sanktioner (artikel 19-20 og 24) samt om tilsynsmyndighed (artikel 25).
Disse bestemmelser svarer således stort set til, hvad
der følger af persondataloven.
Omvendt indeholder persondataloven imidlertid ikke - på
samme måde som rammeafgørelsen - særlige og
detaljerede bestemmelser om udveksling af personoplysninger med
andre medlemsstater eller om yderligere behandling, herunder
videregivelse, af oplysninger, der er modtaget fra eller stillet
til rådighed af andre medlemsstaters kompetente myndigheder.
Også med hensyn til den registreredes rettigheder må
rammeafgørelsen antages at gå videre i sin regulering
end gældende dansk lovgivning.
Uanset de nævnte forskelle må
rammeafgørelsen efter Justitsministeriets opfattelse samlet
set antages i meget vidt omfang at kunne gennemføres inden
for rammerne af gældende dansk ret. Gennemførelse af
rammeafgørelsen i Danmark kan således efter
Justitsministeriets opfattelse kun antages på enkelte punkter
at nødvendiggøre ændringer af den regulering,
som følger af persondataloven, jf. nærmere nedenfor
under pkt. 4.2.1.-4.2.7.
4.1.2. Justitsministeriet har
overvejet, om rammeafgørelsens bestemmelser bør
indarbejdes (direkte) i persondataloven, eller om der bør
udstedes en bekendtgørelse inden for området for
politisamarbejde og retligt samarbejde i kriminalsager i EU.
Efter Justitsministeriets opfattelse vil det stemme bedst
overens med persondatalovens mere generelle karakter, at de
specifikke regler for behandling af personoplysninger i forbindelse
med det politimæssige og strafferetlige samarbejde inden for
EU (som er nødvendige til opfyldelse af
rammeafgørelsen) fastsættes i en bekendtgørelse
på området.
På den baggrund foreslås der indsat en ny
bemyndigelsesbestemmelse i § 72 a i persondataloven,
hvorefter der på bekendtgørelsesniveau kan
fastsættes nærmere regler om beskyttelse af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager inden for Den Europæiske Union
mv., jf. herved lovforslagets § 1, nr. 1.
Justitsministeriet har herved også lagt vægt
på, at den foreslåede bemyndigelsesbestemmelse alene
giver justitsministeren adgang til (inden for
rammeafgørelsens anvendelsesområde) at fastsætte
en nærmere administrativ regulering, som i overensstemmelse
med rammeafgørelsen indebærer en yderligere styrkelse af databeskyttelsen,
når det gælder udveksling af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager inden for EU. Der er således ikke tale om en
generel bemyndigelse til justitsministeren på området,
og det vil ikke være muligt at anvende
bemyndigelsesbestemmelsen til at indføre en regulering, som
indebærer en forringelse af databeskyttelsen på
området (set i forhold til, hvad der gælder efter
persondataloven).
Det tilføjes, at den nugældende bestemmelse i
persondatalovens § 72 - hvorefter vedkommende minister i
særlige tilfælde kan fastsætte nærmere
regler for behandlinger, som udføres for den offentlige
forvaltning - alene vil kunne anvendes til at fastsætte
regler om behandling af personoplysninger hos politiet,
anklagemyndigheden og kriminalforsorgen, hvorimod det ikke efter
bestemmelsen er muligt at regulere domstolenes forhold (idet de
ikke er en del af den offentlige forvaltning). Da
rammeafgørelsen bl.a. også omfatter domstolenes
behandling af personoplysninger, der hidrører fra en anden
medlemsstat, vil bemyndigelsen i persondatalovens § 72
ikke være tilstrækkelig til at gennemføre
rammeafgørelsen i dansk ret.
4.1.3. Af rammeafgørelsens
præambel (betragtning nr. 45-47) fremgår det, at
rammeafgørelsen omfatter beskyttelse af personoplysninger i
forbindelse med, at sådanne oplysninger - som led i
grænseoverskridende politimæssigt og retligt samarbejde
i kriminalsager - udveksles med de tredjelande, der deltager i det
såkaldte Schengensamarbejde (for tiden Island, Norge, Schweiz
og Liechtenstein). I overensstemmelse hermed vil den
bekendtgørelse, som vil blive udstedt i henhold til den
foreslåede nye § 72 a i persondataloven, også
omfatte databeskyttelse i forbindelse med danske myndigheders
politimæssige og strafferetlige samarbejde med
Schengen-lande, jf. i den forbindelse udtrykket »mv.« i
den foreslåede nye § 72 a.
4.1.4. Et udkast til
bekendtgørelsen vil blive forelagt for tilsynsmyndighederne
- Datatilsynet og Domstolsstyrelsen - til udtalelse, jf. herved
persondatalovens § 57 og § 68,
stk. 2.
4.1.5. Om Justitsministeriets
overvejelser om det nærmere indhold af den
bekendtgørelse, som vil blive udstedt i henhold til den
foreslåede nye § 72 a i persondataloven, henvises
til den følgende gennemgang (nedenfor under pkt. 4.2.) af de
enkelte dele af rammeafgørelsen. Justitsministeriet vil i
øvrigt tage endelig stilling til den nærmere
gennemførelse af rammeafgørelsen i dansk ret i
forbindelse med udformningen af den pågældende
bekendtgørelse.
4.2. Justitsministeriets overvejelser
om de enkelte dele af rammeafgørelsen
4.2.1. Anvendelsesområde og
definitioner
4.2.1.1. Persondataloven
gælder - ligesom rammeafgørelsen - for behandling af
personoplysninger, der helt eller delvis foretages ved hjælp
af elektronisk databehandling, og for ikke-elektronisk behandling
af personoplysninger, der er eller vil blive indeholdt i et
register, jf. lovens § 1, stk. 1.
Inden for dette anvendelsesområde gælder
persondataloven for al form for behandling af personoplysninger,
der foretages af danske myndigheder. Persondataloven omfatter
således bl.a. også indsamling, opbevaring og udveksling
mv. af personoplysninger, som foretages af politiet,
anklagemyndigheden, kriminalforsorgen og domstolene i forbindelse
med samarbejde med myndigheder i andre EU-medlemsstater inden for
det strafferetlige område.
Som nævnt ovenfor under pkt. 2.2.1.1. finder
rammeafgørelsen anvendelse på den
grænseoverskridende informationsudveksling i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager i EU.
Persondatalovens anvendelsesområde er således
bredere end rammeafgørelsens anvendelsesområde, og
rammeafgørelsen nødvendiggør derfor efter
Justitsministeriets opfattelse ikke, at der foretages
ændringer i den nuværende afgrænsning i lovens
§ 1 af persondatalovens anvendelsesområde.
Det forhold, at visse nærmere angivne bestemmelser i
persondataloven (om registrerede personers rettigheder) ikke finder
anvendelse på behandlinger, der foretages af domstolene,
politi og anklagemyndighed inden for det strafferetlige
område, jf. herved lovens § 2, stk. 4,
nødvendiggør efter Justitsministeriets opfattelse
heller ikke ændringer i persondatalovens § 1. Om
betydningen af reglen i persondatalovens § 2,
stk. 4, henvises i øvrigt til det, som er anført
nedenfor under pkt. 4.2.4.
Det bemærkes i øvrigt, at rammeafgørelsen
efter Justitsministeriets opfattelse ikke er til hinder for, at den
enkelte medlemsstat i sin nationale lovgivning kan fastsætte
eller opretholde regler, der indeholder en yderligere
databeskyttelse ud over, hvad der følger af
rammeafgørelsen, jf. herved rammeafgørelsens artikel
1, stk. 5.
4.2.1.2. Uden for persondatalovens
anvendelsesområde falder bl.a. behandling af
personoplysninger, der udføres for politiets eller
forsvarets efterretningstjenester, jf. lovens § 2,
stk. 11.
Denne ordning vil kunne opretholdes ved en
gennemførelse af rammeafgørelsen i dansk ret, idet
rammeafgørelsen som nævnt ovenfor under pkt. 2.2.1.1.
ikke berører væsentlige nationale sikkerhedsinteresser
og specifikke efterretningsaktiviteter vedrørende national
sikkerhed, jf. rammeafgørelsens artikel 1,
stk. 4.
4.2.1.3. Persondataloven
indeholder i § 3 definitioner af en række centrale
databeskyttelsesmæssige begreber, såsom
»personoplysninger«, »behandling«,
»register«, »dataansvarlig« og
»databehandler«.
Som nævnt ovenfor under pkt. 2.2.1.2. svarer
rammeafgørelsens definitioner i vidt omfang til de
definitioner, der anvendes i persondataloven. Der indføres
dog med rammeafgørelsen enkelte nye definitioner, som ikke
er afspejlet i lovteksten til persondataloven. En indsættelse
af de pågældende definitioner i persondataloven vil
imidlertid efter Justitsministeriets opfattelse ikke være
nødvendig til gennemførelse af rammeafgørelsen
i dansk ret, idet definitionerne i fornødent omfang vil
skulle lægges til grund af danske myndigheder mv. i
forbindelse med udøvelse af aktiviteter inden for
rammeafgørelsens anvendelsesområde. Det bemærkes
i den forbindelse, at rammeafgørelsens definition af
begrebet »blokering« svarer til, hvad der i dag i
praksis forstås ved det pågældende udtryk (som
indgår i persondatalovens § 37 og § 59,
stk. 1).
4.2.2. Behandlingsregler
4.2.2.1. Persondataloven
indeholder i kapitel 4 (§§ 5-14) en række
materielle regler om behandling af personoplysninger.
De pågældende bestemmelser omfatter bl.a. den
behandling af personoplysninger, som foretages af politi,
anklagemyndighed, kriminalforsorg samt domstole inden for det
strafferetlige område. Sådan behandling af
personoplysninger vil således bl.a. skulle leve op til de
grundlæggende principper, som følger af
persondatalovens § 5.
Det betyder bl.a., at de nævnte myndigheders indsamling
af oplysninger skal ske til udtrykkeligt angivne og saglige
formål, og at senere behandling ikke må være
uforenelig med disse formål. Senere behandling af
oplysninger, der alene sker i historisk, statistisk eller
videnskabeligt øjemed, anses ikke for uforenelig med de
formål, hvortil oplysningerne er indsamlet (§ 5,
stk. 2).
Personoplysninger, som behandles af de pågældende
myndigheder, skal være relevante og tilstrækkelige og
ikke omfatte mere, end hvad der kræves til opfyldelse af de
formål, hvortil oplysningerne indsamles, og de formål,
hvortil oplysningerne senere behandles (§ 5,
stk. 3).
Behandling af oplysninger skal tilrettelægges
således, at der foretages fornøden ajourføring
af oplysningerne. Der skal endvidere foretages den fornødne
kontrol for at sikre, at der ikke behandles urigtige eller
vildledende oplysninger. Oplysninger, der viser sig urigtige eller
vildledende, skal snarest muligt slettes eller berigtiges
(§ 5, stk. 4).
Indsamlede oplysninger må ikke opbevares på en
måde, der giver mulighed for at identificere den registrerede
i et længere tidsrum end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles
(§ 5, stk. 5).
De nævnte principper i persondatalovens § 5
skal ses i sammenhæng med bl.a. lovens §§ 6-8,
hvorefter der - ud over på baggrund af et samtykke fra den
registrerede - kan ske behandling af personoplysninger, herunder
indsamling, registrering og videregivelse mv., hvis dette er
nødvendigt til en række nærmere angivne
formål, herunder bl.a. af hensyn til en offentlig myndigheds
varetagelse af sine opgaver på det strafferetlige
område, jf. bl.a. § 7, stk. 6. Der er i
persondatalovens § 8, stk. 2, fastsat særlige
videregivelsesregler for den offentlige forvaltning
vedrørende bl.a. oplysninger om strafbare forhold.
Oplysninger, der er omfattet af persondataloven, kan
overføres til opbevaring i arkiv efter reglerne i
arkivlovgivningen, jf. persondatalovens § 14.
De grundlæggende behandlingsregler i
rammeafgørelsens artikel 3, som er beskrevet ovenfor i pkt.
2.2.2.2., må efter Justitsministeriets opfattelse antages
indholdsmæssigt at svare til, hvad der følger af
behandlingsreglerne i persondatalovens kapitel 4, herunder navnlig
bestemmelserne i § 5 og § 14. Dette
gælder således bl.a. i relation til reglen i
rammeafgørelsens artikel 3, stk. 1, 2. pkt.,
(sammenholdt med artikel 3, stk. 2), som udtrykker et
proportionalitetsprincip.
Rammeafgørelsen vurderes således ikke at
nødvendiggøre lovændringer på dette
punkt.
4.2.2.2. Der er i persondatalovens
§ 7 fastsat særlige regler om behandling af
oplysninger om racemæssig eller etnisk baggrund, politisk,
religiøs eller filosofisk overbevisning,
fagforeningsmæssige tilhørsforhold og oplysninger om
helbredsforhold eller seksuelle forhold.
Efter bestemmelsen må der behandles personoplysninger,
hvis den registrerede samtykker hertil, eller hvis behandlingen er
nødvendig til en række nærmere angivne
formål, herunder bl.a. af hensyn til en offentlig myndigheds
varetagelse af sine opgaver på det strafferetlige
område, jf. bl.a. § 7, stk. 6.
Som nævnt ovenfor i pkt. 2.2.2.3. følger det af
rammeafgørelsens artikel 6, at de nævnte typer af
følsomme personoplysninger kun må behandles, når
det er strengt nødvendigt, og når der er fastsat
passende sikkerhedsgarantier i den nationale lovgivning.
Rammeafgørelsen fastsætter således (i
princippet) strengere betingelser for, hvornår danske
myndigheder på området kan behandle sådanne
personoplysninger end, hvad der i dag følger af
persondatalovens § 7. Det skal dog bemærkes, at det
i praksis formentlig ikke vil være muligt at angive nogen
væsentlig forskel på kriterierne
»nødvendigt« og »strengt
nødvendigt«. Det gælder således bl.a. i
relation til politiets mv. adgang til at behandle de nævnte
typer af følsomme personoplysninger med henblik på
kriminalitetsbekæmpelse, f.eks. i forbindelse med opklaring
af et politisk motiveret mord.
I overensstemmelse med rammeafgørelsens artikel 6 vil
det blive fastsat i den bekendtgørelse, som vil blive
udstedt i henhold til den foreslåede nye § 72 a i
persondataloven, at der i forbindelse med det politimæssige
og strafferetlige samarbejde inden for EU alene vil kunne behandles
følsomme personoplysninger, hvis det er strengt
nødvendigt (og ikke som efter persondataloven, hvis det er
nødvendigt).
4.2.2.3. Rammeafgørelsens
artikel 7 (om automatiserede afgørelser) kan efter
Justitsministeriets opfattelse ikke antages at
nødvendiggøre lovændringer. Der henvises herved
til pkt. 2.2.2.4. ovenfor, hvor bestemmelsen er nærmere
omtalt. Hvis der i Danmark ønskes indført
automatiserede afgørelser på det strafferetlige
område, vil de krav, som opstilles i artikel 7, i den
forbindelse skulle iagttages.
4.2.2.4. Der er i
rammeafgørelsens artikel 11-15 fastsat en række
detaljerede regler om, i hvilket omfang en medlemsstat må
viderebehandle personoplysninger, der modtages fra eller stilles
til rådighed af en anden medlemsstat, herunder om
medlemsstaten kan videregive sådanne oplysninger til
henholdsvis myndigheder i tredjelande eller internationale organer
og private. Om bestemmelsernes indhold henvises nærmere til
pkt. 2.2.2.5.-2.2.2.9. ovenfor.
Persondataloven indeholder ikke på samme måde som
rammeafgørelsen særlige regler om adgangen for danske
myndigheder (dvs. politi, anklagemyndighed, kriminalforsorg og
domstole) til at viderebehandle personoplysninger, som modtages fra
eller stilles til rådighed af myndigheder i andre
medlemsstater. Om sådanne personoplysninger kan
viderebehandles må således - medmindre der gælder
særlige regler på området - afgøres ud fra
behandlingsreglerne i persondatalovens kapitel 4, herunder i
praksis navnlig bestemmelserne i § 5 og
§§ 6-8.
Der er dog i persondatalovens § 27 fastsat
særlige regler om overførsel af oplysninger til
tredjelande. Det fremgår af stk. 1, at der kun må
overføres oplysninger til et tredjeland, hvis dette land
sikrer et tilstrækkeligt beskyttelsesniveau. Derudover kan
der overføres oplysninger til et tredjeland, hvis en af de i
stk. 3, nr. 1-8, nævnte betingelser er opfyldt.
Herudover skal persondatalovens almindelige behandlingsregler,
herunder i §§ 5-8, være opfyldt ved
overførsel af oplysninger til tredjelande.
Persondatalovens § 27 om overførsel af
personoplysninger til tredjelande svarer i et vist omfang til, hvad
der følger af rammeafgørelsens artikel 13. Den
pågældende bestemmelse indeholder imidlertid (i
modsætning til rammeafgørelsens artikel 13) bl.a. ikke
et krav om, at der som udgangspunkt skal foreligge samtykke fra den
medlemsstat, der har afgivet oplysningen. Rammeafgørelsens
artikel 13 indeholder således skærpede krav for
overførsel af oplysninger til tredjelande (og internationale
organer) i forhold til de krav, der følger af
persondataloven.
Efter Justitsministeriets opfattelse
nødvendiggør bestemmelserne i rammeafgørelsens
artikel 11-15 imidlertid ikke lovændringer. De
pågældende bestemmelser fastsætter som
nævnt nogle grænser for, hvordan danske myndigheder kan
anvende personoplysninger, som myndighederne har modtaget i
forbindelse med det politimæssige og strafferetlige
samarbejde i EU. Dette gælder, hvad enten der er tale om
personoplysninger, der er »modtaget« eller
»stillet til rådighed«. Danske myndigheder
på området vil derfor, uden at en lovændring er
påkrævet, være forpligtet til at overholde de
betingelser, der følger af artikel 11-15. Det betyder bl.a.,
at der ikke vil kunne ske viderebehandling (ud over, hvad der er
tilladt efter artikel 11-15 i rammeafgørelsen) på
grundlag af forvaltningslovens § 31, hvorefter en
forvaltningsmyndighed, i det omfang den er berettiget til at
videregive en oplysning, også er forpligtet til at
gøre det på begæring af en anden
forvaltningsmyndighed, hvis oplysningen er af betydning for
myndighedens virksomhed eller en afgørelse, som myndigheden
skal træffe.
Noget tilsvarende er i øvrigt bl.a. lagt til grund i
forbindelse med gennemførelsen af
EU-retshjælpskonventionen (af 29. maj 2000) i dansk ret. Der
henvises herved til forarbejderne til lov nr. 258 af 8. maj 2002
(som er gengivet i Folketingstidende 2001-2002, 2. samling,
Tillæg A, side 3377).
Ud fra informative hensyn vil der i den bekendtgørelse,
som vil blive udstedt i henhold til den foreslåede nye
§ 72 a i persondataloven, blive medtaget bestemmelser,
som afspejler rammeafgørelsens regulering på det
nævnte punkt. I overensstemmelse med det, som er
anført ovenfor under pkt. 4.1.5., vil Justitsministeriet i
forbindelse med udformningen af bekendtgørelsen tage endelig
stilling til den nærmere gennemførelse af de
omhandlede bestemmelser i rammeafgørelsen.
4.2.2.5. For så vidt
angår forholdet mellem på den ene side
rammeafgørelsens bestemmelser om viderebehandling af
personoplysninger og på den anden side de danske regler om
aktindsigt mv. bemærkes følgende:
Som nævnt ovenfor i pkt. 2.2.2.7. indebærer
rammeafgørelsens artikel 14, at personoplysninger, som
modtages fra eller stilles til rådighed af en anden
medlemsstat, kun i begrænset omfang (af de kompetente
myndigheder i modtagerstaten) kan videregives til private.
Imidlertid fremgår det af den forklarende betragtning
nr. 18 i rammeafgørelsens præambel, at artikel 14 ikke
vedrører videregivelse af oplysninger til private (f.eks.
forsvarsadvokater og ofre) som led i straffesager.
Efter Justitsministeriets opfattelse kan artikel 14 i
rammeafgørelsen derfor ikke antages at
nødvendiggøre ændringer i reglerne i
retsplejelovens kapitel 66 (§§ 729 a-729 d) om
sigtedes adgang til materiale, som er tilvejebragt af politiet i
forbindelse med strafferetlig forfølgning.
Rammeafgørelsens artikel 14 kan efter
Justitsministeriets opfattelse heller ikke antages at
nødvendiggøre ændringer i den ordning, som
følger af retsplejelovens kapitel 3 a
(§§ 41-41 g) om aktindsigt i bl.a. domme og
kendelser samt andre dokumenter, der vedrører straffesager.
Af de pågældende bestemmelser følger bl.a., at
retten til aktindsigt kan begrænses, hvis det er
nødvendigt af hensyn til forholdet til fremmede magter, jf.
§ 41 b, stk. 3, nr. 1, og § 41 d,
stk. 3, nr. 2. Der er endvidere i medfør af
retsplejelovens § 41 e, stk. 4, 1. pkt., mulighed
for at anonymisere et dokument, der indeholder oplysninger om
enkeltpersoners rent private forhold, således at den
pågældendes identitet ikke fremgår.
Justitsministeriet lægger herved også vægt
på, at det af den forklarende betragtning nr. 31 i
præamblen fremgår, at rammeafgørelsen giver
mulighed for, at der ved gennemførelsen af de principper,
der er fastsat i den, kan tages hensyn til princippet om aktindsigt
i offentlige dokumenter.
Efter offentlighedslovens § 2, stk. 1, 1. pkt.,
gælder loven ikke for sager inden for
strafferetsplejen.
På den anførte baggrund er det sammenfattende
Justitsministeriets opfattelse, at rammeafgørelsens artikel
14 ikke nødvendiggør lovændringer på det
nævnte punkt.
4.2.3. Datakvalitet mv.
Der er i persondatalovens § 5 (og § 14)
fastsat en række regler om bl.a. ajourføring,
rettelse, sletning og arkivering. De pågældende
bestemmelser er beskrevet ovenfor i pkt. 4.2.2., hvortil der
henvises.
Herudover indeholder persondataloven i kapitel 11
(§§ 41-42) regler om behandlingssikkerhed. Der er i
medfør af § 41, stk. 5, udstedt
bekendtgørelser, som bl.a. indeholder regler om registrering
(logning) af anvendelser af personoplysninger.
Endelig kan det nævnes, at persondataloven i kapitel 12
(§§ 43-47) og kapitel 14 (§ 52) indeholder
regler om anmeldelse af behandlinger, der foretages for henholdsvis
den offentlige forvaltning og for domstolene. Af bestemmelserne
følger bl.a., at der i en anmeldelse skal oplyses om
tidspunktet for sletning af oplysninger. For så vidt
angår de behandlinger, som er undtaget fra
anmeldelsespligten, er der i de udstedte bekendtgørelser
på området fastsat regler om bl.a. opbevaring og
sletning af oplysninger samt kontrol med behandling af
oplysninger.
Som det er fremgået ovenfor i pkt. 2.2.3., indeholder
rammeafgørelsen en række bestemmelser (i artikel 4-5
og 8-10), der har til formål at sikre datakvaliteten af
personoplysninger, der udveksles mellem medlemsstaterne mv., og som
har til formål at sikre, at oplysninger ikke opbevares
længere tid end nødvendigt.
Persondatalovens regulering dækker i vidt omfang de krav
til datakvalitet mv., som følger af de
pågældende bestemmelser i rammeafgørelsen. I den
forbindelse bemærkes bl.a., at rammeafgørelsens
artikel 4 ikke rejser spørgsmål i forhold til den
særlige berigtigelsesregel, som fremgår af
retsplejelovens § 221, jf. herved rammeafgørelsens
artikel 4, stk. 4.
Visse af rammeafgørelsens bestemmelser om datakvalitet
mv. afspejles dog ikke direkte i persondataloven (med
tilhørende bekendtgørelser). Det drejer sig bl.a. om
rammeafgørelsens artikel 8, som fastsætter nogle krav
til verifikation af kvaliteten af de oplysninger, der videregives
eller stilles til rådighed, og krav om, at modtageren af
oplysninger straks underrettes, hvis det konstateres, at der er
videregivet urigtige oplysninger, eller at oplysningerne er
ulovligt videregivet.
Danske myndigheder vil, uden at en lovændring er
påkrævet, være forpligtet til at overholde de
krav og betingelser, som følger af de pågældende
bestemmelser.
Ud fra informative hensyn vil der i den bekendtgørelse,
som vil blive udstedt i henhold til den foreslåede nye
§ 72 a i persondataloven, blive medtaget bestemmelser,
som afspejler rammeafgørelsens regulering på det
nævnte punkt. I overensstemmelse med det, som er
anført ovenfor under pkt. 4.1.5., vil Justitsministeriet i
forbindelse med udformningen af bekendtgørelsen tage endelig
stilling til den nærmere gennemførelse af de
omhandlede bestemmelser i rammeafgørelsen.
4.2.4. Den registreredes
rettigheder
4.2.4.1. Som nævnt ovenfor i
pkt. 4.2.1. finder persondataloven generelt anvendelse på
behandling af personoplysninger, herunder også behandlinger
der foretages inden for det strafferetlige område af politi,
anklagemyndighed, kriminalforsorg samt domstole.
Det følger dog af persondatalovens § 2,
stk. 4, at bestemmelserne i lovens kapitel 8 (om
oplysningspligt over for den registrerede) og
§§ 35-37 og § 39 (om bl.a. den
registreredes ret til berigtigelse, sletning eller blokering af
oplysninger, der er urigtige mv., samt ret til underretning af
tredjemand, som har modtaget oplysninger, der er berigtiget mv.)
ikke finder anvendelse på behandlinger, der foretages for
henholdsvis domstolene og politi og anklagemyndighed inden for det
strafferetlige område. Herudover fremgår det af
persondatalovens § 2, stk. 4, at bestemmelserne i
lovens kapitel 9 (om den registreredes indsigtsret) heller ikke
finder anvendelse på behandling af personoplysninger, der
foretages for domstolene inden for det strafferetlige
område.
4.2.4.2. Persondataloven
indeholder i kapitel 8 (§§ 28-30) bestemmelser om
den dataansvarlige myndigheds oplysningspligt over for den
registrerede. De pågældende regler gælder som
nævnt ovenfor ikke for behandling af personoplysninger, som
foretages for politi, anklagemyndighed og domstole inden for det
strafferetlige område.
Rammeafgørelsens artikel 16 forpligter medlemsstaterne
til at sikre, at den registrerede er underrettet om myndighedernes
indsamling og behandling af personoplysninger i henhold til den
nationale lovgivning. Artikel 16 overlader det således til
medlemsstaterne at fastsætte de nærmere bestemmelser
for den registreredes ret til at blive informeret og undtagelserne
herfra. Underretning kan bl.a. ske generelt, f.eks. gennem
lovgivning eller ved offentliggørelse af en oversigt over
behandlingerne, jf. nærmere ovenfor under pkt. 2.2.4.2.
Efter Justitsministeriets opfattelse giver den nærmere
rækkevidde af artikel 16 anledning til tvivl. Efter
bestemmelsen overlades det således til medlemsstaterne at
fastsætte de nærmere bestemmelser for den registreredes
ret til at blive informeret og undtagelserne herfra, og artikel 16
overlader således medlemsstaterne et meget betydeligt
råderum med hensyn til fastlæggelsen af den
nærmere ordning for underretning. Imidlertid synes det at
være forudsat med artikel 16 (sammenholdt med de forklarende
betragtninger nr. 26 og 27), at der - inden for
rammeafgørelsens anvendelsesområde - i et vist omfang
skal gælde en underretningspligt, hvis nærmere
udformning det dog som nævnt er op til medlemsstaterne at
fastlægge.
Der kan i den forbindelse peges på, at en anmeldelse til
tilsynsmyndighederne i dag efter persondataloven bl.a. skal
indeholde oplysninger om behandlingens betegnelse og formål
mv., jf. herved § 43, stk. 2 (for den offentlige
forvaltning) og § 52 (for domstolene).
Tilsynsmyndighederne fører efter persondatalovens
§ 54, stk. 1, en fortegnelse over anmeldte
behandlinger. Herudover følger det af § 54,
stk. 2, at en dataansvarlig skal stille en række angivne
oplysninger om alle de behandlinger, som udføres for
vedkommende, til rådighed for enhver, som anmoder
derom.
Denne pligt til (på begæring) at stille
oplysninger til rådighed vil - i lyset af
rammeafgørelsen - blive udbygget i den bekendtgørelse
om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for
EU, som Justitsministeriet vil udstede i henhold til den
foreslåede nye § 72 a i persondataloven. I
overensstemmelse med, hvad der er angivet i betragtning nr. 27 i
rammeafgørelsens præambel, påtænkes det
således fastsat i bekendtgørelsen, at danske
myndigheder, der foretager behandling af personoplysninger som
angivet i rammeafgørelsen, vil skulle offentliggøre
en oversigt over behandlingerne, som indeholder en overordnet
beskrivelse af, i hvilke sammenhænge den
pågældende myndighed modtager og behandler
personoplysninger fra andre medlemsstater. Der påtænkes
ikke herudover fastsat regler om, at der skal ske individuel
underretning af den registrerede. Justitsministeriet vil i
øvrigt - som nævnt ovenfor under pkt. 4.1.5. - tage
endelig stilling til den nærmere gennemførelse af
rammeafgørelsens artikel 16 i dansk ret i forbindelse med
udformningen af den pågældende
bekendtgørelse.
4.2.4.3. Der er i persondatalovens
kapitel 9 (§§ 31-34) fastsat regler om den
registreredes indsigtsret.
Efter § 31, stk. 1, har en registreret person -
efter begæring - ret til indsigt i en række oplysninger
om vedkommende selv (egenacces). Dette gælder dog bl.a. ikke,
hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for afgørende hensyn til
private eller offentlige interesser, herunder bl.a. statens
sikkerhed, den offentlige sikkerhed eller forebyggelse,
efterforskning, afsløring og retsforfølgning i
straffesager, eller hvis der i øvrigt er grundlag for at
gøre undtagelser fra indsigtsretten efter reglerne i
offentlighedslovens § 2 samt §§ 7-11 og
§ 14. Der henvises til persondatalovens § 32,
stk. 1 og 2.
Herudover følger det af persondatalovens
§ 32, stk. 5, at justitsministeren under visse
betingelser kan træffe bestemmelse om, at der generelt
gøres undtagelse fra retten til indsigt i oplysninger, der
behandles af offentlige myndigheder på det strafferetlige
område, for så vidt bestemmelsen i § 32,
stk. 1, jf. § 30, må antages at
medføre, at begæringer om ret til indsigt i
almindelighed må afslås. Med hjemmel i denne
bestemmelse er der fastsat nærmere regler om egenacces i
bekendtgørelse nr. 218 af 27. marts 2001 om behandling af
personoplysninger i Det Centrale Kriminalregister (med senere
ændringer). Bekendtgørelsen indeholder i kapitel 3
(§§ 11-14) regler om registrerede personers adgang
til oplysninger om sig selv.
Reglerne i persondatalovens kapitel 9 om indsigtsret finder
som tidligere nævnt ikke anvendelse på behandlinger,
der foretages for domstolene inden for det strafferetlige
område, jf. lovens § 2, stk. 4, 1. pkt. Her
gælder reglerne om aktindsigt i domme og kendelser samt andre
dokumenter, der vedrører straffesager (i retsplejelovens
§§ 41-41g).
Der er - som tidligere nævnt - endvidere i
retsplejelovens §§ 729 a-729 d fastsat regler om
sigtedes adgang til materiale, som er tilvejebragt af politiet i
forbindelse med strafferetlig forfølgning.
Som nævnt ovenfor i pkt. 2.2.4.3. fastsætter
rammeafgørelsens artikel 17, at en registreret person har
ret til at modtage nærmere angivne oplysninger fra den
dataansvarlige eller - alternativt - en bekræftelse fra den
nationale tilsynsmyndighed på, at der er foretaget alle
fornødne kontroller. Indsigtsretten kan begrænses i
den nationale lovgivning, hvis en sådan begrænsning
under hensyn til den pågældende persons legitime
interesser er en nødvendig og proportionel foranstaltning af
en række nærmere angivne grunde.
Særligt med hensyn til domstolene kan der rejses det
spørgsmål, om den indsigtsret, som registrerede
personer skal have efter rammeafgørelsens artikel 17, kan
anses for dækket af de gældende regler på
området. Det skyldes, at persondatalovens regler om egenacces
ikke gælder for domstolene inden for det strafferetlige
område, og at de regler i retsplejeloven om aktindsigt, som
regulerer domstolenes forhold, ikke tager sigte på
registrerede personers adgang til oplysninger af den i artikel 17
omhandlede karakter, men mere bredt vedrører
spørgsmålet om aktindsigt i domme og kendelser samt
dokumenter udarbejdet af domstolene som led i behandlingen af en
straffesag (dvs. uafhængigt af, om der findes oplysninger i
dokumenterne om den begærende selv).
Domstolene vil i praksis ikke være involveret i
informationsudveksling med andre medlemsstaters myndigheder inden
for det strafferetlige område, idet dette varetages af politi
og anklagemyndighed. Det betyder, at domstolene ikke vil være
i besiddelse af oplysninger omfattet af rammeafgørelsens
artikel 17, uden at de pågældende oplysninger i samme
omfang også vil foreligge hos politi og anklagemyndighed.
Justitsministeriet finder derfor, at det vil være
hensigtsmæssigt med en ordning, hvorefter kompetencen til at
træffe afgørelse om indsigtsbegæringer (inden
for rammeafgørelsens anvendelsesområde) ligger hos
vedkommende politidirektør.
I overensstemmelse hermed agter Justitsministeriet i den
bekendtgørelse, som vil blive udstedt i henhold til den
foreslåede nye § 72 a i persondataloven, at medtage
en bestemmelse, hvorefter kompetencen til at behandle anmodninger
om indsigt i personoplysninger, som hidrører fra andre
medlemsstater, placeres hos vedkommende politidirektør (der
vil skulle afgøre sådanne anmodninger på
grundlag af de materielle regler i persondatalovens kapitel 9). Som
en konsekvens heraf vil domstolene skulle henvise eventuelle
indsigtsbegæringer (inden for rammeafgørelsens
anvendelsesområde) til vedkommende politidirektør.
Justitsministeriet vil i øvrigt - som nævnt ovenfor
under pkt. 4.1.5 - tage endelig stilling til den nærmere
gennemførelse af rammeafgørelsens artikel 17 i dansk
ret i forbindelse med udformningen af den pågældende
bekendtgørelse.
4.2.4.4. Som nævnt ovenfor i
pkt. 3.2.1. finder bestemmelserne i bl.a. persondatalovens
§ 37 om den registreredes ret til berigtigelse, sletning
eller blokering af oplysninger, der er urigtige mv., samt ret til
underretning af tredjemand, som har modtaget oplysninger, der er
berigtiget mv., ikke anvendelse på behandlinger, der
foretages for henholdsvis domstolene og politi og anklagemyndighed
inden for det strafferetlige område, jf. herved
persondatalovens § 2, stk. 4.
Efter rammeafgørelsens artikel 18 har den registrerede
ret til at forvente, at den dataansvarlige myndighed overholder
sine forpligtelser i henhold til rammeafgørelsens
bestemmelser om berigtigelse, sletning og blokering (eller at der
eventuelt sker »referenceangivelse«). Den registrerede
skal kunne gøre denne rettighed gældende direkte over
for den dataansvarlige eller gennem den nationale tilsynsmyndighed.
Der henvises nærmere til pkt. 2.2.4.4. ovenfor.
Efter Justitsministeriets opfattelse må bestemmelsen i
artikel 18 mest nærliggende forstås således, at
den går videre end de forpligtelser, som umiddelbart
påhviler dataansvarlige myndigheder efter
rammeafgørelsens artikel 8 og 9. Bestemmelsen må
således formentlig antages at skulle forstås
sådan, at den indebærer, at registrerede personer skal
have (en selvstændig) ret til at kræve berigtigelse mv.
inden for de rammer, som i øvrigt er angivet i artikel 18.
Efter Justitsministeriets opfattelse må gennemførelse
af rammeafgørelsens artikel 18 i dansk ret derfor antages at
nødvendiggøre en ændring af den gældende
retstilstand.
De nærmere regler om registrerede personers ret til at
kræve berigtigelse mv. af oplysninger, som videregives eller
stilles til rådighed i forbindelse med
grænseoverskridende politisamarbejde eller retligt samarbejde
i kriminalsager inden for EU, vil blive fastsat i den
bekendtgørelse, som Justitsministeriet vil udstede i henhold
til den foreslåede nye § 72 a i
persondataloven.
4.2.5. Behandlingssikkerhed
Persondataloven indeholder i kapitel 11
(§§ 41-42) regler om behandlingssikkerhed. Reglerne
finder også anvendelse inden for det strafferetlige
område.
Det fremgår af persondatalovens § 41,
stk. 1, at personer, virksomheder mv., som udfører
arbejde under den dataansvarlige eller databehandleren, og som
får adgang til oplysninger, som udgangspunkt kun må
behandle disse efter instruks fra den dataansvarlige.
Lovens § 41, stk. 3, indeholder de overordnede
krav til den dataansvarliges behandlingssikkerhed. Ifølge
bestemmelsen skal den dataansvarlige træffe de
fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt
eller ulovligt tilintetgøres, fortabes eller forringes samt
mod, at de kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med loven. Tilsvarende gælder
for databehandlere.
I tilknytning til reglerne i lovens § 41,
stk. 3, har Justitsministeriet udstedt to
bekendtgørelser om sikkerhedsforanstaltninger til
beskyttelse af personoplysninger, som behandles for henholdsvis den
offentlige forvaltning og domstolene. Bekendtgørelserne
indeholder detaljerede regler om de sikkerhedsforanstaltninger, den
dataansvarlige skal træffe i forbindelse med behandling af
personoplysninger, som foretages helt eller delvis ved hjælp
af elektronisk databehandling.
Det følger af persondatalovens § 42,
stk. 1, at når en dataansvarlig overlader en behandling
af oplysninger til en databehandler, skal den dataansvarlige sikre
sig, at databehandleren kan træffe de i § 41,
stk. 3-5, nævnte tekniske og organisatoriske
sikkerhedsforanstaltninger, og påse, at dette sker.
Gennemførelse af en behandling ved en databehandler skal ske
i henhold til en skriftlig aftale mellem parterne, jf. lovens
§ 42, stk. 2.
Rammeafgørelsens bestemmelser om behandlingssikkerhed i
artikel 21 og 22 svarer i vidt omfang til reglerne i
persondatalovens kapitel 11 med tilhørende
bekendtgørelser. Efter Justitsministeriets opfattelse kan
bestemmelserne ikke antages at nødvendiggøre
lovændringer, men der vil dog formentlig være behov for
visse ændringer af de administrativt fastsatte regler om
behandlingssikkerhed med henblik på at gennemføre
rammeafgørelsen i dansk ret, jf. herved nærmere
rammeafgørelsens artikel 22, stk. 2.
4.2.6. Tilsyn,
domstolsprøvelse, erstatning og sanktioner
4.2.6.1. I persondatalovens
kapitel 16 (§§ 55-66) er der fastsat bestemmelser om
Datatilsynets organisation og virksomhed. Tilsynet med domstolene
føres dog af Domstolsstyrelsen og retterne, jf. reglerne i
kapitel 17 (§§ 67 og 68).
En gennemførelse af rammeafgørelsens regler om
tilsyn, jf. herved artikel 25, som er beskrevet ovenfor i pkt.
2.2.6.1., kan efter Justitsministeriets opfattelse ikke antages at
nødvendiggøre ændringer i de regler, som
følger af persondatalovens kapitel 16 og 17.
4.2.6.2. Også kravene i
rammeafgørelsens artikel 23 om, at den nationale
tilsynsmyndighed høres inden behandlingen af visse former
for personoplysninger, må efter Justitsministeriets
opfattelse antages at være opfyldt ved den gældende
anmeldelsesordning for den offentlige forvaltning (i
persondatalovens kapitel 12) og for domstolene (i persondatalovens
kapitel 14).
Høringspligten efter rammeafgørelsens artikel 23
gælder ved behandling af personoplysninger om
racemæssig eller etnisk baggrund, politisk, religiøs
eller filosofisk overbevisning og fagforeningsmæssigt
tilhørsforhold samt oplysninger om helbredsforhold eller
seksuelle forhold, eller når formen for behandling,
især anvendelse af nye teknologier, mekanismer eller
procedurer, i andre henseender indebærer særlige risici
for den registreredes grundlæggende rettigheder og
frihedsrettigheder, herunder især dennes privatliv.
Efter persondatalovens § 45, stk. 1, nr. 1,
skal Datatilsynets udtalelse indhentes, inden der
iværksættes en række forskellige former for
behandlinger af personoplysninger, som på grund af deres art,
omfang eller formål indebærer særlige risici for
personers rettigheder eller frihedsrettigheder. Dette gælder
således bl.a. med hensyn til behandling af de (i
rammeafgørelsens artikel 23) nævnte former for
følsomme personoplysninger. Herudover er det i lovens
§ 45, stk. 2, bestemt, at justitsministeren kan
fastsætte regler om, at tilsynets udtalelse skal indhentes
inden iværksættelsen af andre (end de i lovens
§ 45, stk. 1) nævnte behandlinger.
Bestemmelsen vil f.eks. kunne tænkes anvendt i
tilfælde, hvor der anvendes ny teknologi, der indebærer
særlige risici for registrerede personer. Bemyndigelsen i
§ 45, stk. 2, er på nuværende tidspunkt
ikke udnyttet.
4.2.6.3. Som nævnt ovenfor i
pkt. 2.2.6.3. skal der efter rammeafgørelsens artikel 20
være adgang for den registrerede til at indbringe
krænkelser af de rettigheder, der garanteres vedkommende i
henhold til national lovgivning, for en domstol.
Der findes ikke udtrykkelige regler herom i persondataloven,
idet adgangen til domstolsprøvelse allerede er sikret i
dansk ret, jf. herved grundlovens § 63, stk. 1,
hvorefter domstolene er berettigede til at påkende ethvert
spørgsmål om øvrighedsmyndighedens
grænser. Der vil således bl.a. være mulighed for
domstolsprøvelse af sager afgjort af Datatilsynet på
baggrund af f.eks. en klage fra den registrerede, og
rammeafgørelsens artikel 20 nødvendiggør
derfor ikke lovændringer.
4.2.6.4. Persondataloven
indeholder i § 69 bestemmelser om erstatning. Det
fremgår således, at den dataansvarlige skal erstatte
skade, der er forvoldt ved behandling i strid med loven, medmindre
det godtgøres, at skaden ikke kunne have været
afværget ved den agtpågivenhed og omhu, der må
kræves i forbindelse med behandling af oplysninger.
Gennemførelse af rammeafgørelsens artikel 19,
stk. 1 - hvorefter enhver, der har lidt skade som følge
af en ulovlig handling eller enhver anden handling, der er
uforenelig med de nationale bestemmelser, der vedtages til
gennemførelse af rammeafgørelsen, er berettiget til
erstatning fra den kompetente myndighed -
nødvendiggør derfor efter Justitsministeriets
opfattelse ikke lovændringer.
Efter Justitsministeriets opfattelse må det derimod
antages at være nødvendigt, at der i den
bekendtgørelse (som vil blive udstedt i henhold til den
foreslåede nye § 72 a i persondataloven) medtages
bestemmelser, som åbner mulighed for, at danske myndigheder
kan yde erstatning/refusion i alle tilfælde omfattet af
rammeafgørelsens artikel 19, stk. 2.
4.2.6.5. Som nævnt i pkt.
2.2.6.5. forpligter rammeafgørelsens artikel 24
medlemsstaterne til at fastsætte sanktioner, som skal finde
anvendelse i tilfælde af overtrædelse af de
bestemmelser, der vedtages til gennemførelse af
rammeafgørelsen.
Persondatalovens § 70, stk. 2 og 4, indeholder
bestemmelser om strafansvar i forbindelse med behandling af
personoplysninger, der udføres for offentlige myndigheder.
Hertil kommer, at der efter omstændighederne vil kunne
pålægges strafansvar i medfør af straffelovens
kapitel 16 om forbrydelser i offentlig tjeneste eller hverv mv.,
ligesom der også er mulighed for at pålægge
offentligt ansatte et disciplinært ansvar.
Det må antages, at den danske lovgivning allerede lever
op til bestemmelsen i rammeafgørelsens artikel 24 om
sanktioner. Det vurderes derfor ikke at være
nødvendigt at fastsætte yderligere straf- og
disciplinærretlige foranstaltninger end dem, der allerede
gælder til sikring af, at lovgivningen overholdes fuldt
ud.
4.2.7. Øvrige bestemmelser
mv.
Rammeafgørelsen, herunder bestemmelserne om bl.a.
forholdet mellem rammeafgørelsen (artikel 26) og aftaler
indgået med tredjelande og forholdet mellem
rammeafgørelsen og tidligere vedtagne EU-retsakter (artikel
28), som er beskrevet ovenfor under pkt. 2.2.7., rejser efter
Justitsministeriets opfattelse ikke i øvrigt
spørgsmål om lovændringer.
Det bemærkes i den forbindelse, at det bl.a.
følger af betragtning nr. 39 i rammeafgørelsens
præambel, at adskillige EU-retsakter indeholder specifikke
bestemmelser om beskyttelse af personoplysninger, og at navnlig
bestemmelserne om Europols, Eurojusts,
Schengeninformationssystemets (SIS) og toldinformationssystemets
(CIS) funktionsmåde samt de bestemmelser, der giver
medlemsstaternes myndigheder direkte adgang til datasystemer i
visse andre medlemsstater, ikke (bør) berøres af
rammeafgørelsen.
5. De økonomiske og
administrative konsekvenser for det offentlige
Lovforslaget skønnes ikke at have økonomiske
eller administrative konsekvenser for det offentlige af
betydning.
6. De økonomiske og
administrative konsekvenser for erhvervslivet mv.
Lovforslaget har ingen økonomiske og administrative
konsekvenser for erhvervslivet.
7. De administrative konsekvenser for
borgere
Lovforslaget har ingen administrative konsekvenser for
borgerne.
8. De miljømæssige
konsekvenser
Lovforslaget har ingen miljømæssige
konsekvenser.
9. Forholdet til EU-retten
Lovforslaget gennemfører en EU-rammeafgørelse om
beskyttelse af personoplysninger i forbindelse med politisamarbejde
og retligt samarbejde i kriminalsager i dansk ret.
10. Hørte myndigheder mv.
Et lovudkast har været sendt i høring hos
følgende myndigheder, organisationer mv.:
Præsidenten for Østre Landsret, Præsidenten
for Vestre Landsret, samtlige byretter, Den Danske Dommerforening,
Domstolsstyrelsen, Dommerfuldmægtigforeningen, HK
Landsklubben Danmarks Domstole, Rigsadvokaten, Rigspolitiet,
Foreningen af Offentlige Anklagere, Politiforbundet i Danmark,
Dansk Fængselsforbund, Foreningen af
Fængselsinspektører,
Vicefængselsinspektører og Økonomichefer, HK
Landsklubben Kriminalforsorgen, Datatilsynet, Advokatrådet,
Danske Advokater, Landforeningen af Beskikkede Advokater, Amnesty
International, Dansk Retspolitisk Forening, Dansk Told &
Skatteforbund, Det Kriminalpræventive Råd, Institut for
Menneskerettigheder, Kriminalpolitisk Forening (KRIM) og
Retssikkerhedsfonden.
11. Sammenfattende skema
| | Positive konsekvenser/ mindreudgifter | Negative konsekvenser/ merudgifter |
Økonomiske konsekvenser for stat,
regioner og kommuner | Ingen af betydning | Ingen af betydning |
Administrative konsekvenser for stat,
regioner og kommuner | Ingen af betydning | Ingen af betydning |
Økonomiske konsekvenser for
erhvervslivet | Ingen | Ingen |
Administrative konsekvenser for
erhvervslivet | Ingen | Ingen |
Miljømæssige
konsekvenser | Ingen | Ingen |
Administrative konsekvenser for
borgerne | Ingen | Ingen |
Forholdet til EU-retten | Lovforslaget gennemfører en
EU-rammeafgørelse om beskyttelse af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager i dansk ret |
Bemærkninger til lovforslagets enkelte
bestemmelser
I lovforslagets bilag 1 er de foreslåede bestemmelser
sammenholdt med de nugældende bestemmelser.
Til § 1
Til nr. 1 (§ 72 a)
Det foreslås, at der som ny § 72 a i
persondataloven indsættes en bemyndigelsesbestemmelse,
hvorefter justitsministeren kan fastsætte nærmere
regler om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for
Den Europæiske Union mv.
Med den foreslåede bemyndigelsesbestemmelse gives
justitsministeren alene adgang til (inden for
rammeafgørelsens anvendelsesområde) at fastsætte
en nærmere administrativ regulering, som indebærer en
styrkelse af databeskyttelsen, når det gælder
udveksling af personoplysninger i forbindelse med politisamarbejde
og retligt samarbejde i kriminalsager inden for EU. Der er
således ikke tale om en generel bemyndigelse til
justitsministeren på området, og det vil ikke
være muligt at anvende bemyndigelsesbestemmelsen til at
indføre en regulering, som indebærer en forringelse af
databeskyttelsen på området (set i forhold til, hvad
der gælder efter persondataloven).
Formålet med den foreslåede
bemyndigelsesbestemmelse er med andre ord at skabe det
fornødne retsgrundlag for dansk opfyldelse af de krav til
databeskyttelsen, som fremgår af rammeafgørelsen. Det
bemærkes i den forbindelse, at der i en bekendtgørelse
på området - ud fra informative hensyn - vil kunne
medtages bestemmelser, som afspejler rammeafgørelsens
regulering (men som det ikke er nødvendigt at medtage for at
opfylde rammeafgørelsen i dansk ret).
De regler, som vil blive fastsat i henhold til den
foreslåede bemyndigelsesbestemmelse, vil også omfatte
databeskyttelse i forbindelse med danske myndigheders
politimæssige og strafferetlige samarbejde med Schengen-lande
(for tiden Island, Norge, Schweiz og Liechtenstein), jf. i den
forbindelse udtrykket »mv.« i den foreslåede nye
§ 72 a.
Et udkast til en bekendtgørelse på området
vil blive forelagt for tilsynsmyndighederne - Datatilsynet og
Domstolsstyrelsen - til udtalelse, jf. herved persondatalovens
§ 57 og § 68, stk. 2.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.
Til § 2
Det foreslås, at loven træder i kraft den 1. april
2009.
Til § 3
Bestemmelsen vedrører lovens territoriale
gyldighed.
Det følger af bestemmelsen, at loven ikke gælder
for Færøerne og Grønland. Loven kan dog ved
kongelig anordning sættes i kraft for rigsmyndighedernes
behandling af oplysninger på Færøerne med de
afvigelser, som de særlige færøske forhold
tilsiger. Loven kan endvidere ved kongelig anordning sættes i
kraft for Grønland med de afvigelser, som de særlige
grønlandske forhold tilsiger.
Bilag 1
Lovforslaget sammenholdt med gældende
lov
Gældende
formulering | | Lovforslaget |
| | | |
| | | § 1 I lov nr. 429 af 31. maj 2000 om
behandling af personoplysninger, som ændret ved § 7
i lov nr. 280 af 25. april 2001, § 6 i lov nr. 552 af 24.
juni 2005 og § 2 i lov nr. 519 af 6. juni 2007, foretages
følgende ændring: |
| | | |
| | | 1. Efter
§ 72 indsættes |
| | | Ȥ 72
a. Justitsministeren kan fastsætte nærmere
regler om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for
Den Europæiske Union mv.« |
Bilag 2
RÅDETS RAMMEAFGØRELSE
af . . .
om beskyttelse af personoplysninger i
forbindelse med politisamarbejde
og retligt samarbejde i kriminalsager
RÅDET FOR DEN EUROPÆISKE UNION HAR -
under henvisning til traktaten om Den Europæiske Union,
særlig artikel 30, 31 og 34, stk. 2,
litra b),
under henvisning til forslag fra Kommissionen,
under henvisning til udtalelse fra Europa-Parlamentet
1), og
ud fra følgende betragtninger:
(1) Den Europæiske Union har sat sig som
målsætning at opretholde og udvikle et område med
frihed, sikkerhed og retfærdighed, inden for hvilket
fælles handling mellem medlemsstaterne inden for
politisamarbejde og retligt samarbejde i kriminalsager skal
tilvejebringe et højt tryghedsniveau.
(2) Fælles handling vedrørende politisamarbejde i
henhold til artikel 30, stk. 1, litra b), i
traktaten om Den Europæiske Union, og fælles handling
vedrørende retligt samarbejde i kriminalsager i henhold til
artikel 31, stk. 1, litra a), i traktaten om Den
Europæiske Union indebærer, at det er nødvendigt
at behandle relevante oplysninger, som bør være
omfattet af passende bestemmelser om beskyttelse af
personoplysninger.
(3) Retsforskrifter, der falder ind under
anvendelsesområdet for afsnit VI i traktaten om Den
Europæiske Union, bør styrke politisamarbejdet og det
retlige samarbejde i kriminalsager for så vidt angår
såvel effektiviteten af dette samarbejde som dets legitimitet
og overensstemmelse med de grundlæggende rettigheder, navnlig
retten til privatlivets fred og til beskyttelse af
personoplysninger. Fælles standarder for behandling og
beskyttelse af personoplysninger, der behandles med henblik
på forebyggelse og bekæmpelse af kriminalitet, kan
bidrage til at nå begge mål.
(4) Haagprogrammet om styrkelse af frihed, sikkerhed og
retfærdighed i Den Europæiske Union, som Det
Europæiske Råd vedtog den 4. november 2004,
understregede behovet for en nyskabende tilgang til udvekslingen
på tværs af grænserne af oplysninger
vedrørende retshåndhævelse under streng
overholdelse af en række væsentlige krav på
databeskyttelsesområdet og opfordrede Kommissionen til senest
ved udgangen af 2005 at fremsætte forslag i den henseende.
Dette udmøntede sig i Rådets og Kommissionens
handlingsplan om gennemførelse af Haagprogrammet om
styrkelse af frihed, sikkerhed og retfærdighed i Den
Europæiske Union.
2)(5)
Udvekslingen af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager, navnlig i
medfør af princippet om oplysningernes tilgængelighed
som fastsat i Haagprogrammet, bør være omfattet af
klare regler, der øger den gensidige tillid mellem de
kompetente myndigheder og sikrer, at de relevante oplysninger
beskyttes på en måde, der udelukker enhver
forskelsbehandling af dette samarbejde mellem medlemsstaterne og
samtidig respekterer fysiske personers grundlæggende
rettigheder fuldt ud. De eksisterende instrumenter på
europæisk plan er ikke tilstrækkelige.
Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.
oktober 1995 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger
3)finder ikke anvendelse på
behandlingen af personoplysninger i forbindelse med en aktivitet,
der falder uden for anvendelsesområdet for
fællesskabsretten, såsom de aktiviteter, der er
omhandlet i afsnit VI i traktaten om Den Europæiske
Union, og under ingen omstændigheder på behandling i
forbindelse med den offentlige sikkerhed, forsvaret, statens
sikkerhed og statens aktiviteter på det strafferetlige
område.
(6) Denne rammeafgørelse finder kun anvendelse på
oplysninger, der er indsamlet eller behandlet af kompetente
myndigheder med henblik på at forebygge, efterforske,
afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner. Rammeafgørelsen bør overlade det til
medlemsstaterne at fastsætte mere præcise bestemmelser
på nationalt plan om, hvilke andre formål der skal
anses for uforenelige med det formål, hvortil oplysningerne
oprindeligt er indsamlet. Generelt bør viderebehandling til
historiske, statistiske eller videnskabelige formål ikke
betragtes som uforenelig med det oprindelige formål med
behandlingen.
(7) Denne rammeafgørelses anvendelsesområde er
begrænset til behandling af personoplysninger, der
videregives eller stilles til rådighed mellem medlemsstater.
Denne begrænsning bør på ingen måde
berøre EU's kompetence til at vedtage retsakter om
indsamling og behandling af personoplysninger på nationalt
plan eller det formålstjenlige i EU's mulighed herfor i
fremtiden.
(8) For at fremme udvekslingen af oplysninger i EU agter
medlemsstaterne at sikre, at den standard for databeskyttelse, der
anvendes i behandlingen af oplysninger på nationalt plan,
stemmer overens med standarden i denne rammeafgørelse. For
så vidt angår national databeskyttelse er denne
rammeafgørelse er ikke til hinder for, at medlemsstaterne
kan yde sikkerhedsgarantier for beskyttelse af personoplysninger,
der er mere omfattende end dem, der er fastsat i denne
rammeafgørelse.
(9) Denne rammeafgørelse bør ikke finde
anvendelse på personoplysninger, som en medlemsstat har
opnået inden for denne rammeafgørelses
anvendelsesområde, og som stammer fra denne
medlemsstat.
(10) En indbyrdes tilnærmelse af medlemsstaternes
lovgivninger bør ikke føre til en forringelse af den
databeskyttelse, disse yder, men bør tværtimod have
til formål at sikre et højt beskyttelsesniveau i
EU.
(11) Det er nødvendigt at specificere målene for
databeskyttelsen i forbindelse med politimæssige og retlige
aktiviteter og fastsætte bestemmelser om det lovlige i at
behandle personoplysninger for at sikre, at oplysninger, der
måtte blive udvekslet, er blevet behandlet på lovlig
vis og i overensstemmelse med de grundlæggende principper
vedrørende datakvalitet. Samtidig bør politiets,
toldvæsenets samt retslige og andre kompetente myndigheders
legitime aktiviteter på ingen måde bringes i
fare.
(12) Princippet om oplysningernes rigtighed skal anvendes
på en måde, så der tages hensyn til den
pågældende behandlings art og formål. Eksempelvis
er oplysninger navnlig i retssager baseret på en subjektiv
opfattelse af enkeltpersoner, og er i visse tilfælde helt
umulige at kontrollere. Kravet om oplysningernes rigtighed kan
derfor ikke vedrøre et udsagns rigtighed, men blot det
forhold, at der er fremsat et specifikt udsagn.
(13) Det bør kun være tilladt at arkivere
oplysninger i en særskilt samling, hvis oplysningerne ikke
længere er nødvendige for og ikke længere
anvendes til forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner. Det bør desuden
være tilladt at arkivere oplysninger i en særskilt
samling, hvis de arkiverede oplysninger lagres i en database med
andre oplysninger på en sådan måde, at de ikke
længere kan anvendes til forebyggelse, efterforskning,
afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner. Hvor længe det er passende at arkivere
oplysningerne bør afhænge af formålene med
arkiveringen og de registreredes legitime interesser. I forbindelse
med arkivering til historiske formål kan der overvejes en
meget lang arkiveringsperiode.
(14) Oplysningerne kan også slettes ved at destruere
datamediet.
(15) Hvad angår urigtige, ufuldstændige eller
ikke-ajourførte oplysninger, som videregives til eller
stilles til rådighed for en anden medlemsstat og
viderebehandles af kvasiretlige myndigheder, dvs. myndigheder med
beføjelser til at træffe retligt bindende
afgørelser, bør disse berigtiges, slettes eller
blokeres i henhold til national ret.
(16) For at sikre et højt beskyttelsesniveau for
enkeltpersoners personoplysninger kræves der fælles
bestemmelser for vurdering af lovligheden og kvaliteten af
oplysninger, der behandles af de kompetente myndigheder i andre
medlemsstater.
(17) Det er hensigtsmæssigt på EU-plan at
fastsætte de betingelser, under hvilke medlemsstaternes
kompetente myndigheder bør have lov til at videregive
personoplysninger modtaget fra andre medlemsstater til og stille
personoplysninger til rådighed for myndigheder og private i
medlemsstaterne. I mange tilfælde er videregivelse af
personoplysninger fra retsvæsenet, politiet eller
toldvæsenet til private nødvendig af hensyn til
retsforfølgning af strafbare handlinger eller
afværgelse af en umiddelbar og alvorlig trussel mod den
offentlige sikkerhed og forebyggelse af alvorlige krænkelser
af enkeltpersoners rettigheder, f.eks. ved at foretage
indberetninger om forfalskninger af værdipapirer til banker
og kreditinstitutter, eller for så vidt angår
køretøjskriminalitet ved at videregive
personoplysninger til forsikringsselskaber for at forebygge ulovlig
handel med stjålne motorkøretøjer eller
forbedre betingelserne for at finde stjålne
motorkøretøjer i udlandet. Dette er ikke ensbetydende
med overførsel af politimæssige eller retlige opgaver
til private.
(18) Reglerne i denne rammeafgørelse for videregivelse
af personoplysninger fra retsvæsenet, politiet eller
toldvæsenet til private bør ikke vedrører
videregivelse af oplysninger til private (f.eks. forsvarsadvokater
og ofre) som led i straffesager.
(19) Den yderligere behandling af personoplysninger, der er
modtaget fra eller stillet til rådighed af den kompetente
myndighed i en anden medlemsstat, især yderligere
videregivelse eller tilrådighedsstillelse af sådanne
oplysninger, bør være omfattet af fælles regler
på EU-plan.
(20) Når personoplysninger kan viderebehandles, efter at
den medlemsstat, som oplysningerne er modtaget fra, har givet sit
samtykke, bør hver medlemsstat kunne fastsætte de
nærmere regler for en sådant samtykke, herunder ved
f.eks. at give sit generelle samtykke for så vidt angår
bestemte kategorier af oplysninger eller bestemte lande.
(21) Når personoplysninger kan viderebehandles med
henblik på administrative procedurer, omfatter disse
procedurer også aktiviteter, der udføres af
regulerings- eller tilsynsorganer.
(22) Politiets, toldvæsenets samt retslige og andre
kompetente myndigheders legitime aktiviteter kan kræve, at
der sendes oplysninger til myndigheder i tredjestater eller
internationale organer, der har forpligtelser med hensyn til
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner.
(23) Når personoplysninger overføres fra en
medlemsstat til tredjestater eller internationale organer,
bør disse oplysninger principielt være sikret en
passende grad af beskyttelse.
(24) Videregivelse af personoplysninger fra en medlemsstat til
tredjestater eller internationale organer bør i princippet
forudsætte, at den medlemsstat, hvor oplysningerne er
indsamlet, har givet sin godkendelse til at videregive disse. Hver
medlemsstat bør kunne fastsætte de nærmere
regler for en sådan godkendelse, herunder ved f.eks. at give
sin generelle godkendelse for så vidt angår bestemte
kategorier af oplysninger eller bestemte tredjestater.
(25) Hvis arten af truslen mod en medlemsstats eller en
tredjestats offentlige sikkerhed er så umiddelbar, at det er
umuligt at indhente forhåndsgodkendelse i tide, bør
den kompetente myndighed af hensyn til et effektivt
retshåndhævelsessamarbejde kunne videregive de
relevante personoplysninger til den pågældende
tredjestat uden en sådan forhåndsgodkendelse. Det samme
kan også være tilfældet, hvis andre af en
medlemsstats væsentlige interesser af samme betydning
står på spil, f.eks. hvis en medlemsstats kritiske
infrastruktur er genstand for en overhængende og alvorlig
trussel, eller hvis en medlemsstats finansielle system kunne blive
udsat for alvorlig forstyrrelse.
(26) Det kan være nødvendigt at underrette den
registrerede om behandlingen af oplysningerne om vedkommende,
navnlig i tilfælde af særlig alvorlige indgreb i den
pågældendes rettigheder som følge af
foranstaltninger vedrørende hemmelig indsamling af
oplysninger, for at give den registrerede mulighed for effektiv
retsbeskyttelse.
(27) Medlemsstaterne bør sikre, at den registrerede
underrettes om, at indsamling, behandling eller overførsel
af personoplysninger til en anden medlemsstat kan finde sted eller
finder sted med henblik på at forebygge, efterforske,
afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner. De nærmere bestemmelser for den registreredes ret
til at blive informeret og undtagelserne herfra bør
fastlægges i den nationale lovgivning. Dette kan ske
generelt, f.eks. gennem lovgivning eller ved
offentliggørelse af en oversigt over behandlingerne.
(28) For at sikre beskyttelsen af personoplysninger uden at
bringe formålet med strafferetlige efterforskninger i fare er
det nødvendigt at definere den registreredes
rettigheder.
(29) Nogle medlemsstater har fastlagt bestemmelser om
aktindsigt for den registrerede i kriminalsager via en ordning,
hvor den nationale tilsynsmyndighed i stedet for den registrerede
har uhindret adgang til alle personoplysninger og også kan
berigtige, slette eller ajourføre urigtige oplysninger. I
sådanne tilfælde med indirekte adgang kan den nationale
lovgivning i disse medlemsstater bestemme, at den nationale
tilsynsmyndighed kun skal meddele den registrerede, at alle
nødvendige kontroller er foretaget. Disse medlemsstater
åbner også mulighed for, at den registrerede kan
få direkte adgang i særlige tilfælde, f.eks.
adgang til strafferegistret, for at fremskaffe udskrifter fra egne
strafferegistre eller adgang til politiets
afhøringsrapport.
(30) Det er hensigtsmæssigt at fastsætte
fælles regler for fortrolighed og sikkerhed i forbindelse med
behandlingen, for erstatningsansvar og sanktioner, hvis de
kompetente myndigheder anvender oplysningerne ulovligt, og for de
retsmidler, der står til rådighed for den registrerede.
Det er imidlertid op til den enkelte medlemsstat at
fastlægge, hvordan dens erstatningsbestemmelser skal
udformes, og hvilke sanktioner der skal finde anvendelse ved
overtrædelser af de nationale
databeskyttelsesbestemmelser.
(31) Denne rammeafgørelse giver mulighed for, at der
ved gennemførelsen af de principper, der er fastsat heri,
kan tages hensyn til princippet om aktindsigt i offentlige
dokumenter.
(32) Når det er nødvendigt at beskytte
personoplysninger i forbindelse med behandling, der i kraft af
omfang eller karakter indebærer særlige risici for den
registreredes grundlæggende rettigheder og
frihedsrettigheder, f.eks. behandling ved hjælp af nye
teknologier, mekanismer eller procedurer, er det
hensigtsmæssigt at sikre, at de kompetente nationale
tilsynsmyndigheder konsulteres forud for oprettelsen af registre,
som sigter mod behandlingen af disse oplysninger.
(33) Oprettelsen i medlemsstaterne af tilsynsmyndigheder, der
udfører deres opgaver helt uafhængigt, indgår
som en væsentlig del af beskyttelsen af personoplysninger,
der behandles i forbindelse med politisamarbejde og retligt
samarbejde mellem medlemsstaterne.
(34) De tilsynsmyndigheder, der allerede er oprettet i
medlemsstaterne i henhold til direktiv 95/46/EF, bør
også kunne påtage sig ansvaret for de opgaver, der skal
udføres af de nationale tilsynsmyndigheder, der oprettes i
henhold til denne rammeafgørelse.
(35) Disse tilsynsmyndigheder bør have de
fornødne beføjelser til at varetage deres opgaver,
herunder efterforsknings- og interventionsbeføjelser,
navnlig i tilfælde af klager fra enkeltpersoner, eller
beføjelse til at indbringe sager for en retsinstans. De
bør bidrage til at tilvejebringe gennemsigtighed i
databehandling, der udføres i de medlemsstater, de
henhører under. Disse myndigheders beføjelser
bør imidlertid ikke gribe ind i de specifikke regler, der er
fastsat for straffesager eller i retternes
uafhængighed.
(36) I artikel 47 i traktaten om Den Europæiske
Union fastsættes det, at intet heri skal berøre
traktaterne om oprettelse af De Europæiske Fællesskaber
og senere traktater og akter om ændring eller supplering af
disse. Denne rammeafgørelse berører følgelig
ikke beskyttelsen af personoplysninger i medfør af
fællesskabsretten, navnlig som fastsat i direktiv 95/46/EF,
Europa-Parlamentets og Rådets forordning (EF)
nr. 45/2001 af 18. december 2000 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger
i fællesskabsinstitutionerne og -organerne og om fri
udveksling af sådanne oplysninger
4)og Europa-Parlamentets og Rådets
direktiv 2002/58/EF af 12. juli 2002 om behandling af
personoplysninger og beskyttelse af privatlivets fred i den
elektroniske kommunikationssektor (direktiv om databeskyttelse
inden for elektronisk kommunikation)
5).
(37) Denne rammeafgørelse berører ikke
bestemmelserne vedrørende ulovlig adgang til oplysninger i
Rådets rammeafgørelse 2005/222/RIA af
24. februar 2005 om angreb på informationssystemer
6).
(38) Denne rammeafgørelse berører ikke
gældende forpligtelser, der påhviler medlemsstaterne
eller EU i henhold til bilaterale og/eller multilaterale aftaler,
der er indgået med tredjestater. Fremtidige aftaler
bør være i overensstemmelse med reglerne om udveksling
med tredjestater.
(39) Adskillige retsakter vedtaget på grundlag af afsnit
VI i traktaten om Den Europæiske Union indeholder specifikke
bestemmelser om beskyttelse af personoplysninger, der udveksles
eller på anden måde behandles i henhold til disse
retsakter. I nogle tilfælde udgør disse bestemmelser
et komplet og konsistent regelkompleks, der omfatter alle relevante
aspekter af databeskyttelse (principper vedrørende
datakvalitet, regler vedrørende datasikkerhed, regulering af
de registreredes rettigheder og sikkerhedsgarantier samt
organisering af tilsyn og ansvar), og de regulerer disse forhold
mere detaljeret end denne rammeafgørelse. Den relevante
række af databeskyttelsesbestemmelser i disse retsakter,
navnlig bestemmelserne om Europols, Eurojusts,
Schengeninformationssystemets (SIS) og toldinformationssystemets
(CIS) funktionsmåde samt de bestemmelser der giver
medlemsstaternes myndigheder direkte adgang til datasystemer i
visse andre medlemsstater, bør ikke berøres af denne
rammeafgørelse. Det samme gælder
databeskyttelsesbestemmelserne om automatisk videregivelse mellem
medlemsstater af DNA-profiler, fingeraftryksoplysninger og
nationale registreringsdata for motorkøretøjer i
henhold til Rådets afgørelse 2008/./RIA af .
7)om intensivering af det
grænseoverskridende samarbejde, navnlig om bekæmpelse
af terrorisme og grænseoverskridende kriminalitet
8).
(40) I andre tilfælde er anvendelsesområdet for
bestemmelserne om databeskyttelse i retsakter vedtaget på
grundlag af afsnit VI i traktaten om Den Europæiske Union
mere begrænset. Ofte stilles der i disse retsakter specifikke
betingelser til den medlemsstat, der modtager personoplysninger fra
andre medlemsstater med hensyn til det formål, hvortil den
kan anvende de pågældende oplysninger, mens der med
hensyn til andre aspekter af databeskyttelse henvises til
Europarådets konvention om beskyttelse af det enkelte
menneske i forbindelse med elektronisk databehandling af
personoplysninger af 28. januar 1981 eller til national
lovgivning. I det omfang bestemmelserne i de retsakter, der
opstiller betingelser for de modtagende medlemsstater med hensyn
til anvendelse eller yderligere videregivelse af personoplysninger,
er mere restriktive end de tilsvarende bestemmelser i denne
rammeafgørelse, bør førstnævnte
bestemmelser også fortsat gælde. For så vidt
angår alle andre aspekter bør reglerne i denne
rammeafgørelse imidlertid finde anvendelse.
(41) Denne rammeafgørelse berører ikke
Europarådets konvention om beskyttelse af det enkelte
menneske i forbindelse med databehandling af personoplysninger,
tillægsprotokollen til denne konvention af 8.
november 2001 eller Europarådets konventioner om retligt
samarbejde i kriminalsager.
(42) Målet for denne rammeafgørelse, nemlig
fastsættelse af fælles regler for beskyttelse af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager, kan ikke i tilstrækkelig grad
opfyldes af medlemsstaterne og kan derfor på grund af den
påtænkte handlings omfang og virkninger bedre nås
på EU-plan; EU kan derfor træffe foranstaltninger i
overensstemmelse med subsidiaritetsprincippet, jf. artikel 5 i
traktaten om oprettelse af Det Europæiske Fællesskab og
artikel 2 i traktaten om Den Europæiske Union. I
overensstemmelse med proportionalitetsprincippet, jf.
artikel 5 i traktaten om oprettelse af Det Europæiske
Fællesskab, går denne rammeafgørelse ikke ud
over, hvad der er nødvendigt for at nå dette
mål.
(43) Det Forenede Kongerige deltager i denne
rammeafgørelse i overensstemmelse med artikel 5 i
protokollen om integration af Schengenreglerne i Den
Europæiske Union, der er knyttet som bilag til traktaten om
Den Europæiske Union og til traktaten om oprettelse af Det
Europæiske Fællesskab, og artikel 8, stk. 2,
i Rådets afgørelse 2000/365/EF af
29. maj 2000 om anmodningen fra Det Forenede Kongerige
Storbritannien og Nordirland om at deltage i visse bestemmelser i
Schengenreglerne
9).
(44) Irland deltager i denne rammeafgørelse i
overensstemmelse med artikel 5 i protokollen om integration af
Schengenreglerne i Den Europæiske Union, der er knyttet som
bilag til traktaten om Den Europæiske Union og til traktaten
om oprettelse af Det Europæiske Fællesskab, og
artikel 6, stk. 2, i Rådets afgørelse
2002/192/EF af 28. februar 2002 om anmodningen fra Irland
om at deltage i visse bestemmelser i Schengenreglerne
10).
(45) For Islands og Norges vedkommende er denne
rammeafgørelse et led i udviklingen af de bestemmelser i
Schengenreglerne, jf. aftalen indgået mellem Rådet for
Den Europæiske Union og Republikken Island og Kongeriget
Norge om disse to staters associering i gennemførelsen,
anvendelsen og udviklingen af Schengenreglerne
11), der falder ind under det
område, der er nævnt i artikel 1, litra H og
I, i Rådets afgørelse 1999/437/EF af
17. maj 1999 om visse gennemførelsesbestemmelser
til nævnte aftale
12).
(46) For Schweiz' vedkommende er denne rammeafgørelse
et led i udviklingen af de bestemmelser i Schengenreglerne, jf.
aftalen indgået mellem Den Europæiske Union, Det
Europæiske Fællesskab og Det Schweiziske Forbund om Det
Schweiziske Forbunds associering i gennemførelsen,
anvendelsen og udviklingen af Schengenreglerne
13), der falder ind under det
område, der er nævnt i artikel 1, litra H og
I, i Rådets afgørelse 1999/437/EF af
17. maj 1999 sammenholdt med artikel 3, i
Rådets afgørelse 2008/149/EF
14)om indgåelse af nævnte
aftale på Den Europæiske Unions og Det Europæiske
Fællesskabs vegne.
(47) For Liechtensteins vedkommende er denne beslutning et led
i udviklingen af de bestemmelser i Schengenreglerne, jf.
protokollen mellem Den Europæiske Union, Det Europæiske
Fællesskab og Det Schweiziske Forbund og Fyrstendømmet
Liechtenstein om Fyrstendømmet Liechtensteins
tiltrædelse af aftalen mellem Den Europæiske Union, Det
Europæiske Fællesskab og Det Schweiziske Forbund om Det
Schweiziske Forbunds associering i gennemførelsen,
anvendelsen og udviklingen af Schengenreglerne, der falder ind
under det område, der er nævnt i artikel 1, litra H og
I, i afgørelse 1999/437/EF sammenholdt med artikel 3 i
afgørelse 2008/262/EF
15)af 28. februar 2008 om undertegnelse
af nævnte protokol på Den Europæiske Unions
vegne.
(48) Denne rammeafgørelse respekterer de
grundlæggende rettigheder og de principper, der navnlig
anerkendes i Den Europæiske Unions charter om
grundlæggende rettigheder
16). Denne rammeafgørelse tager
sigte på at sikre fuld respekt for retten til privatlivets
fred og beskyttelse af personoplysninger, jf. artikel 7
og 8 i charteret -
VEDTAGET FØLGENDE RAMMEAFGØRELSE:
Artikel 1
Formål og
anvendelsesområde
1. Denne rammeafgørelse har til formål at sikre
en høj grad af beskyttelse af fysiske personers
grundlæggende rettigheder og frihedsrettigheder, herunder
navnlig deres ret til privatlivets fred, for så vidt
angår behandlingen af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager,
jf. afsnit VI i traktaten om Den Europæiske Union,
og samtidig sikre en høj grad af offentlig sikkerhed.
2. Medlemsstaterne beskytter i overensstemmelse med denne
rammeafgørelse fysiske personers grundlæggende
rettigheder og frihedsrettigheder og navnlig deres ret til
privatlivets fred, når personoplysninger med henblik på
at forebygge, efterforske, afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner
a) videregives
eller er videregivet eller stilles til rådighed eller er
stillet til rådighed mellem medlemsstater
b) videregives
eller er videregivet eller stilles til rådighed eller er
stillet til rådighed af medlemsstater for myndigheder eller
informationssystemer, der er oprettet på grundlag af afsnit
VI i traktaten om Den Europæiske Union, eller
c) videregives
eller er videregivet eller stilles til rådighed eller er
stillet til rådighed for de kompetente myndigheder i
medlemsstaterne af myndigheder eller informationssystemer, der er
oprettet på grundlag af traktaten om Den Europæiske
Union eller traktaten om oprettelse af Det Europæiske
Fællesskab.
3. Denne rammeafgørelses bestemmelser anvendes på
behandling af personoplysninger, der helt eller delvis foretages
elektronisk, samt på ikke-elektronisk behandling af
personoplysninger, der er eller vil blive indeholdt i et
register.
4. Denne rammeafgørelse berører ikke
væsentlige nationale sikkerhedsinteresser og specifikke
efterretningsaktiviteter vedrørende national
sikkerhed.
5. Denne rammeafgørelse er ikke til hinder for, at
medlemsstaterne med henblik på beskyttelse af
personoplysninger, som indsamles eller behandles på nationalt
plan, kan yde sikkerhedsgarantier, der er mere omfattende end dem,
der er fastsat i denne rammeafgørelse.
Artikel 2
Definitioner
I denne rammeafgørelse forstås ved:
a)
»personoplysninger«: oplysninger vedrørende en
identificeret eller identificerbar fysisk person (»den
registrerede«); ved identificerbar person forstås en
person, der direkte eller indirekte kan identificeres, bl.a. ved et
identifikationsnummer eller et eller flere elementer, der er
særlige for denne persons fysiske, fysiologiske, psykiske,
økonomiske, kulturelle eller sociale identitet
b)
»behandling af personoplysninger« og
»behandling«: enhver operation eller række af
operationer - med eller uden brug af elektroniske midler - som
personoplysninger gøres til genstand for, f.eks. indsamling,
registrering, systematisering, lagring, tilpasning eller
ændring, udlæsning, søgning, brug, videregivelse
ved transmission, formidling eller enhver anden form for
overladelse, sammenstilling eller samkøring samt blokering,
sletning eller tilintetgørelse
c)
»blokering«: markering af lagrede personoplysninger med
den hensigt at begrænse den fremtidige behandling af disse
oplysninger
d) »register
med personoplysninger« og »register«: enhver
struktureret samling af personoplysninger, der er
tilgængelige efter bestemte kriterier, hvad enten denne
samling er placeret centralt, decentralt eller er fordelt på
et funktionsbestemt eller geografisk grundlag
e)
»registerfører«: ethvert organ, der behandler
personoplysninger på den registeransvarliges vegne
f)
»modtager«: ethvert organ, som oplysningerne
videregives til
g) »den
registreredes samtykke«: enhver frivillig, specifik og
informeret viljestilkendegivelse, hvorved den registrerede
indvilliger i, at personoplysninger, der vedrører den
pågældende, gøres til genstand for
behandling
h)
»kompetente myndigheder«: agenturer eller organer, der
er oprettet ved retsakter vedtaget af Rådet i henhold til
afsnit VI i traktaten om Den Europæiske Union, samt politi,
toldvæsen, retslige myndigheder og andre kompetente
myndigheder i medlemsstaterne, der i henhold til national lov har
beføjelse til at behandle personoplysninger inden for denne
rammeafgørelses anvendelsesområde
i) »den
registeransvarlige«: den fysiske eller juridiske person,
offentlige myndighed, institution eller ethvert andet organ, der
alene eller sammen med andre afgør, til hvilket formål
og med hvilke hjælpemidler der må foretages behandling
af personoplysninger
j)
»referenceangivelse«: markering af lagrede
personoplysninger, uden at det er hensigten at begrænse den
fremtidige behandling af disse oplysninger
k) »at
gøre anonym«: at ændre personoplysninger
på en sådan måde, at detaljer om personlige eller
materielle forhold ikke længere eller kun med en
uforholdsmæssig stor indsats af tid, omkostninger og
arbejdskraft kan knyttes til en identificeret eller identificerbar
fysisk person.
Artikel 3
Princippet om lovmæssighed,
proportionalitet og formål
1. De kompetente myndigheder må kun indsamle
personoplysninger til udtrykkeligt angivne og legitime formal inden
for rammerne af deres opgaver, og oplysningerne må kun
behandles til det formål, som de er indsamlet til.
Behandlingen af oplysningerne skal være lovlig og
tilstrækkelig, relevant og stå i et rimeligt forhold
til de formål, hvortil oplysningerne er indsamlet.
2. Viderebehandling til et andet formål er tilladt,
hvis
a) denne behandling
ikke er uforenelig med de formål, hvortil oplysningerne er
indsamlet,
b) de kompetente
myndigheder er bemyndiget til at behandle disse oplysninger med
henblik på et sådant andet formål efter de for
dem gældende retsforskrifter, og
c) denne behandling
er nødvendig for og hensigtsmæssig i forhold til dette
andet formål.
Derudover må de kompetente myndigheder viderebehandle de
videregivne personoplysninger til historiske, statistiske eller
videnskabelige formål, såfremt medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
Artikel 4
Berigtigelse, sletning og
blokering
1. Personoplysninger skal berigtiges, hvis de er urigtige, og
om muligt og nødvendigt suppleres eller
ajourføres.
2. Personoplysninger skal slettes eller gøres anonyme,
når de ikke længere er nødvendige til de
formål, hvortil de er indsamlet eller viderebehandles
på lovlig vis. Denne bestemmelse berører ikke
arkivering af oplysninger i en særskilt samling i en passende
periode i henhold til den nationale lovgivning.
3. Personoplysninger skal ikke slettes, men blokeres, hvis der
er rimelig grund til at tro, at en sletning kunne påvirke den
registreredes legitime interesser. Blokerede oplysninger må
kun behandles til det formål, der gjorde, at de ikke blev
slettet.
4. Når personoplysningerne er indeholdt i en
retsafgørelse eller et register, der er knyttet til
udstedelsen af en retsafgørelse, skal berigtigelsen,
sletningen eller blokeringen gennemføres i henhold til de
nationale retsplejeregler.
Artikel 5
Fastlæggelse af sletnings- og
undersøgelsesfrister
Der fastsættes passende frister for sletningen af
personoplysninger eller regelmæssig undersøgelse af
behovet for lagringen af oplysningerne. Det sikres ved
proceduremæssige foranstaltninger, at disse tidsfrister
overholdes.
Artikel 6
Behandling af særlige
kategorier af oplysninger
Behandling af personoplysninger om racemæssig eller
etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning og fagforeningsmæssigt tilhørsforhold
samt oplysninger om helbredsforhold eller seksuelle forhold er kun
tilladt, når det er strengt nødvendigt, og når
der er fastsat passende sikkerhedsgarantier i den nationale
lovgivning.
Artikel 7
Elektroniske individuelle
afgørelser
En afgørelse, der har negative retlige virkninger for
den registrerede eller påvirker vedkommende i væsentlig
grad, og som udelukkende er baseret på elektronisk
databehandling med henblik på vurdering af visse individuelle
aspekter vedrørende den registreredes person, er kun
tilladt, hvis dette er tilladt ved lov, som også indeholder
bestemmelser til beskyttelse af den registreredes legitime
interesser.
Artikel 8
Verifikation af kvaliteten af de
oplysninger, der videregives eller stilles til rådighed
1. De kompetente myndigheder træffer alle rimelige
foranstaltninger til at sikre, at personoplysninger, der er
urigtige, ufuldstændige eller ikke ajourførte, ikke
videregives eller stilles til rådighed. I dette øjemed
verificerer de kompetente myndigheder så vidt muligt
kvaliteten af personoplysningerne, før de videregives eller
stilles til rådighed. I forbindelse med al videregivelse af
oplysninger skal der så vidt muligt tilføjes
tilgængelige oplysninger, der gør det muligt for den
modtagende medlemsstat at vurdere, om oplysningerne er rigtige,
fuldstændige, ajourførte og pålidelige. Hvis
personoplysningerne blev videregivet uanmodet, vurderer den
modtagende myndighed straks, om oplysningerne er nødvendige
til det formål, hvortil de blev videregivet.
2. Hvis det konstateres, at der er videregivet urigtige
oplysninger, eller at oplysningerne er videregivet ulovligt,
meddeles dette straks modtageren. Oplysningerne skal berigtiges,
slettes eller blokeres omgående i overensstemmelse med
artikel 4.
Artikel 9
Tidsfrister
1. Ved videregivelsen eller tilrådighedsstillelsen af
oplysningerne kan den videregivende myndighed i overensstemmelse
med den nationale lovgivning og i henhold til artikel 4 og 5
henvise til de frister for opbevaring af oplysninger, efter hvis
udløb modtageren skal slette eller blokere oplysningerne
eller undersøge, om der fortsat er behov for dem. Denne
forpligtelse gælder ikke, hvis oplysningerne ved
udløbet af disse frister skal bruges i forbindelse med en
igangværende undersøgelse, retsforfølgelse af
lovovertrædelser eller håndhævelse af
strafferetlige sanktioner.
2. Når den videregivende myndighed har undladt at angive
en tidsfrist i henhold til stk. 1, gælder de i
artikel 4 og 5 omhandlede tidsfrister for opbevaring af
oplysninger, som er omhandlet i den modtagende medlemsstats
nationale lovgivning.
Artikel 10
Registrering og dokumentation
1. Hver videregivelse af personoplysninger skal registreres
eller dokumenteres med henblik på at kontrollere, om
databehandlingen er lovlig, samt med henblik på at
udøve egenkontrol og sikre dataenes integritet og
sikkerhed.
2. Registreringer, der foretages, eller dokumentation, der
udarbejdes i henhold til stk. 1, videregives til den
kompetente tilsynsmyndighed på dennes anmodning med henblik
på kontrol af databeskyttelsen. Den kompetente
tilsynsmyndighed anvender kun disse oplysninger med henblik
på kontrol af databeskyttelsen og med henblik på at
sikre en korrekt databehandling og dataenes integritet og
sikkerhed.
Artikel 11
Behandling af personoplysninger, der
modtages fra eller stilles til rådighed af en anden
medlemsstat
Personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstats kompetente myndighed,
må i henhold til kravene i artikel 3, stk. 2, kun
viderebehandles til følgende andre formål end dem,
hvortil de blev videregivet eller stillet til rådighed:
a) forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner i forbindelse med andre straffelovsovertrædelser
eller sanktioner end dem, hvortil de blev videregivet eller stillet
til rådighed
b) andre retlige og
administrative procedurer, som hænger direkte sammen med
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner
c) afværgelse
af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed
eller
d) ethvert andet
formål med forhåndsgodkendelse fra den videregivende
medlemsstat eller med den registreredes samtykke givet i
overensstemmelse med national ret
Derudover må de kompetente myndigheder viderebehandle de
videregivne personoplysninger til historiske, statistiske eller
videnskabelige formål, såfremt medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
Artikel 12
Overholdelse af nationale
begrænsninger for behandling
1. Når specifikke begrænsninger for behandling i
henhold til den videregivende medlemsstats lovgivning under
særlige omstændigheder finder anvendelse på
udveksling af oplysninger mellem de kompetente myndigheder i denne
medlemsstat, gør den videregivende myndighed modtageren
opmærksom på disse begrænsninger. Modtageren
sikrer, at disse begrænsninger overholdes.
2. Ved anvendelse af stk. 1 anvender medlemsstaterne ikke
andre restriktioner for videregivelse af oplysninger til andre
medlemsstater eller agenturer eller organer, der er oprettet i
henhold til afsnit VI i traktaten om Den Europæiske
Union, end dem, der anvendes i de tilsvarende bestemmelser for
videregivelse af oplysninger på nationalt plan.
Artikel 13
Videregivelse til de kompetente
myndigheder i tredjestater eller til internationale organer
1. Medlemsstaterne fastsætter bestemmelser om, at
personoplysninger, der modtages fra eller stilles til
rådighed af den kompetente myndighed i en anden medlemsstat,
kun må videregives til tredjestater eller internationale
organer, hvis
a) det er
nødvendigt for forebyggelse, efterforskning,
afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner
b) den modtagende
myndighed i tredjestaten eller det modtagende internationale organ
har ansvaret for at forebygge, efterforske, afsløre eller
retsforfølge straffelovsovertrædelser eller fuldbyrde
strafferetlige sanktioner
c) den medlemsstat,
hvor oplysningerne er indsamlet, har givet sin godkendelse til at
videregive disse i henhold til sin nationale lovgivning, og
d) den
pågældende tredjestat eller internationale organ sikrer
et tilstrækkeligt beskyttelsesniveau for den
påtænkte behandling af oplysningerne.
2. Videregivelse uden forhåndsgodkendelse i henhold til
stk. 1, litra c), tillades kun, hvis videregivelsen af
oplysningerne er afgørende for forebyggelse af en umiddelbar
og alvorlig trussel mod en medlemsstats eller en tredjestats
offentlige sikkerhed eller en medlemsstats væsentlige
interesser, og forhåndsgodkendelsen ikke kan indhentes i
tide. Den myndighed, der skal give sin godkendelse, skal orienteres
omgående.
3. Uanset stk. 1, litra d), kan personoplysninger
videregives, hvis
a) den nationale
lovgivning i den medlemsstat, der videregiver oplysningerne, giver
mulighed herfor på grund af
i) den
registreredes specifikke legitime interesser eller
ii) legitime
vigtige interesser, navnlig vigtige offentlige interesser,
eller
b) tredjestaten
eller det modtagende internationale organ giver
sikkerhedsgarantier, som den pågældende medlemsstat
anser for tilstrækkelige i henhold til sin nationale
lovgivning.
4. Vurderingen af, om beskyttelsesniveauet i stk. 1,
litra d), er tilstrækkeligt, sker på grundlag af
samtlige de forhold, der har indflydelse på en videregivelse
eller en type videregivelse af oplysninger. Til grund for
vurderingen lægges navnlig oplysningernes art, den eller de
påtænkte behandlingers formål og varighed,
oprindelseslandet og det land eller det internationale organ, der
er slutmodtager, de retsregler - almindelige regler eller
sektorregler - der er i kraft i den pågældende
tredjestat eller det pågældende internationale organ,
samt de regler for god forretningsskik og de
sikkerhedsforanstaltninger, der gælder i landet.
Artikel 14
Videregivelse af oplysninger til
private i medlemsstaterne
1. Medlemsstaterne fastsætter bestemmelser om, at
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstats kompetente myndighed, kun
kan videregives til private, hvis
a) den kompetente
myndighed i den medlemsstat, hvor oplysningerne er indsamlet, har
givet tilladelse til videregivelse i henhold til sin nationale
lovgivning.
b) den
registreredes specifikke legitime interesser ikke forhindrer
videregivelse, og
c) videregivelse af
oplysninger i særlige tilfælde er afgørende for
den kompetente myndighed, der videregiver oplysningerne til en
privat, af hensyn til:
i)
udførelsen af en opgave, den er blevet pålagt ved
lov
ii) forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner
iii)
afværgelse af en umiddelbar og alvorlig trussel mod den
offentlige sikkerhed eller
iv) forebyggelse af
alvorlige krænkelser af enkeltpersoners rettigheder
2. Den kompetente myndighed, der videregiver oplysningerne til
en privatperson, orienterer denne om, hvilke formål
oplysningerne udelukkende må anvendes til.
Artikel 15
Oplysninger på den kompetente
myndigheds anmodning
Efter anmodning orienterer modtageren den kompetente
myndighed, der har videregivet eller stillet personoplysningerne
til rådighed, om behandlingen af disse.
Artikel 16
Oplysningspligt over for den
registrerede
1. Medlemsstaterne sikrer, at den registrerede er underrettet
om myndighedernes indsamling og behandling af personoplysninger i
henhold til den nationale lovgivning.
2. Når personoplysninger er blevet videregivet eller
stillet til rådighed mellem medlemsstater, kan hver
medlemsstat i henhold til de i stk. 1 omhandlede bestemmelser
i dens nationale lovgivning anmode den anden medlemsstat om ikke at
underrette den registrerede. I sådanne tilfælde
underretter sidstnævnte medlemsstat kun den registrerede,
hvis den anden medlemsstats på forhånd har givet sit
samtykke hertil.
Artikel 17
Ret til indsigt
1. Hver registreret person har ret til på anmodning,
fremsat med rimelige mellemrum, uhindret og uden større
ventetid eller større udgifter, at modtage:
a) mindst en
bekræftelse fra den registeransvarlige eller den nationale
tilsynsmyndighed af, om der er videregivet personoplysninger eller
stillet personoplysninger til rådighed om den
pågældende, samt information om de modtagere eller
kategorier af modtagere, oplysningerne er videregivet til, og
meddelelse om, hvilke oplysninger der er omfattet af behandlingen,
eller
b) mindst en
bekræftelse fra den nationale tilsynsmyndighed på, at
der er foretaget alle fornødne kontroller.
2. Medlemsstaterne kan træffe lovmæssige
foranstaltninger, der begrænser retten til indsigt, jf.
stk. 1, litra a), hvis en sådan begrænsning
under hensyn til den pågældende persons legitime
interesser, er en nødvendig og proportionel
foranstaltning:
a) for at
undgå, at der lægges hindringer i vejen for officielle
eller retlige undersøgelser, efterforskninger eller
procedurer
b) for at
undgå, at forebyggelsen, afsløringen, efterforskningen
og retsforfølgning af strafbare handlinger skades, eller af
hensyn til fuldbyrdelsen af strafferetlige sanktioner
c) for at beskytte
den offentlige sikkerhed
d) for at beskytte
den nationale sikkerhed
e) for beskyttelsen
af den registrerede eller andres rettigheder og
frihedsrettigheder.
3. Nægtelse eller begrænsning af adgangen til
oplysninger skal meddeles den registrerede skriftligt. Samtidig
skal de faktiske eller retlige grunde, som afgørelsen hviler
på, også meddeles vedkommende. Sidstnævnte
meddelelse kan undlades, hvis dette kan begrundes i henhold til
stk. 2, litra a)-e). I alle disse tilfælde skal den
registrerede gøres opmærksom på, at han kan
indgive klage til den kompetente nationale tilsynsmyndighed, en
retlig myndighed eller en domstol.
Artikel 18
Ret til berigtigelse, sletning eller
blokering
1. Den registrerede har ret til at forvente, at den
registeransvarlige overholder sine forpligtelser i henhold til
artikel 4, 8 og 9 med hensyn til at berigtige, slette eller
blokere personoplysninger, der følger af denne
rammeafgørelse. Medlemsstaterne bestemmer, hvorvidt den
registrerede kan gøre denne rettighed gældende direkte
overfor den registeransvarlige eller gennem den kompetente
nationale tilsynsmyndighed. Hvis den registeransvarlige
afslår berigtigelse, sletning eller blokering, skal afslaget
meddeles skriftligt, og den registrerede skal orienteres om
mulighederne i henhold til den nationale lovgivning for at indgive
en klage eller indbringe sagen for en retsinstans. Efter
behandlingen af klagen informeres den registrerede om, hvorvidt den
registeransvarlige har handlet korrekt eller ej. Medlemsstaterne
kan også fastsætte, at den registrerede skal
underrettes af den kompetente nationale tilsynsmyndighed om, at der
er foretaget en undersøgelse.
2. Hvis den registrerede gør indsigelse mod rigtigheden
af en personoplysning, og det ikke kan konstateres, om denne
oplysning er rigtig eller ej, kan der anføres en
bemærkning ud for oplysningen.
Artikel 19
Kompensationsret
1. Enhver, der har lidt skade som følge af en ulovlig
behandling eller enhver anden handling, der er uforenelig med de
nationale bestemmelser, der vedtages til gennemførelse af
denne rammeafgørelse, er berettiget til erstatning for den
forvoldte skade fra den registeransvarlige eller en anden
myndighed, der er kompetent i henhold til den nationale
lovgivning.
2. Hvis en kompetent myndighed i en medlemsstat har
videregivet personoplysninger, kan modtageren inden for rammerne af
det ansvar, han i henhold til den nationale lovgivning har over for
den skadelidte, ikke påberåbe sig, at de videregivne
oplysninger var urigtige. Hvis modtageren yder erstatning for en
skade, der er forårsaget af anvendelsen af urigtigt
videregivne oplysninger, refunderer den videregivende kompetente
myndighed modtageren den ydede skadeserstatning under hensyn til et
eventuelt ansvar hos modtageren.
Artikel 20
Klageadgang
Med forbehold af en eventuel administrativ klageadgang, inden
sagen indbringes for en domstol, har den registrerede ret til at
indbringe krænkelser af de rettigheder, der garanteres ham i
henhold til national lovgivning, for en domstol.
Artikel 21
Fortrolighed i forbindelse med
behandlingen
1. Enhver med adgang til personoplysninger, som falder ind
under denne rammeafgørelses anvendelsesområde,
må kun behandle disse oplysninger i deres egenskab af ansatte
i eller efter instruks fra den kompetente myndighed, medmindre
andet er fastsat ved lov.
2. Enhver, der arbejder for en kompetent myndighed i en
medlemsstat, er bundet af alle de databeskyttelsesregler, der
gælder for den pågældende kompetente
myndighed.
Artikel 22
Sikkerhed i forbindelse med
behandlingen
1. Medlemsstaterne fastsætter, at de kompetente
myndigheder skal iværksætte de fornødne tekniske
og organisatoriske foranstaltninger til at beskytte
personoplysninger mod hændelig eller ulovlig
tilintetgørelse, mod hændeligt tab, mod forringelse,
ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig
hvis behandlingen omfatter fremsendelse i et net eller
tilrådighedsstillelse af oplysninger ved at give direkte
elektronisk adgang, og mod enhver anden form for ulovlig
behandling. Der tages i den forbindelse navnlig hensyn til de
risici, som behandlingen indebærer, og arten af de
oplysninger, som skal beskyttes. Disse foranstaltninger skal under
hensyn til det aktuelle tekniske niveau og de omkostninger, som er
forbundet med deres iværksættelse, tilvejebringe et
tilstrækkeligt sikkerhedsniveau i forhold til de risici, som
behandlingen indebærer, og arten af de oplysninger, som skal
beskyttes.
2. Med henblik på elektronisk behandling af oplysninger
træffer hver medlemsstat passende foranstaltninger til at
sikre:
a) at uautoriserede
personer ikke kan få adgang til de anlæg, der benyttes
til behandling af personoplysninger (kontrol med fysisk adgang til
anlæggene)
b) at
databærerne hverken kan læses, kopieres, ændres
eller fjernes af uautoriserede personer (kontrol med
databærere)
c) at forhindre
uautoriseret indlæsning af oplysninger samt uautoriseret
læsning, ændring eller sletning af indlæste
personoplysninger (kontrol med lagring)
d) at
edb-systemerne ikke via datatransmissionsanlæg kan benyttes
af uautoriserede personer (brugerkontrol)
e) at personer med
bemyndigelse til at anvende et elektronisk databehandlingssystem
kun har adgang til de oplysninger, der er omfattet af deres
adgangstilladelse (kontrol med dataadgangen)
f) at det er muligt
at kontrollere og fastslå, til hvilke organer der er blevet
eller kan være blevet videregivet eller stillet
personoplysninger til rådighed ved hjælp af
datakommunikationsudstyr (kontrol med kommunikationsudstyr)
g) at det er muligt efterfølgende at undersøge
og fastslå, hvilke personoplysninger der er indlæst i
edb-systemerne, hvornår og af hvem (kontrol med
indlæsning)
h) at der ikke er
mulighed for ubemyndiget læsning, kopiering, ændring
eller sletning af personoplysninger under overførsler af
disse eller under transport af databærere (kontrol med
transport)
i) at de anvendte
systemer i tilfælde af teknisk uheld kan genetableres
(genopretning)
j) at systemet
fungerer, at indtrufne fejl meldes (pålidelighed), og at
lagrede oplysninger ikke bliver forkerte som følge af
fejlfunktioner i systemet (ægthed).
3. Medlemsstaterne fastsætter, at der som
registerfører kun må udpeges en person, der kan
garantere, at han kan træffe de fornødne tekniske og
organisatoriske foranstaltninger, der er omhandlet i stk. 1,
og overholde de instrukser, der er omhandlet i artikel 21. Den
kompetente myndighed skal kontrollere, at registerføreren
lever op til disse krav.
4. Registerføreren må kun behandle
personoplysninger på grundlag af en retsakt eller en
skriftlig kontrakt.
Artikel 23
Forudgående høring
Medlemsstaterne sikrer, at de kompetente nationale
tilsynsmyndigheder høres inden behandling af
personoplysninger, der vil indgå i et nyt register, der skal
oprettes,
a) når der
behandles særlige kategorier af oplysninger, jf.
artikel 6, eller
b) når formen
for behandling, især anvendelse af nye teknologier,
mekanismer eller procedurer, i andre henseender indebærer
særlige risici for den registreredes grundlæggende
rettigheder og frihedsrettigheder, herunder især dennes
privatliv.
Artikel 24
Sanktioner
Medlemsstaterne træffer de nødvendige
foranstaltninger til at sikre, at denne rammeafgørelses
bestemmelser gennemføres fuldt ud, og de fastsætter
bl.a. sanktioner, der er effektive, står i et rimeligt
forhold til lovovertrædelsen og har afskrækkende
virkning, og som skal finde anvendelse i tilfælde af
overtrædelse af de bestemmelser, der vedtages til
gennemførelse af denne rammeafgørelse.
Artikel 25
Nationale tilsynsmyndigheder
1. Hver medlemsstat fastsætter bestemmelser om, at der
skal udpeges en eller flere offentlige myndigheder, der har til
opgave på dens område at yde rådgivning og
påse overholdelsen af de bestemmelser, medlemsstaten vedtager
til gennemførelse af denne rammeafgørelse. Disse
myndigheder udøver de funktioner, der tillægges dem, i
fuld uafhængighed.
2. Hver tilsynsmyndighed skal navnlig kunne:
a)
iværksætte efterforskninger og bl.a. have adgang til de
oplysninger, der gøres til genstand for en behandling, og
kunne indsamle alle oplysninger, der er nødvendige for at
varetage dens tilsynsopgaver
b) gribe effektivt
ind ved f.eks. at afgive udtalelser forud for
iværksættelsen af behandlinger og sikre en passende
offentliggørelse af disse udtalelser, at beordre oplysninger
blokeret, slettet eller tilintetgjort, midlertidigt eller
definitivt at forbyde en behandling, at udstede en advarsel til den
registeransvarlige eller påtale en overtrædelse over
for den registeransvarlige eller ved at høre nationale
parlamenter eller andre politiske institutioner
c) indbringe
overtrædelser af de nationale bestemmelser, som vedtages til
gennemførelse af denne rammeafgørelse, for
retsinstanserne eller gøre retsinstanserne opmærksom
på disse overtrædelser. Afgørelser truffet af
tilsynsmyndigheden, som går en involveret part imod, kan
indbringes for en retsinstans.
3. Enhver person kan indbringe en sag for enhver
tilsynsmyndighed vedrørende beskyttelse af vedkommendes
rettigheder og frihedsrettigheder i forbindelse med behandlingen af
personoplysninger. Den registrerede underrettes om, hvorledes sagen
følges op.
4. Medlemsstaterne fastsætter, at tilsynsmyndighedernes
medlemmer og ansatte er bundet af de databeskyttelsesbestemmelser,
der gælder for den kompetente myndighed, og også efter
deres fratræden har tavshedspligt for så vidt
angår de fortrolige oplysninger, de har adgang til.
Artikel 26
Forholdet til aftaler med
tredjestater
Denne rammeafgørelse berører ikke forpligtelser,
der påhviler medlemsstaterne eller EU i henhold til
bilaterale og/eller multilaterale aftaler indgået med
tredjestater, som er gældende ved denne
rammeafgørelses vedtagelse.
Ved anvendelsen af disse aftaler foretages overførsel
til en tredjestat af personoplysninger, der er indsamlet i en anden
medlemsstat, i henhold til artikel 13, stk. 1,
litra c), eller, hvis det er relevant, artikel 13,
stk. 2.
Artikel 27
Evaluering
1. Medlemsstaterne aflægger senest den .
17)rapport til Kommissionen om de
nationale foranstaltninger, de har truffet for at sikre, at denne
rammeafgørelse overholdes fuldt ud, og navnlig også
for så vidt angår de bestemmelser, der allerede skal
overholdes, når oplysningerne indsamles. Kommissionen
undersøger især følgerne af disse bestemmelser
med henblik på anvendelsesområdet for denne
rammeafgørelse, som fastlagt i artikel 1,
stk. 2.
2. Kommissionen aflægger rapport til Europa-Parlamentet
og Rådet inden et år om resultatet af den evaluering,
der er omhandlet i stk. 1, og vedlægger sin rapport
eventuelle forslag til ændringer til denne
rammeafgørelse.
Artikel 28
Forbindelse til tidligere vedtagne
EU-retsakter
I tilfælde, hvor der i en retsakt, der er vedtaget
før datoen for denne rammeafgørelses
ikrafttræden og i henhold til afsnit VI i traktaten om Den
Europæiske Union, og som regulerer udveksling af
personoplysninger mellem medlemsstater eller medlemsstaters
udpegede myndigheders adgang til informationssystemer udviklet i
medfør af traktaten om oprettelse af Det Europæiske
Fællesskab, er fastsat særlige bestemmelser om den
modtagende medlemsstat anvendelse af sådanne oplysninger, har
disse bestemmelser forrang for de bestemmelser i denne
rammeafgørelse, der vedrører anvendelse af
oplysninger, der modtages fra eller stilles til rådighed af
en anden medlemsstat.
Artikel 29
Gennemførelse
1. Medlemsstaterne træffer de nødvendige
foranstaltninger for at efterkomme denne rammeafgørelses
bestemmelser inden den .
18).
2. Senest samme dato meddeler medlemsstaterne
Generalsekretariat for Rådet og Kommissionen teksten til de
retsforskrifter, som de udsteder for at gennemføre de
forpligtelser, der følger af denne rammeafgørelse, i
national ret samt information om de tilsynsmyndigheder, der er
omhandlet i artikel 25. På baggrund af en rapport
udarbejdet på baggrund af disse oplysninger fra Kommissionen
undersøger Rådet inden den .
19), om medlemsstaterne har efterkommet
denne rammeafgørelses bestemmelser.
Artikel 30
Ikrafttræden
Denne rammeafgørelse træder i kraft på
tyvendedagen efter offentliggørelsen i Den Europæiske
Unions Tidende.
Udfærdiget i Bruxelles, den
På Rådets
vegne
Formand
Officielle noter
1) EUT C 125 E af
22.5.2008.
2) EUT C 198 af
12.8.2005, s. 1.
3) EFT L 281 af 23.11.1995,
s. 31. Ændret ved forordning (EF) nr. 1882/2003 (EUT L 284 af
31.10.2003, s. 1).
4) EFT L 8 af 12.1.2001, s.
1.
5) EFT L 201 af 31.7.2001, s.
37. Ændret ved direktiv 2004/24/EF (EUT L 105 af 13.4.2006,
s. 54).
6) EUT L 69 af 16.3.2005, s.
67.
7) EUT: Indsæt venligst
nummer, dato og publikationsref. på afgørelsen i dok.
11896/07.
8) EUT L .
9) EFT L 131 af 1.6.2000, s.
43.
10) EFT L 64 af 7.3.2002,
s. 20.
11) EFT L 176 af 10.7.1999,
s. 36.
12) EFT L 176 af 10.7.1999,
s. 31.
13) EUT L 53 af 27.2.2008,
s. 52.
14) EUT L 53 af 27.2.2008,
s. 50.
15) EUT L 83 af 26.3.2008,
s. 5.
16) EUT C 303 af
14.12.2007, s. 1.
17) EUT: Fem år efter
vedtagelsen af denne rammeafgørelse.
18) EUT: To år efter
vedtagelsen af denne rammeafgørelse.
19) EUT: Tre år efter
vedtagelsen af denne rammeafgørelse.