KOM (2012) 10 endelig

Resumé

Forslaget til et databeskyttelsesdirektiv for de kompetente myndighedersbehandling af personoplysninger på det strafferetlige område er omfattet afretsforbeholdet. Danmark kan dog inden seks måneder efter direktivetsvedtagelse træffe afgørelse om, hvorvidt Danmark vil gennemføre direkti-vet i sin nationale lovgivning, da direktivforslaget udgør en udbygning afSchengen-reglerne. Ifølge direktivforslaget skal dette finde anvendelse påde kompetente myndigheders behandling af personoplysninger med hen-blik på at forebygge, efterforske, opdage eller retsforfølge straffelovsover-trædelser eller fuldbyrde strafferetlige sanktioner. Det gælder også i for-hold til rent nationale forhold. Forslaget er på en række punkter en videre-førelse af den gældende regulering, men indeholder også en række væsent-lige ændringer og nyskabelser. Det er regeringens foreløbige vurdering, atdele af forslaget er i overensstemmelse med nærhedsprincippet. Forslagetvurderes at have lovgivningsmæssige og statsfinansielle konsekvenser,hvis det gennemføres i dansk ret. Der ses ikke at foreligge offentlige til-kendegivelser om de øvrige medlemsstaters holdninger til forslaget. Enrække tvivlsspørgsmål om forslagets indhold og rækkevidde bør afklares,før der kan tages nærmere stilling til forslaget. Danmark er dog umiddel-bart positiv over for dele af forslaget.

1. Baggrund

Den 4. november 2010 offentliggjorde Kommissionen en meddelelse medtitlen: ”En global metode til beskyttelse af personoplysninger i Den Euro-pæiske Union” (KOM(2010) 609 endelig). Denne meddelelse indeholderhovedtemaerne for den reform af EU’s databeskyttelsesregler, som Kom-missionen nu tilsigter at gennemføre bl.a. ved det foreliggende direktivfor-slag.I forbindelse med fremsættelsen af det foreliggende direktivforslag afgavKommissionen endvidere en meddelelse med titlen: ”Beskyttelse af privat-livets fred i en forbundet verden: En europæisk databeskyttelsesramme tildet 21. århundrede” (KOM(2012) 9 endelig). I meddelelsen beskrives demere konkrete overvejelser, der ligger til grund for Kommissionens for-slag. Det anføres i den forbindelse, at Kommissionen finder, at der er brugfor moderne, sammenhængende databeskyttelsesregler for hele EU, så op-lysninger kan flyde frit mellem medlemsstaterne. Virksomhederne harsamtidig brug for klare og ensartede regler, der giver retssikkerhed og mi-nimerer den administrative byrde. Dette er efter Kommissionens opfattelsemeget vigtigt for at sikre, at det indre marked er velfungerende og i standtil at skabe økonomisk vækst, nye job og innovation.Herudover anfører Kommissionen bl.a., at Lissabon-traktatens artikel 16har skabt et nyt retsgrundlag, der muliggør en moderniseret og global til-gang til databeskyttelse og fri udveksling af personoplysninger, som ogsåomfatter politimæssigt og retligt samarbejde i straffesager.Kommissionen anfører endvidere, at den har afholdt flere offentlige hørin-ger om databeskyttelse og ført en tæt dialog med de relevante interessenteri de seneste år. På baggrund af de oplysninger, som Kommissionen harindsamlet i den forbindelse, konkluderes det i meddelelsen, at både borge-re og virksomheder ønsker, at der gennemføres en altomfattende reform afEU's databeskyttelsesregler.Kommissionen ønsker derfor at skabe ”en stærk og konsekvent retligramme” på området på tværs af EU's politikker. Denne ramme skal bl.a.styrke fysiske personers rettigheder og bekæmpe bureaukrati for erhvervs-livet.Kommissionen foreslår, at denne nye retlige ramme skal bestå af– en databeskyttelsesforordning, der skal erstatte det gældende direk-tiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med2

behandling af personoplysninger og om fri udveksling af sådanneoplysninger (databeskyttelsesdirektivet), og– et direktiv, der skal erstatte den gældende rammeafgørelse2008/977/RIA om beskyttelse af personoplysninger i forbindelsemed politisamarbejde og retligt samarbejde i kriminalsager.Det bemærkes, at Kommissionens forslag til en forordning om beskyttelseaf fysiske personer i forbindelse med behandling af personoplysninger ogden fri udveksling af sådanne oplysninger (generel forordning om databe-skyttelse) (KOM(2012) 11 endelig) behandles i et selvstændigt grund- ognærhedsnotat.Det danske retsforbeholdDirektivforslaget er fremsat med hjemmel i artikel 16, stk. 2, i Traktatenom Den Europæiske Unions Funktionsmåde (TEUF). Forslaget er derforomfattet af Danmarks forbehold vedrørende retlige og indre anliggender.Protokollen om Danmarks stilling, der er knyttet til Lissabon-traktaten,finder på den baggrund anvendelse.Ifølge protokollens artikel 2 er ingen af de foranstaltninger, der er vedtageti henhold til TEUF 3. del, afsnit V, bindende for eller finder anvendelse iDanmark. Det følger af protokollens artikel 2 a, at den nævnte bestemmel-se ligeledes finder anvendelse i forbindelse med de regler, der er fastsat pågrundlag af TEUF artikel 16 og vedrører medlemsstaternes behandling afpersonoplysninger under udøvelsen af aktiviteter, der er omfattet af TEUF3. del, afsnit V, kap. 4 eller 5.En gennemførelse af direktivforslaget er således ikke bindende for ellerfinder anvendelse i Danmark.Danmark kan dog ifølge protokollens artikel 4 inden seks måneder efterdirektivets vedtagelse træffe afgørelse om, hvorvidt Danmark vil gennem-føre direktivet i sin nationale lovgivning, da direktivforslaget vil udbyggeSchengen-reglerne efter bestemmelserne i TEUF, 3. del, afsnit V.

2. Indhold

2.1. Indledning

Forslaget til Europa-Parlamentets og Rådets direktiv om beskyttelse af fy-siske personer i forbindelse med de kompetente myndigheders behandlingaf personoplysninger med henblik på at forebygge, efterforske, opdage el-ler retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sank-3

tioner og om fri udveksling af sådanne oplysninger er fremsat efter TEUFartikel 16, stk. 2, hvorefter der kan fastsættes regler for beskyttelse af fysi-ske personer i forbindelse med behandling af personoplysninger, der fore-tages af bl.a. medlemsstaterne under udøvelse af aktiviteter, der er omfattetaf EU-retten.Forslaget tager i en række henseender udgangspunkt i den regulering, derfølger af det gældende databeskyttelsesdirektiv (direktiv 95/46/EF), somnavnlig er gennemført i dansk ret ved lov om behandling af personoplys-ninger (persondataloven). Herudover tager forslaget udgangspunkt i denregulering, der følger af Rådets rammeafgørelse om beskyttelse af person-oplysninger i forbindelse med politisamarbejde og retligt samarbejde ikriminalsager (rammeafgørelse 2008/977/RIA). Rammeafgørelsen er gen-nemført i dansk ret ved persondatalovens § 72 a og bekendtgørelse nr.1287 af 25. november 2010 om beskyttelse af personoplysninger i forbin-delse med politisamarbejde og retligt samarbejde i kriminalsager inden forDen Europæiske Union og Schengen-samarbejdet. På den baggrund vil deri det følgende hovedsageligt blive fokuseret på de væsentligste nyskabelserog ændringer, som forslaget indeholder.

2.2. Generelle bestemmelser (direktivforslagets kapitel I)

Forslagets kapitel I beskriver direktivets formål, ligesom det fastlæggerdets materielle anvendelsesområde og indeholder definitioner af udvalgtebegreber.Forslagets overordnede formål er at fastsætte regler om beskyttelse af fysi-ske personer i forbindelse med de kompetente myndigheders behandling afpersonoplysninger med henblik på at forebygge, efterforske, opdage ellerretsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktio-ner.Medlemsstaterne skal ifølge forslaget sikre, at fysiske personers grund-læggende rettigheder og frihedsrettigheder, især retten til beskyttelse afpersonoplysninger, beskyttes, og at udvekslingen af personoplysningermellem de kompetente myndigheder i EU ikke indskrænkes eller forbydesaf grunde, der vedrører beskyttelsen af fysiske personer i forbindelse medbehandling af personoplysninger.Det må afgøres ved en konkret fortolkning af de enkelte artikler, om deroverlades medlemsstaterne beføjelser til at fastsætte højere krav til beskyt-telse af personoplysninger end dem, der følger af forslaget (såkaldt mini-mumsharmonisering). En række af bestemmelserne i direktivforslaget4

rummer således et vist spillerum for medlemsstaterne, mens andre be-stemmelser må anses for at være mere udtømmende.Direktivet skal ifølge forslaget finde anvendelse på de kompetente myn-digheders behandling af personoplysninger med henblik på at forebygge,efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuld-byrde strafferetlige sanktioner. Direktivet skal ifølge forslaget dog kunfinde anvendelse på behandling af personoplysninger, der helt eller delvisforetages elektronisk, og på anden behandling end elektronisk behandlingaf personoplysninger, der er eller vil blive indeholdt i et register.Det bemærkes, at der er tale om en væsentlig udvidelse af anvendelsesom-rådet i forhold til den gældende regulering på EU-niveau. Det nugældendedatabeskyttelsesdirektiv finder således ikke anvendelse på aktiviteter pådet strafferetlige område, og rammeafgørelsen finder alene anvendelse pågrænseoverskridende udveksling af personoplysninger inden for det poli-timæssige- og strafferetlige område.Behandlinger af personoplysninger, som iværksættes med henblik på ud-øvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidtangår national sikkerhed, er undtaget fra direktivforslagets anvendelsesom-råde. Det samme gælder for behandlinger af personoplysninger, som fore-tages af EU-institutioner, -organer, -kontorer og -agenturer.Kapitel I indeholder endvidere definitioner af en række centrale begreber.Visse af disse begreber er nyskabelser eller ændrede i forhold til, hvad derfølger af de gældende regler. Det kan i den forbindelse særligt fremhæves,at direktivforslaget indeholder definitioner af ”brud på persondatasikker-heden”, ”genetiske data”, ”biometriske data” og ”helbredsoplysninger”.

2.3. Principper (direktivforslagets kapitel II)

Direktivforslagets kapitel II indeholder en række generelle behandlings-principper, der altid skal efterleves i forbindelse med behandling af per-sonoplysninger, og derudover en række konkrete behandlingsregler.De generelle behandlingsprincipper i forslaget svarer i vidt omfang til deregler, som er fastsat i det gældende databeskyttelsesdirektiv. Det gælderbl.a. forslagets krav om, at oplysninger skal være korrekte og om nødven-digt ajourførte, og at oplysninger skal indsamles til udtrykkeligt angivneog legitime formål og ikke senere må gøres til genstand for behandling,der er uforenelig med disse formål. Efter forslagets præambelbetragtning5

nr. 18 bør navnlig de specifikke formål med behandlingen af personoplys-ninger være udtrykkelige.Som noget nyt indeholder forslagets kapitel II krav om, at der i videst mu-ligt omfang skal sondres mellem personoplysninger vedrørende forskelligekategorier af registrerede.Det fremgår således af forslaget, at den registeransvarlige i videst muligtomfang skal sondre klart mellem en række forskellige personkategoriersom f.eks. dømte, sigtede, mistænkte, ofre og vidner.Det fremgår endvidere af forslaget, at der i videst muligt omfang skal son-dres mellem de forskellige kategorier af behandlede oplysninger ud fraforskellige grader af personoplysningers nøjagtighed og pålidelighed.Endvidere skal der så vidt muligt sondres mellem personoplysninger, derbygger på kendsgerninger, og personoplysninger, som bygger på personli-ge vurderinger.Herudover indeholder forslaget som nævnt regler, der fastlægger, hvornårde kompetente myndigheder lovligt kan behandle personoplysninger.Forslaget fastlægger, hvornår behandling af personoplysninger generelt erlovlig for de kompetente myndigheder. Det er således kun lovligt for dekompetente myndigheder at behandle personoplysninger, i det omfangdenne behandling er nødvendig for at kunne varetage et af følgendeformål:- Udførelse af en specifik opgave med henblik på at forebygge,efterforske, opdage eller retsforfølge straffelovsovertrædelser ellerfuldbyrde strafferetlige sanktioner- Overholdelse af en retlig forpligtelse, som den registeransvarlige erpålagt- Beskyttelse af den registreredes eller en anden persons vitaleinteresser- Forebyggelse af en umiddelbar og alvorlig trussel mod denoffentlige sikkerhed.Efter forslaget gælder der som udgangspunkt et forbud mod, at kompetentemyndigheder behandler særligt følsomme personoplysninger med henblikpå at forebygge, efterforske, opdage eller retsforfølge straffelovs-overtrædelser eller fuldbyrde strafferetlige sanktioner. Efter forslaget ansespersonoplysninger, der viser racemæssig eller etnisk baggrund, politisk, re-ligiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold,6

genetiske data, helbredsoplysninger og oplysninger om seksuelle forholdfor at være særligt følsomme oplysninger.De kompetente myndigheder kan ifølge forslaget dog behandle disse sær-ligt følsomme personoplysninger, hvis behandlingen er tilladt i henhold tilen lovgivning, som fastlægger de fornødne garantier, hvis behandlingen ernødvendig for at beskytte den registreredes eller en anden persons vitaleinteresser, eller hvis behandlingen vedrører oplysninger, som tydeligvis eroffentliggjort af den registrerede.

2.4. Den registreredes rettigheder (direktivforslagets kapitel III)

Forslagets kapitel III fastlægger den registreredes rettigheder i forhold tilden registeransvarlige. Kapitlet indeholder nærmere bestemmelser om ud-øvelsen af den registreredes rettigheder, herunder retten til information,indsigt, berigtigelse og sletning.Det bemærkes, at samtlige de foreslåede regler som udgangspunkt vilmedføre en betydelig udvidelse af den registreredes rettigheder inden fordet foreslåede direktivs anvendelsesområde. Dette skyldes, at de gældenderegler om oplysningspligt over for den registrerede, den registreredes ret tilindsigelse, berigtigelse, blokering og sletning af personoplysninger ikkefinder anvendelse på behandlinger, der foretages for domstolene, politi oganklagemyndighed inden for det strafferetlige område. Herudover finderde gældende regler om den registreredes ret til indsigt ikke anvendelse påbehandlinger, der foretages for domstolene inden for det strafferetlige om-råde.I forhold til personoplysninger, der udveksles eller stilles til rådighed mel-lem myndigheder fra to forskellige medlemsstater i forbindelse med politi-samarbejde og retligt samarbejde i kriminalsager inden for EU og Schen-gen-samarbejdet – og som i dag er omfattet af rammeafgørelsen – er detalene forslagets bestemmelse om oplysningspligt, som er en nyskabelse.Efter forslaget skal den registreransvarlige træffe alle rimelige foranstalt-ninger for at fastsætte gennemsigtige og lettilgængelige regler for behand-lingen af personoplysninger og udøvelsen af registreredes rettigheder.Herudover skal den registeransvarlige træffe alle rimelige foranstaltningerfor at fastlægge procedurer for udlevering af information til denregistrerede og for udøvelsen af den registreredes rettigheder.

Direktivforslaget giver for det første den registrerede en ret til oplysningerfra den registeransvarlige, når der indsamles personoplysninger om denregistrerede.Den registeransvarlige skal ved indsamling af personoplysninger om denregistrerede træffe alle nødvendige foranstaltninger for at sikre, at denregistrerede bl.a. modtager identitets- og kontaktoplysninger for denregisteransvarlige og for den databeskyttelsesansvarlige, oplysning omformålene med den behandling, hvortil oplysningerne er bestemt, og omhvor længe oplysningerne opbevares. Herudover skal denregisteransvarlige informeres om retten til at anmode om indsigt i ogberigtigelse eller sletning af personoplysninger vedrørende denregistrerede eller begrænsning af behandlingen heraf samt retten til atindgive klage til tilsynsmyndigheden. Den registrerede skal også modtageoplysning om modtagerne eller kategorierne af modtagere afpersonoplysningerne, herunder i tredjelande eller internationaleorganisationer. Endelig skal den registerede modtage yderligereinformation, for så vidt denne information er nødvendig under hensyn tilde særlige forhold, hvorunder personoplysningerne behandles, for atgarantere en retfærdig behandling af den registrerede.Den registeransvarlige skal ifølge forslaget give den registrerede deovennævnte oplysninger enten på det det tidspunkt, hvorpersonoplysningerne indhentes fra den registrerede, eller såfremtpersonoplysningerne ikke indsamles fra den registrerede, på tidspunktetfor registreringen eller inden for et rimeligt tidsrum efter indsamlingenafhængigt af de konkrete omstændigheder for behandlingen afoplysningerne.For det andet tillægger forslaget den registrerede en indsigtsret. Denregistrerede har således ret til fra den registeransvarlige at få bekræftet, ompersonoplysninger vedrørende vedkommende behandles.Hvis sådanne personoplysninger behandles, skal den registeransvarligefremlægge en række oplysninger for den registerede. Det drejer sig bl.a.om formålene med behandlingen, hvilke modtagere eller kategorier afmodtagere, som personoplysningerne er blevet videregivet til, hvor længeoplysningerne opbevares, oplysninger om retten til berigtigelse og sletningsamt oplysninger om klageadgang til tilsynsmyndigheden.Herudover skal den registrerede ifølge forslaget have ret til at modtage enkopi af de personoplysninger, der er genstand for behandling.8

Den registreredes ret til oplysninger og indsigt er dog ikke absolut.Medlemsstaterne kan ifølge forslaget begrænse eller udsætte denregisteredes ret til information og indsigt helt eller delvist, i det omfang ensådan begrænsning er nødvendig og proportional under hensyn til denpågældendes legitime interesser. Medlemsstaterne kan dog alene begrænsedisse rettigheder, hvis det sker for at undgå, at officielle eller retligeundersøgelser, efterforskninger eller procedurer hindres, for at undgå, atforebyggelsen, opdagelsen, efterforskningen og retsforfølgningen afstraffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen afstrafferetlige sanktioner. Medlemsstaterne kan endvidere begrænse denregistreredes ret til information og indsigt for at beskytte den offentligesikkerhed, for at beskytte den nationale sikkerhed eller for at beskytteandres rettigheder og friheder.Hvis den registeransvarlige meddeler den registrerede afslag på indsigteller begrænser indsigten, skal den registeransvarlige efter forslaget giveden registrerede en skriftlig begrundelse samt vejledning om mulighedernefor at indgive klage til tilsynsmyndigheden og indbringe sagen for enretsinstans. Oplysningerne om de faktiske eller retlige grunde, somafgørelsen hviler på, kan udelades af begrundelsen, hvis sådanneoplysninger vil være til skade for et af de formål, som har begrundetbegrænsningen i indsigtsretten.Herudover foreslås det også som noget nyt, at den registrerede, navnlig ide tilfælde, hvor der meddeles afslag på indsigt, eller hvor rettenbegrænses, har ret til at anmode tilsynsmyndigheden om at kontrollere, ombehandlingen er lovlig. Medlemsstaterne skal fastsætte bestemmelser om,at den registeransvarlige skal underrette den registrerede om retten til atanmode tilsynsmyndigheden om at gribe ind.Forslaget giver for det tredje den registerede en ret til at kræve berigtigelseaf urigtige personoplysninger. Den registrerede har i den forbindelse ret tilfå gjort ufuldstændige personoplysninger komplette, bl.a. ved at kræve enberigtigelse.For det fjerde tillægger forslaget den registrerede en ret til at krævesletning af personoplysninger, hvis behandlingen ikke er i overens-stemmelsemedforslagetsprincpperforbehandlingenafpersonoplysninger, eller hvis behandlingen ikke overholder reglerne om,hvornår behandling af personoplysninger er lovlig. Den registeransvarligeskal i sådanne tilfælde foretage sletningen omgående.

I visse situationer skal den registeransvarlige – i stedet for at slettepersonoplysningerne – begrænse behandlingen af disse. Det gælder, hvisoplysningernes rigtighed bestrides af den registrerede, indtil denregisteransvarlige har haft mulighed for at fastslå, om de er rigtige, hvispersonoplysningerne skal gemmes som bevismiddel, eller hvis denregistrerede modsætter sig deres sletning og i stedet kræver, atanvendelsen heraf begrænses.Den registeransvarlige kan ifølge forslaget meddele afslag på berigtigelse,sletning eller begrænsning af behandlingen. I givet fald skal denregisteransvarlige give den registrerede skriftlig meddelelse herom.Meddelelsen skal beskrive årsagerne til afslaget og mulighederne for atindgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.Forslaget indeholder en generel undtagelse til reglerne om denregistreredes rettigheder. Medlemsstaterne kan således fastsætte regler om,at den registreredes rettigheder skal udøves i overensstemmelse med denationale retsplejeregler, når personoplysningerne er indeholdt i enretsafgørelse eller et register, der behandles i forbindelse med strafferetligeefterforskninger og straffesager.

2.5. Den registeransvarlige og registerførerens forpligtelser mv. (di-

rektivforslagets kapitel IV)

Forslagets kapitel IV omhandler den registeransvarlige og registerføreren.Kapitlet indeholder regler om generelle forpligtelser, datasikkerhed og ud-pegning af en databeskyttelsesansvarlig.Generelt bemærkes det, at dette kapitel indeholder en række forpligtelserfor den registeransvarlige, der ikke følger af de gældende regler. Blandtdisse er bl.a. indførelse af et krav om såkaldt ”indbygget databeskyttelse”.Dette krav indebærer bl.a., at den registeransvarlige, under hensyntagen tildet aktuelle tekniske niveau og omkostningerne i forbindelse medgennemførelsen, skal træffe passende tekniske og organisatoriskeforanstaltninger og procedurer, således at behandlingen opfylder kravene iforslaget og sikrer beskyttelsen af den registreredes rettigheder.Som noget nyt lægges der endvidere op til et krav om, at den registeran-svarlige og registerføreren skal opbevare dokumentation for allebehandlingssystemer og -procedurer, som de pågældende er ansvarlige for.Dokumentationen skal mindst omfatte oplysninger om den registeransvar-liges og registerførerens navn og kontaktoplysninger, om formålene medbehandlingen, om kategorien eller kategorierne af modtagere af personop-10

lysninger, og om videregivelse af oplysninger til et tredjeland eller en in-ternational organisation, herunder identifikation af dette tredjeland ellerdenne internationale organisation. Denne dokumentation skal stilles til rå-dighed for tilsynsmyndigheden efter anmodning.En yderligere nyskabelse er indførelsen af kravet om, at den registeran-svarlige skal anmelde brud på persondatasikkerheden til tilsynsmyndighe-den. Efter forslaget skal anmeldelsen ske uden unødig forsinkelse og ommuligt senest 24 timer efter, at den registeransvarlige er blevet bekendtmed et persondatasikkerhedsbrud. Anmeldelsen skal bl.a. beskrive karak-teren af bruddet på persondatasikkerheden, herunder kategorierne og antal-let af berørte registrerede. Anmeldelsen skal endvidere indeholde en anbe-faling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger afbruddet på persondatasikkerheden og en beskrivelse af de foranstaltninger,som den registeransvarlige foreslår eller har iværksat for at afhjælpe brud-det på persondatasikkerheden.Når sikkerhedsbruddet kan forventes at krænke beskyttelsen af personop-lysninger eller privatlivets fred for en registreret person, skal den register-ansvarlige ligeledes uden unødig forsinkelse underrette den registreredeom sikkerhedsbruddet. Denne underretning skal omfatte karakteren afbruddet på persondatasikkerheden og indeholde en række af de oplysnin-ger og anbefalinger, der også skal afgives til tilsynsmyndigheden. Det erdog ikke nødvendigt at underrette den registrerede om et brud på person-data-sikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den re-gisteransvarliges side, at denne har gennemført passende teknologiske be-skyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt påde data, som sikkerhedsbruddet vedrørte.Der lægges også op til, at den registeransvarlige eller registerføreren skaludpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kanifølge forslaget udpeges for flere enheder under hensyntagen til denkompetente myndigheds organisatoriske struktur. Kravet om udpegning afen databeskyttelsesansvarlig er nyt sammenlignet med den gældendepersondatalov og rammeafgørelsen.Den registeransvarlige eller registerføreren skal sikre, at dendatabeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i allespørgsmål vedrørende beskyttelse af personoplysninger, og at dendatabeskyttelsesansvarlige råder over de midler, der er nødvendige for atudføre sine opgaver effektivt og uafhængigt, og ikke modtager instruksermed hensyn til udøvelsen af hvervet.11

Den databeskyttelsesansvarlige har bl.a. til opgave at underrette og rådgiveden registeransvarlige eller registerføreren om deres forpligtelser i henholdtil direktivet. Den databeskyttelsesansvarlige skal endvidere overvåge gen-nemførelsen og anvendelsen af reglerne om beskyttelse af personoplysnin-ger, herunder fordeling af ansvar, uddannelse af det personale, der medvir-ker ved databehandlingen, og de tilhørende kontroller.Den databeskyttelsesansvarlige skal også kontrollere overholdelsen af kra-vene om dokumentation, anmeldelser og meddelelser vedrørende brud påpersondatasikkerheden.Herudover skal den databeskyttelsesansvarlige fungere som tilsynsmyn-dighedens kontaktpunkt i forbindelse med spørgsmål vedrørendebehandling og på eget initiativ og efter behov rådføre sig medtilsynsmyndigheden.

2.6. Videregivelse af personoplysninger til tredjelande eller internati-

onale organisationer (direktivforslagets kapitel V)

Direktivets kapitel V fastlægger bl.a. betingelserne for, hvornår de kompe-tente myndigheder kan videregive personoplysninger til tredjelande ellerinternationale organisationer. Kapitlet indeholder en række væsentlige æn-dringer og nyskabelser i forhold til gældende ret.Videregivelse kan efter forslaget kun ske, hvis videregivelsen ernødvendig for at forebygge, efterforske, opdage eller retsforfølgestraffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.Ud over denne grundlæggende betingelse skal et af de tre følgendegrundlag være til stede for, at der kan finde en videregivelse sted.For det første kan videregivelse af personoplysninger ske, hvisKommissionen har fastslået, at et tredjeland, et område eller enbehandlingssektor i dette tredjeland eller en international organisation haret tilstrækkeligt databeskyttelsesniveau.Efter forslaget er det Kommissionen, som skal foretage vurderingen af, omet tredjeland, et område eller en behandlingssektor i dette tredjeland elleren international organisation har et tilstrækkeligt databeskyttelsesniveau.Ved vurderingen skal Kommissionen bl.a. tage hensyn til retsstats-princippet (”rule of law”), relevant gældende lovgivning og desikkerhedsforanstaltninger, der gælder i tredjelandet eller deninternationale organisation. Kommissionen skal endvidere tage hensyn til,12

om de registrerede tillægges effektive rettigheder, der retligt kanhåndhæves, herunder om der er effektiv adgang til administrativ og retligprøvelse for registrerede, hvis personoplysninger videregives, navnlig forså vidt angår registrerede, der er bosiddende i EU. Herudover skalKommissionen tage hensyn til, om der i tredjelandet eller deninternationale organisation er velfungerende uafhængige tilsyns-myndigheder, der har ansvaret for at sikre, at databeskyttelsesreglerneoverholdes, for at bistå og rådgive de registrerede, når de udøver deresrettigheder, og for at samarbejde med tilsynsmyndighederne i EU. Endeligskal Kommissionen tage hensyn til de internationale forpligtelser, somtredjelandet eller den internationale organisation har indgået. Hvis Kom-missionen finder, at et tredjeland, et område eller en behandlingssektor idette tredjeland eller en international organisation ikke har et tilstrækkeligtbeskyttelsesniveau, skal medlemsstaterne ifølge forslaget sikre, at enhverform for videregivelse af personoplysninger til tredjelandet eller et områdeeller en behandlingssektor i dette tredjeland eller den pågældende interna-tionale organisation forbydes. Efter forslaget påvirker denne afgørelse dogikke muligheden for at foretage videregivelsen på et af de to alternativegrundlag, der er nærmere beskrevet nedenfor.Hvis Kommissionen ikke har truffet afgørelse om, hvorvidt et tredjeland,et område eller en behandlingssektor i dette tredjeland eller en internatio-nal organisation har et tilstrækkeligt beskyttelsesniveau eller ej, kan vide-regivelse for det andet ske til en modtager i et tredjeland eller en internati-onal organisation. Det forudsætter, at der i en retsakt foreligger hensigts-mæssige garantier i forhold til beskyttelsen af personoplysninger. Videre-givelse kan også ske, hvis den registeransvarlige eller registerføreren harvurderet alle forhold i forbindelse med videregivelsen af personoplysnin-ger og konkluderet, at der findes hensigtsmæssige garantier, hvad angårbeskyttelsen af personoplysninger.For det tredje kan en videregivelse af personoplysninger til et tredjelandeller en international organisation ske, hvis--videregivelsen er nødvendig for at beskytte den registreredes elleren anden persons vitale interesser,videregivelsen er nødvendig for at beskytte den registreredes legi-time interesser, hvis det er påkrævet ved lov i den medlemsstat, dervideregiver personoplysningerne,videregivelsen af oplysningerne er afgørende for at afværge enumiddelbar og alvorlig trussel mod en medlemsstats eller et tredje-lands offentlige sikkerhed,13

Den registeransvarlige skal underrette modtageren af personoplysningerom eventuelle begrænsninger for behandling og træffe alle rimelige foran-staltninger for at sikre, at disse begrænsninger overholdes.

2.7. Uafhængige tilsynsmyndigheder (direktivforslagets kapitel VI)

Direktivets kapitel VI indeholder regler om de nationale tilsynsmyndighe-ders uafhængige status, opgaver og beføjelser.I forhold til de gældende regler lægges der op til en række nye og uddy-bende krav til de nationale tilsynsmyndigheders organisering og uafhæng-ighed. Det følger således bl.a. udtrykkeligt af forslaget, at medlemmer aftilsynsmyndigheden ved udøvelsen af deres opgaver hverken må søge ellermodtage instrukser fra andre, og at medlemmer efter embedsperiodens op-hør skal udvise hæderlighed og tilbageholdenhed med hensyn til at påtagesig visse hverv eller at acceptere visse fordele. Samtidig skal hver med-lemsstat sikre, at tilsynsmyndigheden er underlagt finansiel kontrol, somikke påvirker dens uafhængighed.Det fastsættes endvidere i forslaget, at medlemsstaterne skal sikre, at til-synsmyndigheden råder over tilstrækkelige finansielle, tekniske og menne-skelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine op-gaver og udøve sine beføjelser.Efter forslaget skal medlemsstaterne vedtage bestemmelser om, atmedlemmerne af tilsynsmyndigheden udpeges af parlamentet ellerregeringen i den pågældende medlemsstat.I forhold til tilsynsmyndighedernes organisering og opgaver følger det afforslaget, at hver medlemsstat ved lov bl.a. skal fastsætte regler omtilsynsmyndighedens oprettelse og status. Herudover skal medlemsstaterneved lov fastsætte regler om de kvalifikationer og den erfaring ogkompetence, der er nødvendig for at udøve hvervet som medlem aftilsynsmyndigheden, og om reglerne og procedurerne for udnævnelsen af14

medlemmerne af tilsynsmyndigheden. Endvidere skal medlemsstaternebl.a. fastsætte regler om handlinger og hverv, der er uforenelige medhvervet som medlem af tilsynsmyndigheden og regler om de pligter, derpåhviler tilsynsmyndighedens medlemmer og personale.Efter forslaget vil tilsynsmyndigheden som en ny opgave skulle deltage iDet Europæiske Databeskyttelsesråds aktiviteter.Herudover vil tilsynsmyndigheden skulle arbejde for at styrke offentlighe-dens kendskab til risici, regler, garantier og rettigheder i forbindelse medbehandling af personoplysninger.

2.8. Samarbejde (direktivforslagets kapitel VII)

Direktivets kapitel VII indeholder bestemmelser om gensidig bistand ogom Det Europæiske Databeskyttelsesråds opgaver.Efter forslaget skal tilsynsmyndighederne yde hinanden gensidig bistandmed henblik på at gennemføre og anvende de bestemmelser, der vedtages imedfør af dette direktiv, på en ensartet måde og træffe foranstaltningermed henblik på et effektivt samarbejde med hinanden.For så vidt angår oprettelsen af Det Europæiske Databeskyttelsesråd hen-vises der i direktivforslaget til bestemmelserne herom i Kommissionenssamtidige forslag til Europa-Parlamentets og Rådets forordning om beskyt-telse af fysiske personer i forbindelse med behandling af personoplysnin-ger og om fri udveksling af sådanne oplysninger (generel forordning omdatabeskyttelse). Efter forordningsforslaget skal Det Europæiske Data-beskyttelsesråd sammensættes af direktøren for tilsynsmyndigheden i hvermedlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Her-udover har Kommissionen ret til at deltage i Det Europæiske Databeskyt-telsesråds aktiviteter og møder.Det Europæiske Databeskyttelsesråd skal efter direktivforslaget bl.a. råd-give Kommissionen om ethvert spørgsmål vedrørende beskyttelse af per-sonoplysninger i Unionen, herunder om ethvert forslag til ændring afdirektivet. Rådet skal endvidere efter anmodning fra Kommissionen, påeget initiativ eller efter anmodning fra et af rådets medlemmer, undersøgeethvert spørgsmål om anvendelsen af bestemmelser vedtaget i medfør afdirektivet og udarbejde retningslinjer, henstillinger og bedste praksis til denationale tilsynsmyndigheder for at fremme en konsekvent anvendelse afdisse bestemmelser. Herudover skal rådet bl.a. afgive udtalelse til Kom-

missionen om beskyttelsesniveauet i tredjelande eller internationale orga-nisationer.

2.9. Klageadgang, ansvar og sanktioner (direktivforslagets kapitel

VIII)

Forslagets kapitel VIII indeholder bestemmelser om retten til at indgiveklage til tilsynsmyndigheden, om retsmidler (dvs. adgang til domstolsprø-velse) over for tilsynsmyndigheden og over for den registeransvarlige ellerregisterføreren, om erstatningsansvar og om ret til erstatning samtsanktioner.Efter forslaget skal alle registrerede have ret til at indgive klage til til-synsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen afderes personoplysninger ikke er i overensstemmelse med bestemmelserne,som er vedtaget i national ret i medfør af direktivet.Herudover følger det som en nyskabelse af forslaget, at alle organer, orga-nisationer eller sammenslutninger, der har til formål at beskytte registrere-des rettigheder og interesser i forbindelse med beskyttelsen af deres per-sonoplysninger, og som er etableret i overensstemmelse med en medlems-stats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i en-hver medlemsstat på vegne af en eller flere registrerede. Retten til at ind-give klage forudsætter, at organet mv. vurderer, at den registreredes rettig-heder i henhold til direktivet er blevet krænket som følge af behandlingenaf personoplysninger.De samme organer mv. har efter forslaget ret til, uafhængigt af en klage fraden registrerede, at indgive klage til en tilsynsmyndighed i enhver med-lemsstat, hvis de vurderer, at et brud på persondatasikkerheden har fundetsted.Forslaget tillægger således enhver organisation – uanset dennes størrelseog medlemskreds – en ret til at indgive klage til enhver tilsynsmyndighedalene på baggrund af organisationens egen vurdering af, om der har fundetet brud på persondatasikkerheden sted.Kapitel VIII indeholder endvidere regler om adgangen til at søge retsmid-ler anvendt over for tilsynsmyndigheder og over for den registeransvarligeeller registerføreren. Det følger i den forbindelse af forslaget, at enhver re-gistreret skal have adgang til et retsmiddel, der forpligtertilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes enafgørelse, som er nødvendig for at beskytte vedkommendes rettigheder,16

eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter denregistrerede om forløbet eller resultatet af en klage. Bestemmelsenfastsætter således en indirekte pligt for tilsynsmyndighederne til – entenforeløbigt eller endeligt – at besvare en klage inden for 3 måneder eftertilsynsmyndighedens modtagelse af klagen.Herudover lægges der op til, at medlemsstaterne har pligt til at fastsættebestemmelser om erstatning. Det foreslås, at enhver, som har lidt skadesom følge af en ulovlig behandling eller enhver anden handling, der eruforenelig med de nationale bestemmelser, som vedtages i medfør af di-rektivet, skal have ret til erstatning for den forvoldte skade fra den regi-steransvarlige eller registerføreren. Det gælder dog ikke, hvis den register-ansvarlige eller registerføreren beviser, at vedkommende ikke er skyld iden begivenhed, der medførte skaden. I forhold til den gældende retstil-stand er det en væsentlig nyskabelse, at der også for registerføreren fast-lægges et sådant ansvar.Endelig lægges der op til, at medlemsstaterne skal fastsætte bestemmelserom sanktioner for overtrædelse af de nationale bestemmelser, der ervedtaget i medfør af direktivet, og træffe alle nødvendige foranstaltningertil at sikre gennemførelsen heraf. Sanktionerne skal være effektive, stå i etrimeligt forhold til overtrædelsen og have afskrækkende virkning.Sanktioner bør ifølge forslaget kunne pålægges fysiske eller juridiskepersoner, uanset om de henhører under privat- eller offentligretliglovgivning.Det er ikke nærmere fastsat, om der skal være tale om administrative ellerstrafferetlige sanktioner.

2.10. Delegerede retsakter, gennemførelsesforanstaltninger og afslut-

tende bestemmelser (direktivforslagets kapitel IX og X)

Forslagets kapitel IX indeholder bestemmelser om Kommissionens mulig-heder for at udstede delegerede retsakter og om tildeling af gennemførel-sesbeføjelser til Kommissionen.I forbindelse med udstedelsen af gennemførelsesretsakter skal Kommissi-onen bistås af et udvalg, der er sammensat af repræsentanter for medlems-staterne.Forslaget indeholder herudover en række afsluttende bestemmelser, hvorder bl.a. lægges op til at ophæve den gældende rammeafgørelse2008/977/RIA.17

Efter forslaget skal internationale aftaler, som medlemsstaterne har indgåetforud for direktivets ikrafttræden, om nødvendigt ændres inden fem år fradirektivets ikrafttræden. Ifølge forslaget bør internationale aftaler, sommedlemsstaterne har indgået inden direktivets ikrafttræden, ændres ioverensstemmelse med direktivet for at sikre en overordnet ogsammenhængende beskyttelse af personoplysninger i Unionen.Bestemmelsen forpligter således medlemsstaterne til at genforhandleindgåede aftaler med tredjelande om gensidig retshjælp, hvis dette ernødvendigt for at sikre, at aftalerne lever op til det databeskyttelsesniveau,der er fastlagt i direktivet.

3. Gældende dansk ret

3.1. Indledning

Direktivet skal ifølge forslaget finde anvendelse på de kompetente myn-digheders behandling af personoplysninger med henblik på at forebygge,efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuld-byrde strafferetlige sanktioner.Forslaget lægger som nævnt i pkt. 2.2 i den forbindelse op til en væsentligudvidelse af anvendelsesområdet for den EU-retlige regulering af behand-ling af personoplysninger på det politimæssige og strafferetlige område.Det foreslås således, at direktivet også skal omfatte f.eks. politiets behand-linger af oplysninger, som er rent interne i den enkelte medlemsstat, ogsom således hverken er eller påtænkes udvekslet med en anden medlems-stat, jf. anvendelsesområdet for den gældende rammeafgørelse.Hertil kommer, at der med reglerne i kapitel III lægges op til en betydeligudvidelse af den registreredes rettigheder i forhold til de gældende EU-regler på det politimæssige og strafferetlige område, jf. nærmere pkt. 2.4.I en dansk sammenhæng vil direktivet derfor i givet fald kunne få betyd-ning for behandling af personoplysninger i alle faser af en straffesag, ogsåledes fra f.eks. det tidspunkt politiet modtager en anmeldelse om etstrafbart forhold til Kriminalforsorgen løslader den domfældte efter endtafsoning.En redegørelse for gældende dansk ret vil derfor principielt set kunne om-fatte en omtale af lovgivningen mv. om behandling personoplysninger,herunder den registreredes eventuelle rettigheder til indsigt mv., for politi-et, anklagemyndigheden, domstolene og Kriminalforsorgen.18

I det følgende redegøres imidlertid for de mest centrale regler.

3.2. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-nere ændringer (persondataloven) er der fastsat generelle regler om be-handling af personoplysninger for offentlige myndigheder og den privatesektor. Persondataloven er først og fremmest baseret på det gældende da-tabeskyttelsesdirektiv.Persondataloven indeholder bl.a. regler om, hvornår behandling af person-oplysninger i almindelighed må finde sted, ligesom loven indeholder reglervedrørende behandling af særlige typer oplysninger (f.eks. regler om per-sonnumre). Loven indeholder desuden en række bestemmelser om rettig-heder for de personer, der behandles oplysninger om. Det gælder f.eks.regler om den registreredes ret til information, indsigelse, indsigt, berigti-gelse og sletning af personoplysninger.Persondataloven gælder generelt for politiets, anklagemyndighedens ogdomstolenes behandling af personoplysninger. Som nævnt i pkt. 2.4 oven-for finder lovens bestemmelser om oplysningspligt over for den registrere-de, den registreredes ret til indsigelse, berigtigelse, blokering og sletning afpersonoplysninger dog ikke anvendelse på behandlinger, der foretages fordomstolene, politi og anklagemyndighed inden for det strafferetlige områ-de. Herudover finder lovens regler om den registreredes ret til indsigt ikkeanvendelse på behandlinger, der foretages for domstolene inden for detstrafferetlige område.Persondataloven fastsætter endvidere regler om datasikkerhed i forbindelsemed behandling af personoplysninger. Disse regler suppleres for offentligemyndigheders vedkommende af bekendtgørelse nr. 528 af 15. juni 2000om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, sombehandles for den offentlige forvaltning.Persondataloven indeholder også bestemmelser om Datatilsynets kontrolmed behandling af personoplysninger, der foretages for offentlige myn-digheder og den private sektor, ligesom der i loven er fastsat regler ompligt til at foretage anmeldelse til Datatilsynet i forbindelse med bestemtetyper behandling af personoplysninger.

3.3. Bekendtgørelse om beskyttelse af personoplysninger i forbindelse

med politisamarbejde og retligt samarbejde i kriminalsager inden for

EU og Schengen-samarbejdet

Justitsministeren har i medfør af persondatalovens § 72 a fastsat nærmereregler ved bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelseaf personoplysninger i forbindelse med politisamarbejde og retligt samar-bejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet. Bekendtgørelsen gennemfører Rådets rammeafgørelse2008/977/RIA i dansk ret.Formålet med bekendtgørelsen er at sikre beskyttelsen af personoplysnin-ger, der behandles inden for rammerne af det politimæssige og strafferetli-ge samarbejde inden for EU.Bekendtgørelsen finder anvendelse i forhold til personoplysninger, der ud-veksles eller stilles til rådighed mellem en dansk og en udenlandsk myn-dighed i forbindelse med politisamarbejde og retligt samarbejde i krimi-nalsager inden for Den Europæiske Union og Schengen-samarbejdet.Bekendtgørelsen tager således sigte på den grænseoverskridende informa-tionsudveksling i forbindelse med politisamarbejde og retligt samarbejde ikriminalsager. Den finder inden for dette område anvendelse på behand-ling af personoplysninger, der helt eller delvis foretages elektronisk, og iforhold til ikke-elektronisk behandling af personoplysninger, der er ellervil blive indeholdt i et register.Bekendtgørelsen henviser bl.a. til en række af de grundlæggende regler forbehandling af personoplysninger i persondataloven. Den indeholder her-udover regler om datakvalitet og behandlingssikkerhed. Bekendtgørelsenindeholder desuden regler for specifikke former for databehandling, her-under regler om viderebehandling af personoplysninger modtaget fra andremedlemsstater og om videregivelse af sådanne oplysninger til private ogtredjelande samt internationale organer. Herudover udvider bekendtgørel-sen den registreredes rettigheder med hensyn til bl.a. underretning og be-rigtigelse af urigtige oplysninger i forhold til persondataloven.Efter rammeafgørelsen, som bekendtgørelsen gennemfører i dansk ret, skalKommissionen – på baggrund af rapporter fra medlemsstaterne – senest inovember 2014 aflægge rapport til Europa-Parlamentet og Rådet med enevaluering af rammeafgørelsens gennemførelse, følgerne af rammeafgørel-sens bestemmelser samt eventuelle forslag til ændringer af rammeafgørel-sen.20

3.4. Retsplejeloven

Retsplejeloven (lovbekendtgørelse nr. 1063 af 17. november 2011 med se-nere ændringer) indeholder de grundlæggende regler i dansk ret vedrøren-de bl.a. efterforskning og retsforfølgning af strafbare forhold.Retsplejelovens kapitel 67-75 b fastsætter således regler om politiets efter-forskning af strafbare forhold og om gennemførelsen af tvangsindgreb,herunder reglerne for anholdelse, varetægtsfængsling, indgreb i meddelel-seshemmeligheden, legemsindgreb, ransagning, beslaglæggelse, edition ogpersonundersøgelser. Disse kapitler indeholder ligeledes grundlæggendestraffeprocessuelle regler.Retsplejeloven indeholder endvidere regler om aktindsigt i domme, ken-delser og andre dokumenter, der vedrører en straffesag. Udgangspunkteter, at enhver har ret til aktindsigt i domme og kendelser mv.Herudover kan den, der har en individuel, væsentlig interesse i et konkretretsspørgsmål, som udgangspunkt forlange at blive gjort bekendt med do-kumenter, der vedrører en straffesag, herunder indførsler i retsbøgerne, idet omfang dokumenterne har betydning for vurderingen af det pågælden-de retsspørgsmål.

3.5. Straffuldbyrdelsesloven

Straffuldbyrdelsesloven (lovbekendtgørelse nr. 435 af 15. maj 2012) regu-lerer fuldbyrdelsen af fængselsstraffe, bødestraffe, betingede domme,domme med vilkår om samfundstjeneste og forvaring.Straffuldbyrdelsesloven indeholder i en række tilfælde mulighed for, atmyndighederne kan behandle personoplysninger om en dømt person for atvaretage sine opgaver efter loven. Det er f.eks. tilfældet, hvor Kriminalfor-sorgen træffer afgørelse om valg af afsoningsinstitution, om anbringelse iåbent eller lukket fængsel, om overførsel fra åbent til lukket fængsel ogom udgang i forbindelse med afsoning af fængselsstraf.

4. Lovgivningsmæssige og statsfinansielle konsekvenser

En vedtagelse af forslaget vil indebære, at den gældende danske lovgiv-ning på området skal tilpasses direktivet, hvis Danmark inden seks måne-der efter direktivets vedtagelse træffer afgørelse om at gennemføre direkti-vet i dansk ret.En gennemførelse af forslaget vil bl.a. indebære, at bestemmelserne i den21

gældende persondatalov vil skulle tilpasses direktivets regulering for dendel af de kompetente myndigheders behandling af personoplysninger, derfalder inden for direktivets anvendelsesområde.Det er endvidere Justitsministeriets helt umiddelbare vurdering, at en gen-nemførelse af det foreliggende forslag i dansk ret vil indebære, at reglernei retsplejeloven på en række områder vil skulle ændres. Det er således mu-ligt, at forslagets bestemmelser om behandlingsprincipper og behandlings-regler, jf. pkt. 2.3. ovenfor, efter omstændighederne vil skulle indsættes iretsplejeloven. Herudover må det antages, at direktivforslagets bestemmel-ser om den registreredes ret til indsigt vil indebære, at de gældende be-stemmelser i retsplejeloven om aktindsigt vil skulle revideres.Herudover er det Justitsministeriets foreløbige vurdering, at det kan blivenødvendigt at revidere de gældende regler i straffuldbyrdelsesloven og be-kendtgørelsen om beskyttelse af personoplysninger i forbindelse med poli-tisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæi-ske Union og Schengen-samarbejdet, hvis direktivforslaget gennemføres idansk ret.Det bemærkes, at vurderingen af de lovgivningsmæssige konsekvenser erpræget af en vis usikkerhed, idet det præcise indhold og rækkevidden af enrække af direktivforslagets bestemmelser giver anledning til betydeligtvivl.Forslaget vurderes at have statsfinansielle konsekvenser.Efter et foreløbigt skøn baseret på de foreliggende forslag (forordning ogdirektiv) vil reformpakken om databeskyttelse medføre øgede omkostnin-ger. Det følger af budgetreglerne, at finansieringen af disse øgede omkost-ninger skal holdes inden for Justitsministeriets ramme eller forelægges re-geringens Ø-udvalg, hvis det skønnes, at dette ikke kan lade sige gøre.

5. Høring

Forslaget er sendt i høring hos følgende myndigheder og organisationermv.: Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret,Præsidenten for Sø- og Handelsretten, Præsidenterne for byretterne, Dom-stolsstyrelsen, Datatilsynet, Rigsadvokaten, Rigspolitiet, Forbrugerom-budsmanden, Aalborg Universitet (Juridisk Institut), Aarhus Universitet(Juridisk Institut), Handelshøjskolen i Aarhus (Juridisk Institut), Handels-højskolen i København (Juridisk Institut), Københavns Universitet, Syd-dansk Universitet (Juridisk Institut), Den Danske Dommerforening, Dom-22

merfuldmægtigforeningen, HK Landsklubben Danmarks Domstole, For-eningen af Offentlige Anklagere, Advokatrådet, Danske Advokater, DJØF,Foreningen af Advokater og Advokatfuldmægtige, Politiforbundet, Lands-foreningen af Forsvarsadvokater, Dansk Fængselsforbund, Foreningen afFængselsinspektører og Vicefængselsinspektører, Fængselsforbundet, HKLandsklubben for Kriminalforsorgen, Kriminalforsorgsforeningen, DanskSocialrådgiverforening, Faggruppen af socialrådgivere i Kriminalforsor-gen, Amnesty International, Institut for Menneskerettigheder, Kriminalpo-litisk Forening (KRIM), Retspolitisk Forening og Retssikkerhedsfonden.Høringsfristen er fastsat til den 1. oktober 2012.

6. Nærhedsprincippet

Kommissionen har om nærhedsprincippet anført, at retten til beskyttelse afpersonoplysninger, som er udtrykkeligt fastsat i artikel 8 i Den EuropæiskeUnions charter om grundlæggende rettigheder og i TEUF artikel 16, stk. 1,forudsætter samme databeskyttelsesniveau i hele EU.Herudover er der ifølge Kommissionen et voksende behov for, at de rets-håndhævende myndigheder i medlemsstaterne behandler og udveksler op-lysninger stadig hurtigere med henblik på at forebygge og bekæmpe kri-minalitet på tværs af grænserne og terrorisme. I den forbindelse vil klareog sammenhængende regler om databeskyttelse på EU-plan efter Kommis-sionens opfattelse medvirke til at styrke samarbejdet mellem de pågælden-de myndigheder.Der er ifølge Kommissionen desuden en række praktiske udfordringer iforbindelse med håndhævelsen af lovgivningen om databeskyttelse og etbehov for samarbejde mellem medlemsstaterne og deres myndigheder,som bør organiseres på EU-plan for at sikre en ensartet anvendelse af EU-lovgivningen. I visse situationer er EU ifølge Kommissionen desuden mestvelegnet til effektivt og ensartet at sikre det samme beskyttelsesniveau forfysiske personer, når deres personoplysninger videregives til tredjelande.Det er Kommissionens opfattelse, at medlemsstaterne ikke selv kan mind-ske de aktuelle problemer, navnlig ikke problemerne vedrørende de natio-nale lovgivningers fragmentering. Der er også et specifikt behov for atskabe en harmoniseret og sammenhængende ramme, som muliggør nemudveksling af personoplysninger på tværs af EU's grænser, samtidig medat alle fysiske personer i EU sikres effektiv beskyttelse.

Ifølge Kommissionen vil den foreslåede EU-lovgivning være mere effektivend tilsvarende lovgivning på medlemsstatsniveau på grund af problemer-nes karakter og omfang, som ikke kun gør sig gældende for én eller noglefå medlemsstater.Forslagets mål kan derfor ifølge Kommissionen bedre gennemføres påEU-niveau. Efter Kommissionens opfattelse vil et direktiv være det bedsteinstrument til at sikre harmonisering på EU-plan på dette område, samtidigmed at medlemsstaterne får den nødvendige fleksibilitet til at gennemføreprincipperne, reglerne og undtagelserne herfor på nationalt plan.Regeringen er umiddelbart enig med Kommissionen i, at klare og sam-menhængende regler om databeskyttelse på EU-plan kan medvirke til atstyrke samarbejdet mellem de retshåndhævende myndigheder i medlems-staterne med henblik på at forebygge og bekæmpe kriminalitet på tværs afgrænserne og terrorisme. På den baggrund er det regeringens foreløbigevurdering, at nærhedsprincippet et overholdt i forhold til reguleringen afpersonoplysninger, der udveksles eller stilles til rådighed mellem en danskog en udenlandsk myndighed i forbindelse med de kompetente myndighe-ders forebyggelse, efterforskning, opdagelse eller retsforfølgning af straf-felovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.Når det derimod gælder behandling af personoplysninger, der finder sted isager uden et grænseoverskridende element inden for det politimæssige ogstrafferetlige område, er det efter regeringens opfattelse umiddelbart meretvivlsomt, om nærhedsprincippet er opfyldt. For det første kan det på nu-værende tidspunkt ikke udelukkes, at en vedtagelse af det foreliggendeforslag vil betyde en harmonisering af (dele af) medlemsstaternes nationa-le straffeprocessuelle regler. For det andet finder regeringen, at det endnuer for tidligt at drage konklusioner i forhold til den praktiske værdi aframmeafgørelsen. Det bemærkes i den forbindelse, at der endnu ikke er fo-retaget en omfattende evaluering af rammeafgørelsen. Der kan i øvrigt pe-ges på, at det – ifølge Kommissionens rapport om implementeringen aframmeafgørelsen (KOM (2012) 12 endelig) – alene er Italien, Nederlande-ne og Tjekkiet, som har oplyst, at forskellige databehandlingsregler for sa-ger med og uden et grænseoverskridende element medfører vanskelighederfor myndighederne. På den baggrund er det efter regeringens opfattelseumiddelbart vanskeligt at se behovet for at udvide forslagets anvendelses-område til også at omfatte behandlinger af personoplysninger uden etgrænseoverskridende element.

Som det fremgår ovenfor, har Kommissionen anført, at der er en rækkepraktiske udfordringer i forbindelse med håndhævelsen af lovgivningenom databeskyttelse. Regeringen vil i øvrigt i lyset af de indkomne hørings-svar være opmærksom på, hvorvidt sådanne vanskeligheder også ses at fo-religge i forbindelse med de relevante danske myndigheders opgavevare-tagelse.

7. Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-lemsstaters holdning til forslaget.

8. Foreløbig generel dansk holdning

Fra dansk side er man på nuværende tidspunkt umiddelbart positivt indstil-let over for de dele af forslaget, der regulerer behandling af personoplys-ninger, hvori der indgår et grænseoverskridende element.Fra dansk side er man dog foreløbigt skeptisk indstillet over for de dele afforslaget, der regulerer behandling af personoplysninger, hvori der ikkeindgår et grænseoverskridende element. For det første kan det på nuvæ-rende tidspunkt ikke udelukkes, at en vedtagelse af det foreliggende for-slag vil betyde en harmonisering af (dele af) medlemsstaternes nationalestraffeprocessuelle regler, som der ikke forekommer at være et behov for.For det andet finder regeringen, at det endnu er for tidligt at drage konklu-sioner i forhold til den praktiske værdi af rammeafgørelsen. Det bemærkesi den forbindelse, at der endnu ikke er foretaget en omfattende evalueringaf rammeafgørelsen. Der kan i øvrigt peges på, at det – ifølge Kommissio-nens rapport om implementeringen af rammeafgørelsen (KOM (2012) 12endelig) – alene er Italien, Nederlandene og Tjekkiet, som har oplyst, atforskellige databehandlingsregler for sager med og uden et grænseover-skridende element medfører vanskeligheder for myndighederne. På denbaggrund er det efter regeringens opfattelse umiddelbart vanskeligt at sebehovet for at udvide forslagets anvendelsesområde til også at omfatte be-handlinger af personoplysninger uden et grænseoverskridende element.Regeringen finder således, at det ville have været mere naturligt, hvisKommissionen havde afventet udfaldet af denne evaluering af rammeafgø-relsen, før den fremsatte forslag til en ny retsakt.Det er endvidere Justitsministeriets umiddelbare vurdering, at forslagetsbetingelser for videregivelse af personoplysninger til tredjelande kan få enikke ubetydelig indflydelse på samarbejdet med disse lande inden for detstrafferetlige område. Det bemærkes bl.a., at en positiv afgørelse om til-25

strækkeligt databeskyttelsesniveau fra Kommissionen synes at forudsætte,at det pågældende tredjeland eller den internationale organisation har ved-taget regler om beskyttelsen af personoplysninger, der i vidt omfang svarertil reglerne i direktivforslaget. Det bemærkes endvidere, at forslaget ikkesynes at tage hensyn til medlemsstaternes eksisterende forpligtelser i de bi-laterale aftaler, som den enkelte medlemsstat har indgået med tredjelandeom gensidig retshjælp på det strafferetlige område, jf. pkt. 2.10 ovenfor.Under alle omstændigheder er det efter regeringens opfattelse afgørende,at de nye databeskyttelsesregler skaber den rette balance mellem hensynettil databeskyttelsen og hensynet til, at de kompetente myndigheder kan va-retage deres opgaver effektivt og smidigt.Endvidere vil en stillingtagen bero på en vurdering af, om forslaget skaberden rette balance mellem merværdi og omkostninger, herunder i form afadministrative konsekvenser.Fra dansk side vil man bl.a. arbejde for, at omkostningerne ved en eventuelgennemførelse af forslaget reduceres i forhold til Kommissionens forslag.Det bemærkes i øvrigt, at det præcise indhold og rækkevidden af en rækkeaf direktivforslagets bestemmelser giver anledning til betydelig tvivl, somJustitsministeriet vil søge afklaret under de kommende forhandlinger. Dervil derfor være behov for på et senere tidspunkt i forhandlingerne at fore-tage en nøjere vurdering af forslagets indhold. En nærmere stillingtagen tilforslaget må afvente denne vurdering, der bl.a. vil finde sted på baggrundaf den iværksatte høring over forslaget, jf. pkt. 5 ovenfor, samt en vurde-ring af de statsfinansielle og administrative konsekvenser.

9. Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-tingets Retsudvalg.

GRUND- OG NÆRHEDSNOTAT

vedrørende Kommissionens forslag til

Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske per-

soner i forbindelse med de kompetente myndigheders behandling af

personoplysninger med henblik på at forebygge, efterforske, opdage

eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige

sanktioner og om fri udveksling af sådanne oplysninger