Europaudvalget 2015-16
EUU Alm.del Bilag 884
Offentligt
1665764_0001.png
Lovafdelingen
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
08. september 2016
Databeskyttelseskontoret
André Dybdal Pape
2016-7910-0009
2066739
Udkast til
Forslag
til
folketingsbeslutning om Danmarks tilslutning på mellemstatsligt
grundlag til EU's direktiv om databeskyttelse på retshåndhævelsesom-
rådet
Folketinget meddeler sit samtykke til, at regeringen på Danmarks vegne i
henhold til artikel 4 i protokollen om Danmarks stilling på mellemstatsligt
grundlag tilslutter sig Europa-Parlamentets og Rådets direktiv (EU)
2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med kompetente myndigheders behandling af personoplysninger med hen-
blik på at forebygge, efterforske, afsløre eller retsforfølge strafbare hand-
linger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af så-
danne oplysninger og om ophævelse af Rådets rammeafgørelse
2008/977/RIA.
Bemærkninger til forslaget
1. Formål og baggrund
1.1.
Formålet med forslaget til folketingsbeslutning er at opnå Folketingets
samtykke, jf. grundlovens § 19, stk. 1, til, at regeringen på Danmarks veg-
ne i henhold til artikel 4 i protokollen om Danmarks stilling på mellem-
statsligt grundlag tilslutter sig Europa-Parlamentets og Rådets direktiv
(EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i for-
bindelse med kompetente myndigheders behandling af personoplysninger
med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafba-
re handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling
af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse
2008/977/RIA (retshåndhævelsesdirektivet).
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1.2.
I januar 2012 fremsatte Europa-Kommissionen et forslag til en databe-
skyttelsespakke, herunder et forslag til et direktiv vedrørende databeskyt-
telse i forbindelse med retshåndhævelse, som blev endeligt vedtaget den
27. april 2016.
Direktivforslaget har været forelagt for Folketingets Europaudvalg senest
den 2. oktober 2015 forud for rådsmøde (retlige og indre anliggender) den
8.-9. oktober 2015.
Retshåndhævelsesdirektivet blev fremsat som forslag og er vedtaget under
henvisning til artikel 16, stk. 2, i Traktaten om den Europæiske Unions
Funktionsmåde (TEUF), og da det fastsætter regler vedrørende medlems-
staternes behandling af personoplysninger under udøvelse af aktiviteter,
der er omfattet af det danske forbehold vedrørende retlige og indre anlig-
gender, er direktivet ikke bindende for og finder ikke anvendelse i Dan-
mark, jf. artikel 2 og 2 a i protokollen om Danmarks stilling.
Da direktivet udbygger Schengenreglerne, skal Danmark i henhold til arti-
kel 4 i protokollen om Danmarks stilling senest inden 6 måneder efter Rå-
dets vedtagelse træffe afgørelse om, hvorvidt Danmark vil gennemføre di-
rektivet i dansk ret. Direktivet blev som nævnt vedtaget den 27. april 2016,
hvorfor regeringen senest den 27. oktober 2016 skal meddele Rådet denne
afgørelse.
Træffer Danmark afgørelse om, at direktivet skal gennemføres i dansk ret,
skabes der en folkeretlig forpligtelse mellem Danmark og de øvrige med-
lemsstater, der er bundet af retshåndhævelsesdirektivet.
Hvis Danmark ikke tilslutter sig retshåndhævelsesdirektivet, skal de med-
lemsstater, der er bundet af direktivet, overveje, hvilke passende foranstalt-
ninger der skal træffes. Dette kan ultimativt betyde ekskludering af Dan-
mark fra Schengensamarbejdet.
Blandt andet hensynet til samarbejdet med retshåndhævende myndigheder
i andre medlemsstater, herunder Schengensamarbejdet, taler efter regerin-
gens opfattelse for, at Danmark gennemfører retshåndhævelsesdirektivet i
dansk ret.
2
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Gennemførelse af direktivet vil nødvendiggøre ændringer af dansk lovgiv-
ning, jf. pkt. 4 nedenfor. Danmarks tilslutning til direktivet forudsætter
derfor Folketingets samtykke, jf. grundlovens § 19, stk. 1.
2. Retshåndhævelsesdirektivet
2.1.
Indledning
Retshåndhævelsesdirektivet tager i en række henseender udgangspunkt i
den regulering, der følger af det gældende databeskyttelsesdirektiv (direk-
tiv 95/46/EF), som navnlig er gennemført i dansk ret ved lov om behand-
ling af personoplysninger (persondataloven).
Herudover tager retshåndhævelsesdirektivet udgangspunkt i den regule-
ring, der følger af Rådets rammeafgørelse om beskyttelse af personoplys-
ninger i forbindelse med politisamarbejde og retligt samarbejde i krimi-
nalsager (rammeafgørelse 2008/977/RIA). Rammeafgørelsen er gennem-
ført i dansk ret ved persondatalovens § 72 a og bekendtgørelse nr. 1287 af
25. november 2010 om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for Den Euro-
pæiske Union og Schengen-samarbejdet.
I det følgende vil der blive fokuseret på de væsentligste nyskabelser og
ændringer, som direktivet indeholder, i forhold til de gældende regler i
Danmark.
2.2.
Generelle bestemmelser (direktivets kapitel I)
Retshåndhævelsesdirektivets kapitel I beskriver direktivets formål, lige-
som det fastlægger dets materielle anvendelsesområde og indeholder defi-
nitioner af udvalgte begreber.
Direktivet fastsætter regler om beskyttelse af fysiske personer i forbindelse
med de kompetente myndigheders behandling af personoplysninger med
henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod
eller forebygge trusler mod den offentlige sikkerhed.
Direktivet udelukker ikke, at medlemsstaterne fastsætter højere sikker-
hedsforanstaltninger i national lovgivning end dem, som fremgår af direk-
tivet.
3
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Det bemærkes, at der er tale om en udvidelse af anvendelsesområdet i for-
hold til den gældende regulering på EU-niveau. Det gældende databeskyt-
telsesdirektiv finder bl.a. ikke anvendelse på aktiviteter på det strafferetli-
ge område, og rammeafgørelsen finder alene anvendelse på grænseover-
skridende udveksling af personoplysninger inden for det politimæssige- og
strafferetlige område. Det bemærkes dog, at den danske persondatalov,
som implementerer databeskyttelsesdirektivet fra 1995, i vidt omfang gæl-
der på det politi- og strafferetlige område i Danmark, selv om dette område
er undtaget fra direktivets anvendelsesområde. Dette indebærer, at de nye
regler, som følger af det foreliggende retshåndhævelsesdirektiv, ikke vil
medføre væsentlige ændringer i forhold til de regler, der allerede gælder i
Danmark på det politi- og strafferetlige område. Det gælder bl.a. for de ge-
nerelle behandlingsprincipper, behandlingsreglerne og reglerne om over-
førsel af personoplysninger til tredjelande.
Retshåndhævelsesdirektivet finder ikke anvendelse på behandling af per-
sonoplysninger, som iværksættes med henblik på udøvelse af aktiviteter,
der ikke er omfattet af EU-retten. Dette indebærer bl.a., at efterretningstje-
nesterne ikke er omfattet af direktivets anvendelsesområde.
2.3.
Principper (direktivets kapitel II)
Retshåndhævelsesdirektivets kapitel II indeholder en række generelle be-
handlingsprincipper, der altid skal efterleves i forbindelse med behandling
af personoplysninger, og derudover en række konkrete behandlingsregler.
De generelle behandlingsprincipper svarer i vidt omfang til de regler, som
er fastsat i det gældende databeskyttelsesdirektiv fra 1995.
Med retshåndhævelsesdirektivet indføres dog et par yderligere principper
om tidsfrister for opbevaring af personoplysninger og revision af behovet
herfor, sondring mellem forskellige kategorier af registrerede samt son-
dring mellem personoplysninger og kontrol med kvaliteten af personoplys-
ninger.
Ligesom i gældende lovgivning sondres der i retshåndhævelsesdirektivet
mellem almindelige personoplysninger og følsomme personoplysninger.
Medlemsstaterne skal fastsætte, at behandling af almindelige personoplys-
ninger kun er lovlig, i det omfang behandlingen er nødvendig for den kom-
petente myndigheds udførelse af en opgave, som falder ind under forsla-
4
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
gets anvendelsesområde, og som er baseret på Unions- eller medlemsstats-
lovgivning, hvilket er en begrænsning i forhold til gældende lovgivning.
Som noget nyt indføres endvidere regler om særlige vilkår for behandling
af personoplysninger fra en videregivende myndighed til en modtagende
myndighed.
Derudover skal medlemsstaterne fastsætte, at behandling af følsomme per-
sonoplysninger (personoplysninger, der viser racemæssig eller etnisk bag-
grund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæs-
sigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger
og oplysninger om seksuelle forhold) alene skal være tilladt, når behand-
lingen er strengt nødvendig og underlagt tilstrækkelige sikkerhedsforan-
staltninger for den registreredes rettigheder og frihedsrettigheder. Samtidig
skal behandlingen enten være hjemlet i EU-retten eller medlemsstaternes
nationale ret, ske for at beskytte den registreredes eller en anden persons
vitale interesser eller vedrøre oplysninger, som tydeligvis er offentliggjort
af den registrerede.
Bestemmelsen om behandling af følsomme oplysninger adskiller sig på
visse punkter fra den gældende lovgivning, idet mulighederne for at be-
handle sådanne oplysninger ændres.
Når de kompetente myndigheder behandler personoplysninger til andre
formål end dem, som er omfattet af retshåndhævelsesdirektivets anvendel-
sesområde, vil den generelle forordning (EU) 2016/679 om persondatabe-
skyttelse finde anvendelse.
2.4.
Den registreredes rettigheder (direktivets kapitel III)
Retshåndhævelsesdirektivets kapitel III fastlægger den registreredes rettig-
heder i forhold til den dataansvarlige. Kapitlet indeholder nærmere be-
stemmelser om udøvelsen af den registreredes rettigheder, herunder retten
til information, indsigt, berigtigelse og sletning.
Det bemærkes, at reglerne i retshåndhævelsesdirektivet om den registrere-
des rettigheder som udgangspunkt vil medføre en udvidelse af rettigheder-
ne i forhold til gældende ret om behandling af personoplysninger på det
strafferetlige område. Dette skyldes, at de gældende regler i persondata-
loven om oplysningspligt over for den registrerede, den registreredes ret til
indsigelse, berigtigelse, blokering og sletning af personoplysninger ikke
finder anvendelse på behandlinger, der foretages for domstolene, politi og
5
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
anklagemyndighed inden for det strafferetlige område. Herudover finder
de gældende regler om den registreredes ret til indsigt ikke anvendelse på
behandlinger, der foretages for domstolene inden for det strafferetlige om-
råde.
I forhold til personoplysninger, der udveksles eller stilles til rådighed mel-
lem myndigheder fra to forskellige medlemsstater i forbindelse med politi-
samarbejde og retligt samarbejde i kriminalsager inden for EU og Schen-
gen-samarbejdet – og som i dag er omfattet af rammeafgørelsen – er det
alene retshåndhævelsesdirektivets bestemmelse om oplysningspligt, som
er en nyskabelse.
Den dataansvarlige og databehandlerens forpligtelser mv.
(direktivets kapitel IV)
Retshåndhævelsesdirektivets kapitel IV omhandler den dataansvarlige og
databehandleren. Kapitlet indeholder regler om generelle forpligtelser, da-
tasikkerhed og udpegning af en databeskyttelsesrådgiver.
Det følger bl.a. af kapitel 4 som noget nyt, at medlemsstaterne skal sikre,
at den dataansvarlige – under hensyntagen til det aktuelle tekniske niveau
og omkostningerne ved gennemførelse samt med hensyntagen til behand-
lingens karakter, omfang og formål, samt risikoen for den registreredes ret-
tigheder og frihedsrettigheder – gennemfører passende tekniske og organi-
satoriske foranstaltninger og procedurer designet med henblik på effektiv
implementering af databeskyttelsesprincipper og med henblik på integre-
ring af de fornødne garantier i behandlingen, som sikrer, at de bestemmel-
ser, som gennemfører direktivet, overholdes.
Endvidere skal medlemsstaterne fastsætte bestemmelser om, at dataansvar-
lige forud for behandling af personoplysninger, der indebærer en høj risiko
for fysiske personers rettigheder, skal foretage konsekvensanalyser.
En nyskabelse er, at medlemsstaterne – hvis to eller flere dataansvarlige i
fællesskab fastlægger formålene med og hjælpemidlerne til behandling –
fastsætter bestemmelser om, at de skal være fælles dataansvarlige og krav
om bl.a. gennemsigtig ansvarsfordeling.
Medlemsstaterne skal bl.a. sikre, at enhver dataansvarlig opbevarer forteg-
nelser over alle behandlingsaktiviterer, som de pågældende er ansvarlige
for. Disse fortegnelser skal efter anmodning gøres tilgængelige for tilsyns-
myndigheden.
6
2.5.
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Medlemsstaterne skal endvidere sikre, at følgende behandlinger i automa-
tiske behandlingssystemer bliver logget: Indsamling, ændring, søgning, vi-
deregivelse, samkøring og sletning. Loggen skal anvendes til at kontrolle-
re, om databehandlingen er lovlig, til egenkontrol og til at sikre datainte-
griteten og datasikkerheden.
En anden nyskabelse er indførelsen af et krav om, at den dataansvarlige
uden unødig forsinkelse – og om muligt inden for 72 timer – skal anmelde
brud på persondatasikkerheden, som sandsynligvis vil medføre en risiko
for fysiske personers rettigheder og frihedsrettigheder, til tilsynsmyndighe-
den.
Hvis sikkerhedsbruddet sandsynligvis vil medføre en høj risiko for den re-
gistreredes rettigheder og frihedsrettigheder, skal den dataansvarlige også
uden unødig forsinkelse underrette den registrerede om sikkerhedsbruddet.
Det er dog i visse tilfælde ikke nødvendigt at underrette tilsynsmyndighe-
den eller den registrerede om et brud på persondatasikkerheden. Det gæl-
der bl.a., hvis den dataansvarlige har gennemført passende teknologiske og
organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er
blevet anvendt på de data, som sikkerhedsbruddet vedrørte.
Desuden skal medlemsstaterne fastsætte regler om, at tilsynsmyndigheden
skal høres forud for en behandling af personoplysninger i nogle nærmere
opregnede tilfælde, som adskiller sig på en række punkter fra forpligtelser-
ne efter den gældende lovgivning.
Efter retshåndhævelsesdirektivet skal medlemsstaterne fastsætte regler om,
at retshåndhævende myndigheder, der ikke er uafhængige judicielle myn-
digheder, skal udpege en databeskyttelsesrådgiver.
Overførsel af personoplysninger til tredjelande eller interna-
tionale organisationer (direktivets kapitel V)
Retshåndhævelsesdirektivets kapitel V fastlægger betingelserne for, hvor-
når de kompetente myndigheder kan videregive personoplysninger til tred-
jelande eller internationale organisationer.
Medlemsstaterne skal sikre, at overførsel fra en kompetent myndighed til
et tredjeland eller til en international organisation, herunder også videre-
overførsel til et andet tredjeland eller international organisation, alene kan
7
2.6.
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
finde sted ved opfyldelse af særlige betingelser. Overførslen skal være
nødvendig for at opfylde et af de formål, som er omfattet af direktivets an-
vendelsesområde, og den dataansvarlige i tredjelandet mv. skal være en
kompetent myndighed i henhold til disse formål. Hvis personoplysninger-
ne er videregivet eller stillet til rådighed af en anden medlemsstat, skal
denne medlemsstat give forudgående tilladelse til overførslen i henhold til
dens nationale lovgivning. Oplysninger kan undtagelsesvis overføres uden
forudgående tilladelse, hvis det er nødvendigt for at forebygge en umiddel-
bar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige
sikkerhed eller mod en medlemsstats væsentlige interesser, og den forud-
gående tilladelse ikke kan indhentes i tide. Den ansvarlige myndighed for
den forudgående tilladelse underettes straks. Endelig skal Kommissionen
have truffet en afgørelse om, at tredjelandet mv. sikrer et tilstrækkeligt be-
skyttelsesniveau, eller der skal være indført eller eksistere fornødne garan-
tier.
I de tilfælde, hvor Kommissionen ikke har truffet en afgørelse om, at tred-
jelandet mv. sikrer et tilstrækkeligt beskyttelsesniveau, eller der ikke er
indført eller eksisterer fornødne garantier, skal medlemsstaterne i national
lovgivning fastsætte, at overførsel af personoplysninger til et tredjeland
mv., kun kan ske i en række konkrete tilfælde, herunder hvis overførslen er
nødvendig for at beskytte den registreredes eller en anden persons vitale
interesser eller hvis overførslen er nødvendig i enkeltsager med henblik på
at forfølge de formål, som er omfattet af direktivets anvendelsesområde.
I individuelle og konkrete sager kan medlemsstaterne endvidere tillade, at
der under iagttagelse af en række betingelser overføres personoplysninger
til private i tredjelande mv.
2.7.
Uafhængige tilsynsmyndigheder (direktivets kapitel VI)
Retshåndhævelsesdirektivets kapitel VI indeholder regler om de nationale
tilsynsmyndigheders uafhængige status, opgaver og beføjelser. Reglerne
minder i høj grad om gældende ret.
2.8.
Samarbejde (direktivets kapitel VII)
Retshåndhævelsesdirektivets kapitel VII indeholder bestemmelser om gen-
sidig bistand og om Det Europæiske Databeskyttelsesråds opgaver.
Det fremgår bl.a., at medlemsstaterne skal drage omsorg for, at tilsyns-
myndighederne yder hinanden gensidig bistand med henblik på at gennem-
føre og anvende de bestemmelser, der vedtages i medfør af direktivet, på
8
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
en ensartet måde og træffe foranstaltninger med henblik på et effektivt
samarbejde med hinanden.
Det Europæiske Databeskyttelsesråd, som oprettes ved den generelle data-
beskyttelsesforordning, skal inden for direktivets anvendelsesområde bl.a.
rådgive Kommissionen om ethvert spørgsmål vedrørende persondatabe-
skyttelse i Unionen og af egen drift eller efter anmodning undersøge et-
hvert spørgsmål vedrørende anvendelse af bestemmelser, som gennemfø-
rer direktivet.
2.9.
Klageadgang, ansvar og sanktioner (direktivets kapitel VIII)
Retshåndhævelsesdirektivets kapitel VIII indeholder bestemmelser om ret-
ten til at indgive klage til en tilsynsmyndighed, om retsmidler (dvs. adgang
til domstolsprøvelse) over for tilsynsmyndigheden og over for den
dataansvarlige eller databehandleren, om ret til at lade sig repræsentere af
en organisation eller lignende, om erstatningsansvar og om ret til erstat-
ning samt sanktioner.
Gennemførelsesforanstaltninger og afsluttende bestemmelser
(direktivets kapitel IX og X)
Retshåndhævelsesdirektivets kapitel IX indeholder en bestemmelse om ud-
valgsproceduren, som skal finde anvendelse i forbindelse med udstedelsen
af gennemførelsesretsakter.
I kapitel X indeholder forslaget en række afsluttende bestemmelser, hvor
der bl.a. lægges op til at ophæve den gældende rammeafgørelse 2008/
977/RIA.
3. Gældende dansk ret
3.1.
Indledning
Retshåndhævelsesdirektivet finder anvendelse på de kompetente myndig-
heders behandling af personoplysninger med henblik på at forebygge, ef-
terforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde
strafferetlige sanktioner samt sikring mod og forebyggelse af trusler mod
den offentlige sikkerhed.
Direktivet indebærer som nævnt i den forbindelse en væsentlig udvidelse
af anvendelsesområdet for den EU-retlige regulering af behandling af per-
sonoplysninger på det politimæssige og strafferetlige område. Direktivet
skal således f.eks. også omfatte politiets behandlinger af oplysninger, som
9
2.10.
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0010.png
er rent interne i den enkelte medlemsstat, og som således hverken er eller
påtænkes udvekslet med en anden medlemsstat, jf. anvendelsesområdet for
den gældende rammeafgørelse.
Hertil kommer, at gennemførelse af direktivet vil medføre mindre ændrin-
ger i retshåndhævende myndigheders muligheder for at behandle perso-
noplysninger, ligesom reglerne i direktivets kapitel III indebærer en udvi-
delse af den registreredes rettigheder i forhold til de gældende EU-regler
på det politimæssige og strafferetlige område, jf. nærmere pkt. 2.4.
I en dansk sammenhæng vil gennemførelse af direktivet derfor kunne få
betydning for behandling af personoplysninger i alle faser af en straffesag
og således, fra f.eks. det tidspunkt politiet modtager en anmeldelse om et
strafbart forhold, til kriminalforsorgen løslader den domfældte efter endt
afsoning.
Det bemærkes imidlertid, at persondataloven i vidt omfang gælder på det
politi- og strafferetlige område i Danmark.
En fuldstændig redegørelse for gældende dansk ret vil derfor omfatte en
omtale af al lovgivning mv., der regulerer behandling af personoplysnin-
ger, herunder den registreredes eventuelle rettigheder til indsigt mv., som
gælder for politiet, anklagemyndigheden, domstolene og Kriminalforsor-
gen. I det følgende redegøres imidlertid alene for de mest centrale regler.
3.2.
Persondataloven
I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-
nere ændringer (persondataloven) er der fastsat generelle regler om be-
handling af personoplysninger for offentlige myndigheder, herunder rets-
håndhævende myndigheder med undtagelse af PET og FE, og den private
sektor. Persondataloven er først og fremmest baseret på det gældende data-
beskyttelsesdirektiv fra 1995.
Persondataloven indeholder bl.a. regler om, hvornår behandling af perso-
noplysninger i almindelighed må finde sted, ligesom loven indeholder reg-
ler vedrørende behandling af særlige typer oplysninger (f.eks. regler om
personnumre).
Efter persondataloven kan retshåndhævende myndigheder, herunder politi
og anklagemyndigheden, bl.a. behandle almindelige personoplysninger,
hvis den registrerede har givet udtrykkeligt samtykke hertil, eller hvis det
10
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0011.png
er nødvendigt for myndighedsudøvelse eller udførelse af en opgave i sam-
fundets interesse, samt hvis det er nødvendigt for at forfølge en berettiget
interesse, og den registreredes interesse ikke overstiger denne interesse.
Der må som udgangspunkt ikke behandles særligt følsomme oplysninger
om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om hel-
bredsmæssige og seksuelle forhold. Dette gælder imidlertid ikke, hvis den
registrerede har givet sit udtrykkelige samtykke til behandlingen, hvis det
er nødvendigt for at beskytte den registreredes eller en anden persons vita-
le interesser, hvis oplysningerne er blevet offentliggjort af den registrere-
de, hvis det er nødvendigt for at et retskrav kan fastlægges, gøres gældende
eller forsvares, eller hvis behandlingen er nødvendig af hensyn til en of-
fentlig myndigheds varetagelse af sine opgaver på det strafferetlige områ-
de.
Følsomme oplysninger om strafbare forhold, væsentlige sociale problemer
og andre rent private forhold må som udgangspunkt heller ikke behandles,
medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.
Endvidere må sådanne oplysninger ikke videregives. Det gælder dog ikke,
hvis den registrerede har givet sit udtrykkelige samtykke hertil, hvis det
sker til varetagelse af private eller offentlige interesser, der klart overstiger
hensynet til de interesser, der begrunder hemmeligholdelse, herunder hen-
synet til den oplysningerne angår, hvis det er nødvendigt for udførelsen af
en myndigheds virksomhed eller påkrævet for en afgørelse, som myndig-
heden skal træffe, eller hvis det er nødvendigt for udførelsen af en persons
eller virksomheds opgaver for det offentlige. Sådanne oplysninger vil des-
uden kunne behandles, herunder videregives, efter de samme undtagelses-
muligheder, som gælder for de særligt følsomme oplysninger, jf. afsnittet
ovenfor.
Persondataloven indeholder desuden en række bestemmelser om rettighe-
der for de personer, der behandles oplysninger om. Det gælder f.eks. regler
om den registreredes ret til information, indsigelse, indsigt, berigtigelse og
sletning af personoplysninger.
Persondataloven gælder generelt for politiets, anklagemyndighedens og
domstolenes behandling af personoplysninger. Lovens bestemmelser om
oplysningspligt over for den registrerede, den registreredes ret til indsigel-
se, berigtigelse, blokering og sletning af personoplysninger finder dog ikke
anvendelse på behandlinger, der foretages for domstolene, politi og ankla-
11
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
gemyndighed inden for det strafferetlige område. Der henvises i øvrigt til
pkt. 2.4 ovenfor. Herudover finder lovens regler om den registreredes ret
til indsigt ikke anvendelse på behandlinger, der foretages for domstolene
inden for det strafferetlige område.
Persondataloven fastsætter endvidere regler om datasikkerhed i forbindelse
med behandling af personoplysninger, hvorefter den dataansvarlige skal
træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger
mod, at oplysninger bl.a. ikke kommer til uvedkommendes kendskab. Dis-
se regler suppleres for offentlige myndigheders vedkommende af bekendt-
gørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyt-
telse af personoplysninger, som behandles for den offentlige forvaltning.
Efter denne bekendtgørelse skal offentlige myndigheder bl.a. logge anven-
delse af fortrolige personoplysninger.
Persondataloven indeholder også bestemmelser om offentlige myndighe-
ders anmeldelse af behandlinger af fortrolige personoplysninger til Datatil-
synet forud for iværksættelse af behandlingen og forudgående høring af til-
synet bl.a. forud for behandling af følsomme personoplysninger.
Endelig indeholder persondataloven regler om Datatilsynets tilsyn med
bl.a. offentlige myndigheders behandling af personoplysninger, herunder
om klageadgang og tilsynets adgang til at undersøge sager af egen drift, og
regler om tilsynets beføjelser. Det bemærkes, at Datatilsynet efter person-
datalovens regler kun i begrænset omfang har beføjelser til at træffe afgø-
relser, herunder udstede påbud og forbud, over for offentlige myndigheder.
Bekendtgørelse om beskyttelse af personoplysninger i forbin-
delse med politisamarbejde og retligt samarbejde i krimi-
nalsager inden for EU og Schengen-samarbejdet
Justitsministeren har i medfør af persondatalovens § 72 a fastsat nærmere
regler ved bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse
af personoplysninger i forbindelse med politisamarbejde og retligt samar-
bejde i kriminalsager inden for Den Europæiske Union og Schengen-sam-
arbejdet. Bekendtgørelsen gennemfører Rådets rammeafgørelse 2008/
977/RIA i dansk ret.
Formålet med bekendtgørelsen er at sikre beskyttelsen af personoplysnin-
ger, der behandles inden for rammerne af det politimæssige og strafferetli-
ge samarbejde inden for EU.
12
3.3.
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Bekendtgørelsen finder anvendelse i forhold til personoplysninger, der ud-
veksles eller stilles til rådighed mellem en dansk og en udenlandsk myn-
dighed i forbindelse med politisamarbejde og retligt samarbejde i krimi-
nalsager inden for Den Europæiske Union og Schengen-samarbejdet.
Bekendtgørelsen tager således sigte på den grænseoverskridende informa-
tionsudveksling i forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager. Den finder inden for dette område anvendelse på behand-
ling af personoplysninger, der helt eller delvis foretages elektronisk, og i
forhold til ikke-elektronisk behandling af personoplysninger, der er eller
vil blive indeholdt i et register.
Bekendtgørelsen henviser bl.a. til en række af de grundlæggende regler for
behandling af personoplysninger i persondataloven. Den indeholder herud-
over regler om datakvalitet og behandlingssikkerhed. Bekendtgørelsen in-
deholder desuden regler for specifikke former for databehandling, herun-
der regler om viderebehandling af personoplysninger modtaget fra andre
medlemsstater og om videregivelse af sådanne oplysninger til private og
tredjelande samt internationale organer. Herudover udvider bekendtgørel-
sen den registreredes rettigheder med hensyn til bl.a. underretning og be-
rigtigelse af urigtige oplysninger i forhold til persondataloven.
3.4.
Retsplejeloven
Retsplejeloven (lovbekendtgørelse nr. 1255 af 16. november 2015 med se-
nere ændringer) indeholder de grundlæggende regler i dansk ret vedrøren-
de bl.a. efterforskning og retsforfølgning af strafbare forhold.
Retsplejelovens kapitel 67-75 b fastsætter således regler om politiets efter-
forskning af strafbare forhold og om gennemførelsen af tvangsindgreb,
herunder reglerne for anholdelse, varetægtsfængsling, indgreb i meddelel-
seshemmeligheden, legemsindgreb, ransagning, beslaglæggelse, edition og
personundersøgelser. Disse kapitler indeholder ligeledes grundlæggende
straffeprocessuelle regler.
Retsplejeloven indeholder endvidere regler om aktindsigt i domme, ken-
delser og andre dokumenter, der vedrører en straffesag. Udgangspunktet
er, at enhver har ret til aktindsigt i domme og kendelser mv., ligesom den,
der har en individuel, væsentlig interesse i et konkret retsspørgsmål, som
udgangspunkt kan forlange at blive gjort bekendt med dokumenter, der
vedrører en straffesag, herunder indførsler i retsbøgerne, i det omfang do-
kumenterne har betydning for vurderingen af det pågældende retsspørgs-
13
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
mål.
Herudover regulerer retsplejelovens § 115 bl.a., hvornår politiet kan ud-
veksle oplysninger om enkeltpersoners rent private forhold til andre myn-
digheder som led i det kriminalitetsforebyggende samarbejde (SSP-samar-
bejdet).
3.5.
Straffuldbyrdelsesloven
Straffuldbyrdelsesloven (lovbekendtgørelsen nr. 1242 af 11. november
2015 med senere ændringer) regulerer fuldbyrdelsen af fængselsstraffe,
bødestraffe, betingede domme, domme med vilkår om samfundstjeneste og
forvaring.
Straffuldbyrdelsesloven indeholder i en række tilfælde mulighed for, at
myndighederne kan behandle personoplysninger om en dømt person for at
varetage sine opgaver efter loven. Det er f.eks. tilfældet, hvor kriminal-
forsorgen træffer afgørelse om valg af afsoningsinstitution, om anbringelse
i åbent eller lukket fængsel, om overførsel fra åbent til lukket fængsel og
om udgang i forbindelse med afsoning af fængselsstraf.
4. Lovgivningsmæssige konsekvenser
Gennemførelse af retshåndhævelsesdirektivet i dansk ret vil indebære, at
der skal ske ændringer af gældende dansk lovgivning.
Der vil således skulle ske en tilpasning af reglerne, som i dag følger af per-
sondataloven, til direktivets regler, herunder særligt direktivets behand-
lingsregler og regulering for den registreredes rettigheder.
Det er endvidere Justitsministeriets umiddelbare vurdering, at en gennem-
førelse kan medføre, at det bliver nødvendigt at revidere nogle af de gæl-
dende regler i retsplejeloven og straffuldbyrdelsesloven, der regulerer be-
handling af personoplysninger.
5. Økonomiske og administrative konsekvenser
Det må forventes, at en gennemførelse af retshåndhævelsesdirektivet vil
indebære administrative konsekvenser for statens retshåndhævende myn-
digheder i forbindelse med omstillingen til at skulle anvende de nye regler.
Retshåndhævelsesdirektivet medfører som nævnt ovenfor under pkt. 2.2, at
retshåndhævende myndigheder i visse situationer skal forpligtes til at give
borgerne en række oplysninger i forbindelse med, at de indsamler perso-
14
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
noplysninger.
Oplysningspligten
må antages i et vist omfang at kunne op-
fyldes samtidig med andre sagsbehandlingsskridt. Dertil kommer, at der
efter direktivet kan fastsættes regler om undtagelse fra oplysningspligten
af hensyn til en række nærmere angivne offentlige interesser. Omfanget af
oplysningspligten vil således afhænge af, hvilke undtagelser der fastsættes
i dansk ret. På nuværende tidspunkt er det derfor behæftet med stor usik-
kerhed at skønne over udgifterne hertil. I nogle situationer vil det dog for-
mentlig isoleret set medføre øget administration for de retshåndhævende
myndigheder. Som nævnt medfører direktivet endvidere, at den registrere-
de skal have
ret til berigtigelse, sletning og begrænsning
af urigtige oplys-
ninger. Disse forpligtelser skønnes ikke i sig selv at have administrative
konsekvenser af betydning, idet myndighederne efter gældende ret er for-
pligtet til af egen drift eller efter en klage at slette eller berigtige urigtige
eller vildledende oplysninger. Retshåndhævelsesdirektivet medfører imid-
lertid den yderligere forpligtelse, at myndighederne af egen drift fremad-
rettet skal meddele modtagerne af oplysningerne, at disse er blevet berigti-
get, slettet eller begrænset.
Herudover medfører direktivet yderligere krav til databehandlere og
dataansvarlige, herunder i forhold til sikkerheden, som imidlertid bl.a. på
baggrund af Datatilsynets praksis må anses at være krav, der i vidt omfang
allerede gælder på området efter reglerne i dag. Dog medfører direktivet,
at retshåndhævende myndigheder efter direktivet skal udpege en databe-
skyttelsesrådgiver, hvilket skønnes at ville indebære visse mindre udgifter.
De dataansvarlige skal som noget nyt opbevare fortegnelser om eksempel-
vis dataansvarliges navn, formål med behandlingen af personoplysninger,
beskrivelse af kategorier af registrerede, overførsel af personoplysninger
til tredjelande, hvornår personoplysninger skal slettes og sikkerhedsforan-
staltninger. Til gengæld indeholder retshåndhævelsesdirektivet intet krav
om anmeldelse af behandlinger, hvor det i dag er et krav, at offentlige, her-
under retshåndhævende myndigheder, foretager anmeldelse til Datatilsynet
af deres behandlinger af fortrolige personoplysninger. En høringsforplig-
telse opretholdes dog i tilfælde af, at personoplysninger skal behandles i et
register, hvis en konsekvensanalyse har vist sandsynlighed for en høj risi-
ko for den registreredes rettigheder og frihedsrettigheder ved den påtænkte
behandling eller typen af behandling er forbundet med en høj risiko for de
registreredes rettigheder. Samlet set er vurderingen dog, at der selv med
indførelsen af et krav om at opbevare fortegnelser samt den begrænsede
høringsforpligtelse ikke vil være tale om en stigning i udgifterne, men for-
15
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0016.png
mentlig en mindre lempelse i forhold til anmeldelsespligten, som følger af
gældende ret.
Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden gøres til en eksplicit
forpligtelse. Dette er en ny forpligtelse, som vil medføre visse meromkost-
ninger for retshåndhævende myndigheder. Det skal dog bemærkes, at der i
en del situationer allerede i dag sker underretning af Datatilsynet ved sik-
kerhedsbrud. Den registrerede skal efter retshåndhævelsesdirektivet oply-
ses om sikkerhedsbruddet. Dette følger efter Datatilsynets praksis allerede
i dag også af kravet om god databehandlingsskik i persondatalovens § 5,
stk. 1, men meddelelsen skal indeholde flere oplysninger end i dag (mange
af de samme oplysninger som til tilsynsmyndigheden).
Endelig vil Datatilsynet skulle varetage en række nye opgaver navnlig på
det internationale område, som vil medføre et øget ressourceforbrug hos
tilsynet. Dette skal dog ses i sammenhæng med, at tilsynet får samme op-
gaver i forbindelse med den generelle databeskyttelsesforordning, som får
direkte virkning for Danmark den 25. maj 2018, hvorfor denne del for di-
rektivets vedkommende må anses for at have en mindre betydning.
Samlet set må det antages, at retshåndhævende myndigheder med rets-
håndhævelsesdirektivet vil få en række nye forpligtelser, som vil indebære
visse merudgifter.
Bilag 1
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU)
2016/680
af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med kompetente myn-
digheders behandling af personoplysninger med henblik på at fore-
bygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne
oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE
UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
16
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0017.png
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale
parlamenter,
under henvisning til udtalelse fra Regionsudvalget
(
1
),
efter den almindelige lovgivningsprocedure
(
2
),
og
ud fra følgende betragtninger:
(1)Beskyttelse af fysiske personer i forbindelse med behandling af perso-
noplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den
Europæiske Unions charter om grundlæggende rettigheder (»chartret«)
og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktions-
måde (TEUF) fastsættes det, at enhver har ret til beskyttelse af perso-
noplysninger, der vedrører den pågældende.
(2)Principperne og reglerne for beskyttelse af fysiske personer i forbindel-
se med behandling af deres personoplysninger bør, uanset deres natio-
nalitet eller bopæl, respektere deres grundlæggende rettigheder og fri-
hedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.
Dette direktiv har til formål at bidrage til skabelsen af et område med
frihed, sikkerhed og retfærdighed.
(3)Den hastige teknologiske udvikling og globaliseringen har skabt nye
udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget
af indsamlingen og delingen af personoplysninger er steget betydeligt.
Teknologien giver mulighed for at behandle personoplysninger i et
hidtil uset omfang i forbindelse med udøvelsen af aktiviteter såsom at
forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger el-
ler fuldbyrde strafferetlige sanktioner.
(4)Den frie udveksling af personoplysninger mellem kompetente myndig-
heder med henblik på at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed i Unio-
nen, og overførsel af sådanne personoplysninger til tredjelande og inter-
nationale organisationer, bør lettes samtidig med, at der sikres et højt
niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at
der opbygges en stærk og mere sammenhængende ramme for beskyttel-
se af personoplysninger i Unionen, som understøttes af en effektiv
håndhævelse.
(5)Europa-Parlamentets og Rådets direktiv 95/46/EF
(
3
)
finder anvendelse
på al behandling af personoplysninger i medlemsstaterne både i den of-
17
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0018.png
fentlige og private sektor. Det finder dog ikke anvendelse på behandling
af personoplysninger under udøvelse af aktiviteter, der falder uden for
fællesskabsretten, såsom retligt samarbejde i straffesager og politisam-
arbejde.
(6)Rådets rammeafgørelse 2008/977/RIA
(
4
)
finder anvendelse inden for
retligt samarbejde i straffesager og politisamarbejde. Denne rammeaf-
gørelses anvendelsesområde er begrænset til behandling af personoplys-
ninger, der videregives eller stilles til rådighed mellem medlemsstater.
(7)Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af perso-
noplysninger om fysiske personer og gøre det lettere at udveksle perso-
noplysninger mellem medlemsstaternes kompetente myndigheder for at
sikre et effektivt retligt samarbejde i straffesager og politisamarbejde.
Med det formål bør niveauet for beskyttelse af fysiske personers rettig-
heder og frihedsrettigheder i forbindelse med de kompetente myndighe-
ders behandling af personoplysninger med henblik på at forebygge, ef-
terforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebygge trusler
mod den offentlige sikkerhed, være ensartet i alle medlemsstater. For at
sikre en effektiv beskyttelse af personoplysninger i hele Unionen er det
nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der
påhviler dem, der behandler personoplysninger, samt tilsvarende befø-
jelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse
af personoplysninger i medlemsstaterne.
(8)Artikel 16, stk. 2, i TEUF giver Europa-Parlamentet og Rådet beføjelse
til at fastsætte regler for beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og regler om fri udveksling af så-
danne oplysninger.
(9)På det grundlag fastsættes der ved Europa-Parlamentets og Rådets for-
ordning (EU) 2016/679
(
5
)
generelle regler for at beskytte fysiske perso-
ner i forbindelse med behandling af personoplysninger og sikre fri ud-
veksling af personoplysninger i Unionen.
(10)I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt
samarbejde i straffesager og politisamarbejde, der er knyttet som bilag
til slutakten fra den regeringskonference, der vedtog Lissabontrakta-
ten, erkendte konferencen, at det kan blive nødvendigt med specifikke
regler om beskyttelse af personoplysninger og om fri bevægelighed for
18
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
personoplysninger inden for retligt samarbejde i straffesager og politi-
samarbejde baseret på artikel 16 i TEUF som følge af disse områders
specifikke karakter.
(11)Det er derfor hensigtsmæssigt at disse områder behandles i et direktiv,
der fastsætter særlige regler for beskyttelse af fysiske personer i for-
bindelse med de kompetente myndigheders behandling af personop-
lysninger med henblik på at forebygge, efterforske, afsløre eller rets-
forfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner,
herunder beskytte mod og forebygge trusler mod den offentlige sikker-
hed, idet disse aktiviteters særlige karakter respekteres. Disse kompe-
tente myndigheder kan omfatte ikke blot offentlige myndigheder som
judicielle myndigheder, politi eller andre retshåndhævende myndighe-
der, men også alle andre organer eller enheder, som i henhold til med-
lemsstaternes nationale ret udøver offentlig myndighed eller offentlige
beføjelser med henblik på dette direktiv. Hvis det pågældende organ
eller den pågældende enhed behandler personoplysninger til andre for-
mål end med henblik på dette direktiv, finder forordning (EU)
2016/679 anvendelse. Forordning (EU) 2016/679 finder derfor anven-
delse i tilfælde, hvor et organ eller en enhed indsamler personoplys-
ninger til andre formål og viderebehandler disse personoplysninger for
at opfylde en retlig forpligtelse, som det/den er underlagt. For eksem-
pel opbevarer finansielle institutioner med henblik på efterforskning,
afsløring eller retsforfølgning af strafbare handlinger visse personop-
lysninger, som de behandler, og disse personoplysninger videregives
kun til de kompetente nationale myndigheder i særlige tilfælde og i
henhold til medlemsstaternes nationale ret. Et organ eller en enhed,
som behandler personoplysninger på sådanne myndigheders vegne in-
den for dette direktivs anvendelsesområde, bør være bundet af en kon-
trakt eller en anden retsakt og af de bestemmelser, der gælder for data-
behandlere i henhold til dette direktiv, mens anvendelsen af forordning
(EU) 2016/679 ikke berøres heraf, for så vidt angår databehandlerens
behandlingsaktiviteter uden for dette direktivs anvendelsesområde.
(12)De aktiviteter, der udføres af politiet eller andre retshåndhævende
myndigheder, er hovedsageligt fokuseret på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger, herunder politiaktiviteter
uden forudgående viden om, hvorvidt et forhold udgør en strafbar
handling eller ej. Sådanne aktiviteter kan også omfatte udøvelsen af
beføjelser gennem tvangsindgreb som f.eks. politiaktiviteter i forbin-
delse med demonstrationer, store sportsbegivenheder og uroligheder.
19
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
De omfatter også opretholdelse af lov og orden som en opgave, der er
overdraget til politiet eller andre retshåndhævende myndigheder, hvor
det er nødvendigt for at beskytte mod og forebygge trusler mod den
offentlige sikkerhed og de ved lov beskyttede grundlæggende sam-
fundsinteresser, som kan føre til en strafbar handling. Medlemsstater
kan overdrage andre opgaver, der ikke nødvendigvis foretages med
henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger, herunder beskytte mod og forebygge trusler mod den of-
fentlige sikkerhed, til de kompetente myndigheder, således at behand-
lingen af personoplysninger til disse andre formål, for så vidt de er
omfattet af EU-retten, falder ind under anvendelsesområdet for forord-
ning (EU) 2016/679.
(13)En strafbar handling som omhandlet i dette direktiv bør være et selv-
stændigt EU-retligt begreb som fortolket af Den Europæiske Unions
Domstol (»Domstolen«).
(14)Da dette direktiv ikke bør finde anvendelse på behandlingen af perso-
noplysninger i forbindelse med en aktivitet, der falder uden for EU-
retten, bør aktiviteter vedrørende statens sikkerhed, aktiviteter udført
af agenturer eller enheder, der beskæftiger sig med spørgsmål om sta-
tens sikkerhed, og medlemsstaternes behandling af personoplysninger
ved udførelsen af aktiviteter, der falder inden for rammerne af afsnit
V, kapitel 2, i traktaten om Den Europæiske Union (TEU), ikke anses
for at være aktiviteter, der falder inden for dette direktivs anvendelses-
område.
(15)For at sikre et ensartet beskyttelsesniveau for fysiske personer ved
hjælp af rettigheder, som kan håndhæves i hele Unionen, og for at hin-
dre, at forskelle hæmmer den frie udveksling af personoplysninger
mellem kompetente myndigheder, bør dette direktiv fastsætte har-
moniserede regler for beskyttelse og fri udveksling af personoplysnin-
ger, der behandles med henblik på at forebygge, efterforske, afsløre el-
ler retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sank-
tioner, herunder beskytte mod og forebygge trusler mod den offentlige
sikkerhed. Den indbyrdes tilnærmelse af medlemsstaternes lovgivnin-
ger bør ikke resultere i en forringelse af den beskyttelse af personop-
lysninger, de indeholder, men bør tværtimod søge at sikre et højt be-
skyttelsesniveau i Unionen. Medlemsstaterne bør ikke forhindres i at
fastsætte højere standarder end dem, der er indeholdt i dette direktiv,
for beskyttelse af den registreredes rettigheder og frihedsrettigheder
20
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0021.png
med hensyn til kompetente myndigheders behandling af personoplys-
ninger.
(16)Dette direktiv berører ikke princippet om aktindsigt i officielle doku-
menter. I henhold til forordning (EU) 2016/679 kan personoplysninger
i officielle dokumenter, som opbevares af en offentlig myndighed eller
et offentligt eller privat organ med henblik på udførelse af en opgave i
samfundets interesse, videregives af denne myndighed eller dette or-
gan i overensstemmelse med EU-retten eller medlemsstaternes natio-
nale ret, som den offentlige myndighed eller organet er underlagt, for
at forene aktindsigt i officielle dokumenter med retten til beskyttelse af
personoplysninger.
(17)Den beskyttelse, som dette direktiv yder i forbindelse med behandling
af personoplysninger, bør finde anvendelse på fysiske personer uanset
nationalitet eller bopæl.
(18)For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen
af fysiske personer være teknologineutral og ikke afhænge af de an-
vendte teknikker. Beskyttelsen af fysiske personer bør gælde for både
automatisk og manuel behandling af personoplysninger, hvis perso-
noplysningerne er indeholdt eller vil blive indeholdt i et register. Sags-
mapper eller samlinger af sagsmapper samt deres forsider, som ikke er
struktureret efter bestemte kriterier, bør ikke være omfattet af dette di-
rektivs anvendelsesområde.
(19)Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001
(
6
)
finder
anvendelse på behandling af personoplysninger, der foretages af Den
Europæiske Unions institutioner, organer, kontorer og agenturer. For-
ordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse
på en sådan behandling af personoplysninger, bør tilpasses til princip-
perne og bestemmelserne i forordning (EU) 2016/679.
(20)Dette direktiv forhindrer ikke medlemsstaterne i at præcisere behand-
lingsaktiviteter og behandlingsprocedurer i deres nationale regler om
strafferetspleje vedrørende behandling af personoplysninger ved dom-
stole og andre judicielle myndigheder, navnlig for så vidt angår perso-
noplysninger, der er indeholdt i en retsafgørelse eller et register i for-
bindelse med straffesager.
(21)Principperne for databeskyttelse bør gælde enhver information om en
21
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
identificeret eller identificerbar fysisk person. For at afgøre, om en fy-
sisk person er identificerbar, bør alle midler tages i betragtning, der
med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige
eller en anden person til direkte eller indirekte at identificere, herunder
udpege, den pågældende. For at fastslå, om midler med rimelighed kan
tænkes bragt i anvendelse til at identificere en fysisk person, bør alle
objektive forhold tages i betragtning, såsom omkostninger ved og tid,
der er nødvendig til identifikation, under hensyntagen til den tilgænge-
lige teknologi på behandlingstidspunktet og den teknologiske udvik-
ling. Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme
oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller
identificerbar fysisk person, eller for personoplysninger, som er gjort
anonyme på en sådan måde, at den registrerede ikke længere kan iden-
tificeres.
(22)Offentlige myndigheder, til hvem personoplysninger videregives i
overensstemmelse med en retlig forpligtelse i forbindelse med udøvel-
sen af deres officielle hverv, såsom skatte- og toldmyndigheder, finan-
sielle efterforskningsenheder, uafhængige administrative myndigheder
eller finansielle markedsmyndigheder, der er ansvarlige for regulering
af og tilsyn med værdipapirmarkederne, bør ikke betragtes som væren-
de modtagere, hvis de modtager personoplysninger, der er nødvendige
som led i en isoleret forespørgsel af almen interesse i overensstemmel-
se med EU-retten eller medlemsstaternes nationale ret. Anmodninger
om videregivelse af oplysninger sendt af de offentlige myndigheder
bør altid være skriftlige, begrundede og lejlighedsvise og bør ikke ved-
røre et register som helhed eller føre til samkøring af registre. Disse
offentlige myndigheders behandling af personoplysninger bør være i
overensstemmelse med de gældende databeskyttelsesregler afhængigt
af formålet med behandlingen.
(23)Genetiske data bør defineres som personoplysninger vedrørende en fy-
sisk persons arvede eller erhvervede genetiske karakteristika, som gi-
ver entydig information om den pågældende fysiske persons fysiologi
eller helbred, og som foreligger efter en analyse af en biologisk prøve
fra den pågældende fysiske person, navnlig en analyse på kromosom-
niveau, af deoxyribonukleinsyre (DNA) eller ribonukleinsyre (RNA),
eller efter en analyse af et andet element til indhentning af lignende
oplysninger. I betragtning af genetiske oplysningers kompleksitet og
følsomhed er der stor risiko for misbrug og genanvendelse til forskelli-
ge formål fra den dataansvarliges side. Enhver forskelsbehandling på
22
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0023.png
grund af genetiske anlæg bør i princippet være forbudt.
(24)Helbredsoplysninger bør omfatte alle personoplysninger om den regi-
streredes helbredstilstand, som giver oplysninger om den registreredes
tidligere, nuværende eller fremtidige fysiske eller mentale helbredstil-
stand. Dette omfatter oplysninger om den fysiske person indsamlet i
løbet af registreringen af denne med henblik på eller under levering af
sundhedsydelser, jf. Europa-Parlamentets og Rådets direktiv
2011/24/EU
(
7
),
til den fysiske person; et nummer, symbol eller særligt
mærke, der tildeles en fysisk person for entydigt at identificere den fy-
siske person til sundhedsformål; oplysninger, der hidrører fra prøver
eller undersøgelser af en legemsdel eller legemlig substans, herunder
fra genetiske data og biologiske prøver; og enhver oplysninger om
f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en
sundhedsfaglig behandling eller den registreredes fysiologiske eller
biomedicinske tilstand uafhængigt af kilden hertil, f.eks. fra en læge
eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vi-
tro-diagnostik.
(25)Alle medlemsstater er tilknyttet Den Internationale Kriminalpolitiorga-
nisation (Interpol). Med henblik på at opfylde sin funktion modtager,
opbevarer og videregiver Interpol personoplysninger for at bistå de
kompetente myndigheder med at forebygge og bekæmpe international
kriminalitet. Det er derfor relevant at styrke samarbejdet mellem Unio-
nen og Interpol ved at fremme en effektiv udveksling af personoplys-
ninger, samtidig med at overholdelsen af de grundlæggende rettighe-
der og frihedsrettigheder med hensyn til elektronisk behandling af per-
sonoplysninger sikres. Når der videregives personoplysninger fra Uni-
onen til Interpol og til lande, der er medlemmer af Interpol, bør dette
direktiv, navnlig bestemmelserne om internationale overførsler, finde
anvendelse. Dette direktiv bør ikke berøre de særlige regler, der er
fastsat i Rådets fælles holdning 2005/69/RIA
(
8
)
og Rådets afgørelse
2007/533/RIA
(
9
).
(26)Enhver behandling af personoplysninger skal være lovlig, rimelig og
gennemsigtig i forhold til de berørte fysiske personer og må kun finde
sted til specifikke formål fastlagt ved lov. Det forhindrer ikke i sig selv
de retshåndhævende myndigheder i at udføre aktiviteter som f.eks.
hemmelige undersøgelser eller videoovervågning. Disse aktiviteter
kan udføres med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktio-
23
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
ner, herunder beskytte mod og forebygge trusler mod den offentlige
sikkerhed, så længe de er fastlagt ved lov og udgør en nødvendig og
forholdsmæssig foranstaltning i et demokratisk samfund under behø-
rigt hensyn til den berørte fysiske persons legitime interesser. Databe-
skyttelsesprincippet om rimelig behandling er et særskilt begreb i for-
hold til retten til en retfærdig rettergang som defineret i chartrets arti-
kel 47 og artikel 6 i den europæiske konvention til beskyttelse af men-
neskerettigheder og grundlæggende frihedsrettigheder (EMRK). Fysi-
ske personer bør gøres bekendt med risici, regler, garantier og rettighe-
der i forbindelse med behandling af deres personoplysninger og med,
hvordan de skal udøve deres rettigheder i forbindelse med behandlin-
gen. De konkrete formål med behandlingen af personoplysningerne
bør navnlig være udtrykkelige og legitime og fastlagt, når personop-
lysningerne indsamles. Personoplysningerne bør være tilstrækkelige
og relevante i forhold til de formål, hvortil de behandles. Det bør
navnlig sikres, at de indsamlede personoplysninger ikke er for omfat-
tende og ikke opbevares i et længere tidsrum end det, der er nødven-
digt af hensyn til de formål, hvortil de behandles. Personoplysninger
bør kun behandles, hvis formålet med behandlingen ikke med rimelig-
hed kan opfyldes på anden måde. For at sikre, at oplysningerne ikke
opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre
tidsfrister for sletning eller regelmæssig revision. Medlemsstaterne bør
fastsætte de fornødne garantier for personoplysninger, der i længere
perioder opbevares til arkivformål i samfundets interesse eller til vi-
denskabelig, statistisk eller historisk brug.
(27)Med henblik på forebyggelse, efterforskning og retsforfølgning af
strafbare handlinger er det nødvendigt, at de kompetente myndigheder
behandler personoplysninger, der er indsamlet i forbindelse med fore-
byggelse, efterforskning, afsløring eller retsforfølgning af konkrete
strafbare handlinger, i en bredere sammenhæng for derved at få en for-
ståelse af kriminelle handlinger og sammenkoble forskellige strafbare
handlinger, som er blevet afsløret.
(28)For at opretholde sikkerheden i forhold til behandling og hindre be-
handling i strid med dette direktiv bør personoplysninger behandles på
en måde, der garanterer et tilstrækkeligt niveau af sikkerhed og fortro-
lighed, herunder hindring af uautoriseret adgang til eller anvendelse af
personoplysninger og af det udstyr, der anvendes til behandlingen, og
under hensyntagen til det aktuelle tekniske niveau og den teknologi,
der er tilgængelig, implementeringsomkostningerne i forbindelse med
24
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
risiciene ved og karakteren af de personoplysninger, der skal beskyt-
tes.
(29)Personoplysninger bør indsamles til udtrykkeligt angivne og legitime
formål inden for dette direktivs anvendelsesområde og bør ikke be-
handles til formål, der er uforenelige med formålene med at forebygge,
efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyr-
de strafferetlige sanktioner, herunder beskytte mod og forebygge trus-
ler mod den offentlige sikkerhed. Hvis personoplysninger behandles af
den samme eller en anden dataansvarlig til et formål inden for dette di-
rektivs anvendelsesområde, men som adskiller sig fra det, hvortil de er
indsamlet, bør en sådan behandling være tilladt, forudsat at en sådan
behandling er godkendt i overensstemmelse med gældende retlige be-
stemmelser og er nødvendig for og står i et rimeligt forhold til dette
andet formål.
(30)Princippet om oplysningernes rigtighed bør anvendes under hensynta-
gen til den pågældende behandlings karakter og formål. Navnlig i rets-
sager er udsagn, der indeholder personoplysninger, baseret på en sub-
jektiv opfattelse af fysiske personer, og det er ikke altid muligt at kon-
trollere dem. Kravet om oplysningernes rigtighed bør derfor ikke ved-
røre et udsagns rigtighed, men blot det forhold, at der er fremsat et
konkret udsagn.
(31)Behandling af personoplysninger inden for retligt samarbejde i straf-
fesager og politisamarbejde indebærer i sagens natur behandling af
personoplysninger om forskellige kategorier af registrerede. Der bør
således, hvis det er relevant og så vidt muligt, sondres klart mellem
personoplysninger om forskellige kategorier af registrerede såsom
mistænkte, personer, der er dømt for en strafbar handling, ofre og an-
dre parter som f.eks. vidner, personer, der ligger inde med relevante
oplysninger eller kontakter, eller mistænktes og dømte kriminelles
ledsagepersoner. Dette bør ikke være til hinder for anvendelsen af
princippet om uskyldsformodning, som er sikret ved chartret og ved
EMRK, som fortolket i retspraksis ved henholdsvis Domstolen og Den
Europæiske Menneskerettighedsdomstol.
(32)De kompetente myndigheder bør sikre, at personoplysninger, som er
urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stil-
les til rådighed. For at sikre beskyttelsen af fysiske personer, rigtighe-
den, fuldstændigheden, eller graden af ajourføring og pålideligheden
25
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
af de personoplysninger, der videregives eller stilles til rådighed, bør
de kompetente myndigheder så vidt muligt tilføje nødvendige oplys-
ninger ved enhver videregivelse af personoplysninger.
(33)Når dette direktiv henviser til medlemsstaternes nationale ret, et rets-
grundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke
nødvendigvis en lov, der er vedtaget af et parlament, med forbehold
for krav i henhold til den forfatningsmæssige orden i den pågældende
medlemsstat. En sådan national ret i medlemsstaterne, et sådant rets-
grundlag eller en sådan lovgivningsmæssig foranstaltning bør imidler-
tid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig
for de personer, der er omfattet af dets/dens anvendelsesområde, jf.
retspraksis fra Domstolen og Den Europæiske Menneskerettigheds-
domstol. Medlemsstaternes nationale ret, som regulerer behandling af
personoplysninger inden for dette direktivs anvendelsesområde, bør
som minimum angive målene, de personoplysninger, der skal behand-
les, formålene med behandlingen og procedurerne for sikring af perso-
noplysningernes integritet og fortrolighed samt procedurerne for deres
tilintetgørelse og derved i tilstrækkelig grad sikre oplysningerne mod
risikoen for misbrug og vilkårlighed.
(34)Kompetente myndigheders behandling af personoplysninger med hen-
blik på at forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner, herunder at beskyt-
te mod eller forebygge trusler mod den offentlige sikkerhed, bør dæk-
ke enhver aktivitet eller række af aktiviteter, med eller uden brug af
automatisk behandling, som personoplysninger eller en samling af per-
sonoplysninger gøres til genstand for, f.eks. indsamling, registrering,
organisering, systematisering, opbevaring, tilpasning eller ændring,
genfinding, søgning, brug, sammenstilling eller samkøring, begræns-
ning af behandling, sletning eller tilintetgørelse. Bestemmelserne i det-
te direktiv bør navnlig finde anvendelse på videregivelse af personop-
lysninger med henblik på dette direktiv til en modtager, der ikke er
omfattet af dette direktiv. En sådan modtager bør omfatte en fysisk el-
ler juridisk person, offentlig myndighed, institution eller ethvert andet
organ, som personoplysningerne lovligt videregives til af den kompe-
tente myndighed. Hvis personoplysningerne oprindeligt blev indsamlet
af en kompetent myndighed til et af dette direktivs formål, bør forord-
ning (EU) 2016/679 finde anvendelse på behandlingen af disse oplys-
ninger til andre formål end med henblik på dette direktiv, hvis en så-
dan behandling er hjemlet i EU-retten eller medlemsstaternes nationale
26
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
ret. Bestemmelserne i forordning (EU) 2016/679 bør navnlig finde an-
vendelse på videregivelse af personoplysninger til formål, der ikke er
omfattet af dette direktiv. Forordning (EU) 2016/679 bør finde anven-
delse på behandling af personoplysninger, der udføres af en modtager,
der ikke er en kompetent myndighed, eller der ikke fungerer som en
sådan med henblik på dette direktiv, og til hvilken en kompetent myn-
dighed lovligt videregiver personoplysninger. Ved gennemførelsen af
dette direktiv bør medlemsstaterne også yderligere kunne præcisere
anvendelsen af bestemmelserne i forordning (EU) 2016/679 med for-
behold af de betingelser, som er fastsat i forordningen.
(35)For at være lovlig bør en behandling af personoplysninger i medfør af
dette direktiv være nødvendig for en kompetent myndigheds udførelse
af en opgave i samfundets interesse på grundlag af EU-retten eller
medlemsstaternes nationale ret med henblik på at forebygge, efterfor-
ske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde straf-
feretlige sanktioner, herunder beskytte mod og forebygge trusler mod
den offentlige sikkerhed. Disse aktiviteter bør omfatte beskyttelsen af
den registreredes vitale interesser. Udførelsen af opgaverne med at
forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger,
som institutionelt er tillagt de kompetente myndigheder ved lov, gør
det muligt for disse myndigheder at kræve, at fysiske personer efterle-
ver de anmodninger, der fremsættes. I så fald bør den registreredes
samtykke som defineret i forordning (EU) 2016/679 ikke udgøre et
retsgrundlag for de kompetente myndigheders behandling af personop-
lysninger. Hvis det kræves, at den registrerede opfylder en retlig for-
pligtelse, har den registrerede ikke et reelt og frit valg, hvorfor den re-
gistreredes reaktion ikke kan anses for at være en frivillig viljetilken-
degivelse. Dette bør ikke forhindre medlemsstaterne i ved lov at fast-
sætte bestemmelser om, at den registrerede kan acceptere behandling
af vedkommendes personoplysninger med henblik på dette direktiv,
som f.eks. DNA-test i strafferetlige efterforskninger eller elektronisk
overvågning af vedkommendes geografiske position ved elektronisk
fodlænke med henblik på fuldbyrdelse af strafferetlige sanktioner.
(36)Medlemsstaterne bør, når EU-retten eller medlemsstatens nationale
ret, der finder anvendelse for den videregivende kompetente myndig-
hed, fastsætter særlige vilkår, der finder anvendelse under særlige om-
stændigheder på behandling af personoplysninger, såsom anvendelse
af regler for behandling af oplysninger, fastsætte bestemmelser om, at
den videregivende kompetente myndighed underretter modtageren af
27
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
sådanne personoplysninger om disse vilkår og kravet om at opfylde
dem. Sådanne vilkår kunne f.eks. indebære et forbud mod at videregi-
ve personoplysninger til andre, eller at anvende dem til andre formål
end dem, på baggrund af hvilke de blev videregivet til modtageren, el-
ler at underrette den registrerede i tilfælde af en begrænsning af retten
til oplysninger uden forudgående godkendelse fra den videregivende
kompetente myndighed. Disse forpligtelser bør også finde anvendelse
for overførsler fra den videregivende kompetente myndighed til mod-
tagere i tredjelande eller internationale organisationer. Medlemsstater-
ne bør sikre, at den videregivende kompetente myndighed ikke anven-
der sådanne betingelser på modtagere i andre medlemsstater eller på
agenturer, kontorer og organer, der er oprettet i henhold til afsnit V,
kapitel 4 og 5, i TEUF, bortset fra de betingelser, der gælder for lig-
nende videregivelser af oplysninger inden for den pågældende kompe-
tente myndigheds medlemsstat.
(37)Personoplysninger, der i kraft af deres karakter er særligt følsomme i
forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde
specifik beskyttelse, da sammenhængen for behandlingen af dem kan
indebære betydelige risici for grundlæggende rettigheder og frihedsret-
tigheder. Disse oplysninger bør omfatte personoplysninger om race-
mæssig eller etnisk oprindelse, idet anvendelsen af udtrykket »race-
mæssig oprindelse« i dette direktiv ikke betyder, at Unionen accepte-
rer teorier, der søger at fastslå, at der findes forskellige menneskeracer.
Sådanne personoplysninger bør ikke behandles, medmindre behand-
ling er omfattet af de fornødne garantier for den registreredes rettighe-
der og frihedsrettigheder, der er fastsat ved lov, og er tilladt i tilfælde
hjemlet ved lov; hvis ikke allerede er hjemlet i henhold til en sådan
lov, behandlingen er nødvendig for at beskytte den registreredes eller
en anden persons vitale interesser; eller behandlingen vedrører oplys-
ninger, som tydeligvis er offentliggjort af den registrerede. Fornødne
garantier for den registreredes rettigheder og frihedsrettigheder kan
omfatte muligheden for kun at indsamle disse oplysninger i forbindel-
se med andre oplysninger om den pågældende fysiske person, mulig-
heden for tilstrækkelig sikring af de indsamlede oplysninger, skærpede
regler for den kompetente myndigheds personales adgang til oplysnin-
gerne og forbud mod videregivelse af disse oplysninger. Behandlingen
af sådanne oplysninger bør desuden tillades ved lov, hvis den registre-
rede udtrykkeligt har givet sit samtykke til en behandling, som er sær-
lig indgribende for vedkommende. Den registreredes samtykke bør
dog ikke i sig selv udgøre et retsgrundlag for de kompetente myndig-
28
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
heders behandling af sådanne følsomme personoplysninger.
(38)Den registrerede bør have ret til ikke at blive gjort til genstand for en
afgørelse, der evaluerer personlige forhold vedrørende vedkommende,
og som alene bygger på automatisk behandling, og som har negative
retsvirkninger eller som betydeligt påvirker den pågældende. En sådan
behandling bør under alle omstændigheder ledsages af de fornødne ga-
rantier, herunder specifik underretning af den registrerede og ret til
menneskelig indgriben, navnlig til at fremkomme med sine synspunk-
ter, til at få en forklaring på den afgørelse, der er truffet efter en sådan
evaluering, og til at bestride afgørelsen. Profilering, der fører til for-
skelsbehandling af fysiske personer på grund af personoplysninger,
der i kraft af deres karakter er særligt følsomme i forhold til de grund-
læggende rettigheder og frihedsrettigheder, bør være forbudt på de be-
tingelser, der er fastsat i chartrets artikel 21 og 52.
(39)For at sætte den registrerede i stand til at udøve sine rettigheder, bør
alle oplysninger til den registrerede være nemt tilgængelige, herunder
på den dataansvarliges websted, og letforståelige, under anvendelse af
et klart og forståeligt sprog. Sådanne oplysninger bør tilpasses behove-
ne hos sårbare personer såsom børn.
(40)Der bør fastsættes nærmere regler, som kan lette udøvelsen af de regi-
streredes rettigheder i medfør af de bestemmelser, der vedtages i hen-
hold til dette direktiv, herunder mekanismer til at anmode om og i gi-
vet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af
personoplysninger og begrænsning af behandling. Den dataansvarlige
bør være forpligtet til at besvare sådanne anmodninger fra en registre-
ret uden unødig forsinkelse, medmindre den dataansvarlige anvender
begrænsninger af den registreredes rettigheder i overensstemmelse
med dette direktiv. Hvis der imidlertid er tale om anmodninger, som er
åbenbart grundløse eller uforholdsmæssige, som f.eks. når den regi-
strerede på urimelig vis og gentagne gange anmoder om oplysninger,
eller hvis den registrerede misbruger sin ret til at modtage oplysninger,
f.eks. ved at give urigtige eller vildledende oplysninger ved fremsæt-
telsen af anmodningen, bør den dataansvarlige kunne opkræve et rime-
ligt gebyr eller afvise at efterkomme anmodningen.
(41)Hvis den dataansvarlige anmoder om supplerende oplysninger, der er
nødvendige for at bekræfte den registreredes identitet, bør sådanne op-
lysninger kun behandles til dette specifikke formål og bør ikke opbe-
29
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
vares længere end nødvendigt til dette formål.
(42)Som minimum bør følgende oplysninger gøres tilgængelige for den re-
gistrerede: den dataansvarliges identitet, behandlingsaktivitetens eksi-
stens, formålene med behandlingen, retten til at indgive en klage og
retten til at anmode den dataansvarlige om indsigt i og berigtigelse el-
ler sletning af personoplysninger eller begrænsning af behandling.
Dette kan ske på den kompetente myndigheds websted. Den registrere-
de bør endvidere i konkrete sager og for at muliggøre udøvelsen af
vedkommendes rettigheder oplyses om retsgrundlaget for behandlin-
gen og om, hvor længe oplysningerne opbevares, for så vidt som disse
yderligere oplysninger er nødvendige under hensyntagen til de speci-
fikke omstændigheder, hvorunder oplysningerne behandles med hen-
blik på at sikre den registrerede en rimelig behandling af oplysninger-
ne.
(43)En fysisk person bør have ret til indsigt i oplysninger, der er indsamlet
om vedkommende, og til let og med rimelige mellemrum at udøve
denne ret med henblik på at forvisse sig om og kontrollere en behand-
lings lovlighed. Enhver registreret bør derfor navnlig have ret til at
kende og blive underrettet om de formål, hvortil oplysningerne be-
handles, perioden, hvor oplysningerne behandles, og modtagerne af
oplysningerne, herunder sådanne i tredjelande. Når sådan en underret-
ning omfatter meddelelse om personoplysningernes oprindelse, bør
oplysningerne ikke afsløre identiteten på fysiske personer, navnlig for-
trolige kilder. Med henblik på overholdelse af denne ret er det tilstræk-
keligt, at den registrerede er i besiddelse af et fuldstændigt resumé af
disse oplysninger i en letforståelig form, det vil sige en form, der giver
den pågældende registrerede mulighed for at blive opmærksom på dis-
se oplysninger og kontrollere, at de er korrekte og behandlet i overens-
stemmelse med dette direktiv, så det er muligt for den pågældende at
udøve de rettigheder, der tilkommer vedkommende i henhold til dette
direktiv. Et sådant resumé kan have form af en kopi af de personoplys-
ninger, der behandles.
(44)Medlemsstaterne bør have beføjelse til at vedtage lovgivningsmæssige
foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af
oplysninger til de registrerede eller helt eller delvis begrænser deres ret
til indsigt i oplysningerne, i det omfang og så længe en sådan foran-
staltning udgør en nødvendig og forholdsmæssig foranstaltning i et de-
mokratisk samfund under behørigt hensyn til den berørte fysiske per-
30
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
sons grundlæggende rettigheder og legitime interesser, for at undgå, at
der lægges hindringer i vejen for officielle eller retlige undersøgelser,
for at undgå, at forebyggelsen, efterforskningen, afsløringen eller rets-
forfølgningen af strafbare handlinger skades, eller af hensyn til fuld-
byrdelsen af strafferetlige sanktioner, for at beskytte den offentlige
sikkerhed eller statens sikkerhed eller for at beskytte andres rettighe-
der og frihedsrettigheder. Den dataansvarlige bør gennem en konkret
og individuel undersøgelse af de enkelte tilfælde vurdere, hvorvidt
indsigtsretten helt eller delvis bør begrænses.
(45)Ethvert afslag på eller begrænsning af indsigt bør i princippet meddel-
es den registrerede skriftligt og omfatte de faktuelle eller retlige årsa-
ger til afgørelsen.
(46)Enhver begrænsning af den registreredes rettigheder skal overholde
chartret og EMRK som fortolket i retspraksis henholdsvis ved Dom-
stolen og ved Den Europæiske Menneskerettighedsdomstol og navnlig
respekten for det væsentlige indhold i disse rettigheder og frihedsret-
tigheder.
(47)En fysisk person bør have ret til at få berigtiget urigtige personoplys-
ninger om sig selv, navnlig når det angår faktiske omstændigheder, og
til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger
overtræder dette direktiv. Retten til berigtigelse bør imidlertid ikke be-
røre eksempelvis indholdet af et vidneudsagn. En fysisk person bør
også have ret til begrænsning af behandlingen, hvis vedkommende be-
strider personoplysningers rigtighed, og det ikke kan konstateres, om
oplysningerne er rigtige eller ej, eller hvis personoplysningerne skal
bevares som bevismiddel. I stedet for at slette personoplysninger bør
behandling navnlig begrænses, hvis der i et konkret tilfælde er rimelig
grund til at tro, at sletning vil kunne påvirke den registreredes legitime
interesser. I så fald bør begrænsede oplysninger kun behandles til det
formål, der gjorde, at de ikke blev slettet. Metoderne til at begrænse
behandlingen af personoplysninger kan bl.a. omfatte, at udvalgte op-
lysninger flyttes til et andet behandlingssystem, f.eks. til arkivformål,
eller at udvalgte oplysninger gøres utilgængelige. I automatiske regi-
stre bør behandling i princippet begrænses ved hjælp af tekniske hjæl-
pemidler. Det forhold, at behandlingen af personoplysningerne er be-
grænset, bør angives i registret på en sådan måde, at det tydeligt frem-
går, at behandlingen af personoplysningerne er begrænset. En sådan
berigtigelse eller sletning af personoplysninger eller begrænsning af
31
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
behandling bør meddeles de modtagere, hvortil oplysningerne er vide-
regivet, og de kompetente myndigheder, hvorfra de urigtige oplysnin-
ger stammer. Den dataansvarlige bør også afstå fra yderligere udbre-
delse af sådanne oplysninger.
(48)Hvis den dataansvarlige nægter en registreret dennes ret til oplysnin-
ger, indsigt i eller berigtigelse eller sletning af personoplysninger eller
begrænsning af behandling, bør den registrerede have ret til at anmode
om, at den nationale tilsynsmyndighed kontrollerer, at behandlingen af
oplysningerne er lovlig. Den registrerede bør underrettes om denne
rettighed. Hvis tilsynsmyndigheden handler på vegne af den registrere-
de, bør den registrerede som minimum underrettes af den pågældende
tilsynsmyndighed om, at tilsynsmyndigheden har foretaget den nød-
vendige kontrol eller undersøgelse. Tilsynsmyndigheden bør også un-
derrette den registrerede om adgangen til retsmidler.
(49)Hvis personoplysningerne behandles under en strafferetlig efterforsk-
ning og strafferetssag, bør medlemsstaterne kunne fastsætte bestem-
melser om, at udøvelsen af retten til oplysninger, indsigt i og berigti-
gelse eller, sletning af personoplysninger og begrænsning af behand-
ling skal udføres i henhold til de nationale retsplejeregler.
(50)Der bør fastsættes bestemmelser om den dataansvarliges ansvar, her-
under erstatningsansvar, for enhver behandling af personoplysninger,
der foretages af den dataansvarlige eller på den dataansvarliges vegne.
Den dataansvarlige bør navnlig have pligt til at gennemføre passende
og effektive foranstaltninger og bør kunne påvise, at behandlingsakti-
viteterne overholder dette direktiv. Sådanne foranstaltninger bør tage
højde for behandlingens karakter, omfang, sammenhæng og formål
samt risikoen for fysiske personers rettigheder og frihedsrettigheder.
De foranstaltninger, som den dataansvarlige træffer, bør omfatte udar-
bejdelse og gennemførelse af særlige garantier vedrørende behandling
af personoplysninger om sårbare fysiske personer såsom børn.
(51)Risiciene for fysiske personers rettigheder og frihedsrettigheder, der er
af varierende sandsynlighed og alvor, kan opstå som følge af behand-
ling af oplysninger, der kan føre til fysisk, materiel eller immateriel
skade, navnlig hvis behandlingen kan give anledning til forskelsbe-
handling, identitetstyveri eller -svig, finansielle tab, skade på omdøm-
me, tab af fortrolighed for oplysninger, der er omfattet af tavsheds-
pligt, uautoriseret ophævelse af pseudonymisering eller andre betydeli-
32
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
ge økonomiske eller sociale konsekvenser; hvis de registrerede kan
blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i
at udøve kontrol med deres personoplysninger; hvis der behandles per-
sonoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs
eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold;
hvis genetiske data eller biometriske data behandles for entydigt at
identificere en person, eller hvis helbredsoplysninger eller oplysninger
om seksuelle forhold og seksuel orientering, straffedomme og lovover-
trædelser eller tilknyttede sikkerhedsforanstaltninger behandles; hvis
personlige forhold evalueres, navnlig analyse eller forudsigelse af for-
hold vedrørende indsats på arbejdspladsen, økonomisk situation, hel-
bred, personlige præferencer eller interesser, pålidelighed eller adfærd
eller geografisk position eller bevægelser, med henblik på at oprette
eller anvende personlige profiler; hvis der behandles personoplysnin-
ger om sårbare fysiske personer, navnlig børn; eller hvis behandlingen
omfatter en stor mængde personoplysninger og berører et stort antal
registrerede.
(52)Risikoens sandsynlighed og alvor bør bestemmes med henvisning til
behandlingens karakter, omfang, sammenhæng og formål. Risikoen
bør evalueres på grundlag af en objektiv vurdering, hvorved det fast-
slås, om databehandlingsaktiviteter indebærer en høj risiko. En høj ri-
siko er en særlig risiko for skade på de registreredes rettigheder og fri-
hedsrettigheder.
(53)Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i for-
bindelse med behandling af personoplysninger kræver, at der træffes
passende tekniske og organisatoriske foranstaltninger for at sikre, at
dette direktivs krav opfyldes. Gennemførelsen af sådanne foranstalt-
ninger bør ikke alene afhænge af økonomiske hensyn. For at kunne på-
vise overholdelse af dette direktiv bør den dataansvarlige vedtage in-
terne politikker og gennemføre foranstaltninger, som især lever op til
principperne om databeskyttelse gennem design og databeskyttelse
gennem standardindstillinger. Hvis den dataansvarlige har foretaget en
konsekvensanalyse vedrørende databeskyttelse i henhold til dette di-
rektiv, bør der tages behørigt hensyn til resultaterne heraf i forbindelse
med udviklingen af disse foranstaltninger og procedurer. Foranstalt-
ningerne kan bl.a. bestå i anvendelse af pseudonymisering tidligst mu-
ligt. Anvendelse af pseudonymisering med henblik på dette direktiv
kan tjene som et redskab, der navnlig kan lette fri udveksling af perso-
noplysninger inden for området med frihed, sikkerhed og retfærdig-
33
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
hed.
(54)Beskyttelse af registreredes rettigheder og frihedsrettigheder samt
dataansvarliges og databehandlernes ansvar, herunder erstatnings-
ansvar, også i forbindelse med tilsynsmyndighedernes kontrol og for-
anstaltninger, kræver en klar fordeling af de ansvarsområder, der er
fastsat i dette direktiv, herunder når en dataansvarlig fastlægger formå-
lene med og hjælpemidlerne til behandlingen sammen med andre
dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af
en dataansvarlig.
(55)En databehandlers behandling bør være omfattet af et retligt doku-
ment, herunder en kontrakt, der binder databehandleren til den
dataansvarlige, og som navnlig fastlægger, at databehandleren alene
bør handle efter instruks fra den dataansvarlige. Databehandleren bør
tage hensyn til principperne om databeskyttelse gennem design og da-
tabeskyttelse gennem standardindstillinger.
(56)For at påvise overholdelse af dette direktiv bør den dataansvarlige eller
databehandleren føre fortegnelser over alle kategorier af behandlings-
aktiviteter under sit ansvar. Hver dataansvarlig og databehandler bør
have pligt til at samarbejde med tilsynsmyndigheden og efter anmod-
ning stille disse fortegnelser til rådighed for tilsynsmyndigheden, så de
kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Den
dataansvarlige eller databehandler, der behandler personoplysninger i
ikkeautomatiske databehandlingssystemer, bør have indført effektive
metoder til at påvise, at behandlingen er lovlig, udøve egenkontrol og
sikre dataintegriteten og datasikkerheden, såsom logning eller andre
former for fortegnelser.
(57)Der bør som minimum ske logning af aktiviteter i automatiske databe-
handlingssystemer såsom indsamling, ændring, søgning, videregivelse,
herunder overførsel, samkøring eller sletning. Navnet på den person,
som har søgt eller videregivet personoplysninger, bør logges, og her-
udfra bør det være muligt at fastlægge begrundelsen for behandlings-
aktiviteterne. Loggene bør udelukkende anvendes til at kontrollere, om
databehandlingen er lovlig, til egenkontrol, til at sikre dataintegriteten
og datasikkerheden og i forbindelse med straffesager. Egenkontrol
omfatter også kompetente myndigheders interne disciplinærsager.
(58)Den dataansvarlige bør foretage en konsekvensanalyse af databeskyt-
34
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
telsen, hvis behandlingsaktiviteterne sandsynligvis vil indebære en høj
risiko for den registreredes rettigheder og frihedsrettigheder som følge
af deres karakter, omfang eller formål, som navnlig bør omfatte de for-
anstaltninger, garantier og mekanismer, der er planlagt for at sikre be-
skyttelsen af personoplysninger, og at påvise overholdelse af dette di-
rektiv. Konsekvensanalyser bør omfatte behandlingsaktiviteters rele-
vante systemer og processer, men ikke enkeltsager.
(59)For at sikre en effektiv beskyttelse af de registreredes rettigheder og
frihedsrettigheder bør den dataansvarlige eller databehandleren i visse
tilfælde høre tilsynsmyndigheden inden behandlingen.
(60)For at opretholde sikkerheden og forhindre behandling i strid med det-
te direktiv bør den dataansvarlige eller databehandleren vurdere de ri-
sici, som en behandling indebærer, og bør gennemføre foranstaltnin-
ger, der kan begrænse disse risici, som f.eks. kryptering. Sådanne for-
anstaltninger bør sikre et tilstrækkeligt sikkerhedsniveau, herunder for-
trolighed, og tage hensyn til det aktuelle tekniske niveau, implemente-
ringsomkostningerne i forhold til risikoen og karakteren af de perso-
noplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsri-
sici bør der tages hensyn til de risici, som behandling af oplysninger
indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring
eller uautoriseret videregivelse af eller adgang til personoplysninger,
der er transmitteret, opbevaret eller på anden måde behandlet, og som
navnlig kan føre til fysisk, materiel eller immateriel skade. Den
dataansvarlige og databehandleren bør sikre, at behandlingen af perso-
noplysninger ikke udføres af uautoriserede personer.
(61)Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en
passende og rettidig måde, påføre fysiske personer fysisk, materiel el-
ler immateriel skade, såsom tab af kontrol over deres personoplysnin-
ger eller begrænsning af deres rettigheder, forskelsbehandling, identi-
tetstyveri eller -svig, finansielle tab, uautoriseret ophævelse af pseudo-
nymisering, skade på omdømme, tab af fortrolighed for personoplys-
ninger, der er omfattet af tavshedspligt, eller andre væsentlige økono-
miske eller sociale konsekvenser for den berørte fysiske person. Så
snart den dataansvarlige bliver bekendt med, at der er sket et brud på
persondatasikkerheden, bør den dataansvarlige derfor anmelde bruddet
på persondatasikkerheden til tilsynsmyndigheden uden unødig forsin-
kelse og om muligt inden for 72 timer efter, at denne er blevet bekendt
med det, medmindre den dataansvarlige i overensstemmelse med an-
35
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
svarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden
sandsynligvis ikke vil indebære en risiko for fysiske personers rettig-
heder og frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske in-
den for 72 timer, bør den ledsages af en begrundelse for forsinkelsen,
og oplysningerne kan gives trinvis uden unødig yderligere forsinkelse.
(62)Fysiske personer bør uden unødig forsinkelse oplyses derom, når brud-
det på persondatasikkerheden sandsynligvis vil indebære en høj risiko
for de fysiske personers rettigheder og frihedsrettigheder, med henblik
på at give dem mulighed for at træffe de nødvendige forholdsregler.
Underretningen bør beskrive karakteren af bruddet på persondatasik-
kerheden og indeholde anbefalinger til den berørte fysiske person med
henblik på at begrænse de mulige skadevirkninger. Underretninger til
registrerede bør gives, så snart det med rimelighed er muligt, i tæt
samarbejde med tilsynsmyndigheden og i overensstemmelse med ret-
ningslinjer, der er udstukket af denne eller andre relevante myndighe-
der. Eksempelvis kræver behovet for at begrænse en umiddelbar risiko
for skade omgående underretning af de registrerede, mens behovet for
at gennemføre passende foranstaltninger mod fortsatte eller lignende
brud på persondatasikkerheden kan begrunde en længere frist for un-
derretningen. Hvor det ikke er muligt at undgå, at der lægges hindrin-
ger i vejen for officielle eller retlige undersøgelser, efterforskninger el-
ler procedurer, at undgå, at forebyggelsen, afsløringen, efterforsknin-
gen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen
af strafferetlige sanktioner skades, at beskytte den offentlige sikkerhed
eller statens sikkerhed eller at beskytte andres rettigheder og friheds-
rettigheder ved at udsætte eller begrænse underretningen af brud på
persondatasikkerheden til den berørte fysiske person, kan denne un-
derretning under særlige omstændigheder udelades.
(63)Den dataansvarlige bør udpege en person, der skal hjælpe denne med
at overvåge, at de bestemmelser, der vedtages i henhold til dette direk-
tiv, overholdes internt, medmindre en medlemsstat beslutter at fritage
domstole og andre uafhængige judicielle myndigheder, når de udfører
deres judicielle opgaver. Denne person kan være en af den dataansvar-
liges eksisterende medarbejdere, som har fået særlig uddannelse inden
for databeskyttelsesret og -praksis for at tilegne sig ekspertise på dette
område. Den nødvendige ekspertise fastlægges navnlig i henhold til
den databehandling, der skal udføres, og den beskyttelse, der kræves
for de personoplysninger, som den dataansvarlige behandler. Vedkom-
mendes opgaver vil kunne udføres på deltid eller fuldtid. Flere
36
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
dataansvarlige kan udpege en fælles databeskyttelsesansvarlig i over-
ensstemmelse med deres struktur og størrelse, for eksempel i tilfælde
af fælles ressourcer i centrale enheder. Denne person kan også udpe-
ges til forskellige stillinger i de berørte dataansvarliges struktur. Denne
person bør hjælpe den dataansvarlige og de medarbejdere, der behand-
ler personoplysninger, ved at oplyse og rådgive dem om opfyldelse af
deres relevante databeskyttelsesforpligtelser. Disse databeskyttelsesrå-
dgivere bør være i stand til at udøve deres opgaver på uafhængig vis i
henhold til medlemsstaternes nationale ret.
(64)Medlemsstaterne bør sikre, at overførsel af personoplysninger til et
tredjeland eller til en international organisation kun sker, hvis det er
nødvendigt for at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed, og at
den dataansvarlige i det pågældende tredjeland eller den pågældende
internationale organisation er en kompetent offentlig myndighed som
defineret i dette direktiv. Der bør kun finde overførsel sted ved kompe-
tente myndigheder, der fungerer som dataansvarlige, medmindre data-
behandlere har fået udtrykkelige instrukser om overførsel på vegne af
dataansvarlige. En sådan overførsel kan finde sted i de tilfælde, hvor
Kommissionen har afgjort, at det pågældende tredjeland eller den på-
gældende internationale organisation sikrer et tilstrækkeligt beskyttel-
sesniveau, hvis der er indført de fornødne garantier eller hvis der gæl-
der undtagelser i særlige situationer. Når personoplysninger videregi-
ves fra Unionen til dataansvarlige, databehandlere eller andre modta-
gere i tredjelande eller til internationale organisationer, må det beskyt-
telsesniveau for fysiske personer, som er fastsat i Unionen i medfør af
dette direktiv, ikke undermineres, herunder i tilfælde af videreoverfør-
sel af personoplysninger fra tredjelandet eller den internationale orga-
nisation til dataansvarlige eller databehandlere i det samme eller et an-
det tredjeland eller en anden international organisation.
(65)Hvis der overføres personoplysninger fra en medlemsstat til tredjelan-
de eller internationale organisationer, bør denne overførsel principielt
kun finde sted, efter at den medlemsstat, hvor oplysningerne blev ind-
samlet, har godkendt overførslen. Af hensyn til et effektivt samarbejde
på retshåndhævelsesområdet bør den kompetente myndighed være i
stand til at overføre de relevante personoplysninger til det pågældende
tredjeland eller den pågældende internationale organisation uden en
sådan forudgående godkendelse i tilfælde, hvor truslen mod den of-
37
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
fentlige sikkerhed i en medlemsstat eller et tredjeland eller mod en
medlemsstats væsentlige interesser er af en så hastende karakter, at det
er umuligt at indhente en forudgående godkendelse i tide. Medlemssta-
terne bør fastsætte bestemmelser om, at alle særlige betingelser vedrø-
rende overførslen bør meddeles til tredjelande eller internationale or-
ganisationer. Videreoverførsel af personoplysninger bør være genstand
for forudgående godkendelse af den kompetente myndighed, som fore-
tog den oprindelige overførsel. Når der træffes afgørelse om en an-
modning om tilladelse til videreoverførsel, bør den kompetente myn-
dighed, som foretog den oprindelige overførsel, tage behørigt hensyn
til alle relevante faktorer, herunder den strafbare handlings grovhed,
de særlige betingelser, der gælder for den oprindelige overførsel, og
det formål, hvortil oplysningerne oprindeligt blev overført, karakteren
af og betingelserne for fuldbyrdelsen af den strafferetlige sanktion og
beskyttelsesniveauet for personoplysninger i det tredjeland eller den
internationale organisation, som personoplysningerne videreoverføres
til. Den kompetente myndighed, som foretog den oprindelige overfør-
sel, bør også kunne fastsætte særlige betingelser for videreoverførse-
len. Sådanne særlige betingelser kan f.eks. beskrives i regler for be-
handling af oplysninger.
(66)Kommissionen bør med virkning for hele Unionen træffe afgørelse
om, at visse tredjelande, et område eller en eller flere specifikke sekto-
rer i et tredjeland, eller en international organisation har et tilstrække-
ligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensar-
tethed i hele Unionen, hvad angår de tredjelande eller internationale
organisationer, der vurderes at have et sådant beskyttelsesniveau. I så-
danne tilfælde bør personoplysninger kunne overføres til disse lande
uden yderligere godkendelse, undtagen når en anden medlemsstat,
hvor oplysningerne blev indsamlet, skal godkende overførslen.
(67)I overensstemmelse med de grundlæggende værdier, som Unionen
bygger på, navnlig beskyttelse af menneskerettighederne, bør Kom-
missionen i sin vurdering af et tredjeland eller et område eller en spe-
cifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tred-
jeland efterlever retsstatsprincippet, klageadgang og domstolsprøvelse,
internationale menneskerettighedsnormer og -standarder samt sin ge-
nerelle og sektorbestemte ret, herunder lovgivning vedrørende offent-
lig sikkerhed, forsvar, statens sikkerhed samt offentlig orden og straf-
feret. Når der vedtages en afgørelse om tilstrækkeligheden af beskyt-
telsesniveauet i et område eller en specifik sektor i et tredjeland, bør
38
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
der tages hensyn til klare og objektive kriterier, som f.eks. specifikke
behandlingsaktiviteter og anvendelsesområdet for gældende retsstan-
darder og lovgivning i tredjelandet. Tredjelandet bør give garantier,
der sikrer et passende beskyttelsesniveau, som i det væsentlige svarer
til det, der sikres i Unionen, især når oplysninger behandles i en eller
flere specifikke sektorer. Tredjelandet bør navnlig sikre et effektivt og
uafhængigt databeskyttelsestilsyn og bør fastlægge samarbejdsmeka-
nismer med medlemsstaternes databeskyttelsesmyndigheder, og de re-
gistrerede bør have effektive rettigheder, som kan håndhæves, og ad-
gang til effektiv administrativ og retslig prøvelse.
(68)Ud over de internationale forpligtelser, som tredjelandet eller den in-
ternationale organisation har indgået, bør Kommissionen også tage
hensyn til forpligtelser, der følger af tredjelandets eller den internatio-
nale organisations deltagelse i multilaterale eller regionale systemer,
navnlig i forbindelse med beskyttelse af personoplysninger, samt gen-
nemførelsen af sådanne forpligtelser. Der bør navnlig tages hensyn til
tredjelandets tiltrædelse af Europarådets konvention af 28. januar 1981
om beskyttelse af det enkelte menneske i forbindelse med elektronisk
databehandling af personoplysninger og tillægsprotokollen hertil.
Kommissionen bør høre Det Europæiske Databeskyttelsesråd oprettet
ved forordning (EU) 2016/679 (»Databeskyttelsesrådet«), når den vur-
derer beskyttelsesniveauet i tredjelande eller internationale organisa-
tioner. Kommissionen bør også tage hensyn til eventuelle kommis-
sionsafgørelser om tilstrækkeligheden af beskyttelsesniveauet vedtaget
i overensstemmelse med artikel 45 i forordning (EU) 2016/679.
(69)Kommissionen bør overvåge virkningen af afgørelser om beskyttelses-
niveauet i et tredjeland, et område eller en specifik sektor i et tred-
jeland eller en international organisation. I sine afgørelser om tilstræk-
keligheden af beskyttelsesniveauet bør Kommissionen fastsætte en
mekanisme for regelmæssig revision af afgørelsernes virkning. Denne
regelmæssige revision bør foretages i samråd med det pågældende
tredjeland eller den pågældende internationale organisation og tage
hensyn til enhver relevant udvikling i tredjelandet eller den internatio-
nale organisation.
(70)Kommissionen bør også kunne fastslå, at et tredjeland, et område eller
en specifik sektor i et tredjeland, eller en international organisation ik-
ke længere sikrer et tilstrækkeligt databeskyttelsesniveau. Overførsel
af personoplysninger til et sådant tredjeland eller en sådan internatio-
39
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
nal organisation bør derfor forbydes, medmindre kravene i dette direk-
tiv vedrørende overførsel omfattet af fornødne garantier og undtagel-
ser i særlige situationer, er opfyldt. Der bør fastlægges bestemmelser
om en procedure for konsultationer mellem Kommissionen og sådanne
tredjelande eller internationale organisationer. Kommissionen bør ret-
tidigt underrette tredjelandet eller den internationale organisation om
årsagerne og indlede konsultationer med tredjelandet eller den interna-
tionale organisation for at afhjælpe situationen.
(71)Overførsler, der ikke er baseret på en sådan afgørelse om tilstrækkelig-
heden af beskyttelsesniveauet, bør kun tillades, hvis der er givet de
fornødne garantier i et juridisk bindende instrument, der sikrer beskyt-
telsen af personoplysninger, eller hvis den dataansvarlige har vurderet
samtlige de forhold, der har indflydelse på overførslen, og på grundlag
af denne vurdering konkluderer, at de fornødne garantier for beskyttel-
sen af personoplysninger er til stede. Sådanne juridisk bindende instru-
menter kunne for eksempel være juridisk bindende bilaterale aftaler,
der er indgået af medlemsstaterne og gennemført i deres retsorden, og
som kan håndhæves af de registrerede i disse stater, og som sikrer, at
databeskyttelseskravene og de registreredes rettigheder opfyldes, her-
under retten til effektiv administrativ eller retslig prøvelse. Den
dataansvarlige bør ved vurderingen af samtlige forhold, der har indfly-
delse på overførslen, kunne tage højde for samarbejdsaftaler, der er
indgået mellem Europol eller Eurojust og tredjelande, som tillader ud-
veksling af personoplysninger. Den dataansvarlige bør også kunne ta-
ge højde for, at overførslen af personoplysninger vil være underlagt
tavshedspligt og omfattet af specialitetsprincippet, hvorved det sikres,
at oplysningerne ikke bliver behandlet til andre formål end formålene
med overførslen. Desuden bør den dataansvarlige tage højde for, at
personoplysningerne ikke vil blive anvendt til at kræve, idømme eller
fuldbyrde dødsstraf eller nogen anden form for grusom og umenneske-
lig behandling. Selv om disse betingelser kan betragtes som værende
fornødne garantier, der muliggør overførsel af oplysninger, bør den
dataansvarlige kunne kræve yderligere garantier.
(72)Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af be-
skyttelsesniveauet, eller de fornødne garantier ikke foreligger, kan en
overførsel eller en kategori af overførsler kun finde sted i særlige situ-
ationer, hvis det er nødvendigt for at beskytte den registreredes eller en
anden persons vitale interesser eller beskytte den registreredes legitime
interesser, såfremt der er hjemmel hertil i national ret i den medlems-
40
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
stat, der overfører personoplysningerne, for at forebygge en umiddel-
bar og alvorlig trussel mod en medlemsstats eller et tredjelands offent-
lige sikkerhed, eller i enkeltsager med henblik på at forebygge, efter-
forske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebygge trusler
mod den offentlige sikkerhed, eller i enkeltsager med henblik på at
retskrav kan fastlægges, gøres gældende eller forsvares. Disse undta-
gelser bør fortolkes restriktivt og bør ikke give mulighed for hyppige,
omfattende og strukturelle overførsler af personoplysninger eller om-
fattende overførsler af oplysninger, men bør begrænses til de oplysnin-
ger, der er strengt nødvendige. Sådanne overførsler bør dokumenteres
og efter anmodning stilles til rådighed for tilsynsmyndigheden med
henblik på at føre tilsyn med, om overførslen er lovlig.
(73)Medlemsstaternes kompetente myndigheder anvender gældende bila-
terale eller multilaterale internationale aftaler, der er indgået med tred-
jelande om retligt samarbejde i straffesager og politisamarbejde, til ud-
veksling af relevante oplysninger, så de kan udføre de opgaver, der er
tildelt dem efter loven. Dette sker principielt via eller i det mindste i
samarbejde med de myndigheder, der i de pågældende tredjelande er
kompetente med henblik på dette direktiv, undertiden selv i mangel af
en bilateral eller multilateral international aftale. I konkrete enkeltsa-
ger kan de regelmæssige procedurer, der kræver kontakt med en sådan
myndighed i tredjelandet, være ineffektive eller uhensigtsmæssige,
navnlig fordi overførslen ikke kunne gennemføres rettidigt, eller fordi
den nævnte myndighed i tredjelandet ikke respekterer retsstatsprincip-
pet eller internationale menneskerettighedsnormer og -standarder, så-
ledes at medlemsstaternes kompetente myndigheder kan beslutte at
overføre personoplysninger direkte til modtagere i disse tredjelande.
Dette kan være tilfældet, hvis der er akut behov for at overføre perso-
noplysninger for at redde en persons liv, som er i fare for at blive offer
for en strafbar handling, eller for at forhindre en nært forestående for-
brydelse, herunder terrorisme. Selv om en sådan overførsel mellem
kompetente myndigheder og modtagere i tredjelande kun bør finde
sted i konkrete enkeltsager, bør dette direktiv fastsætte betingelser for
regulering af sådanne tilfælde. Disse bestemmelser bør ikke betragtes
som værende undtagelser fra eksisterende bilaterale eller multilaterale
internationale aftaler om retligt samarbejde i straffesager og politisam-
arbejde. Disse regler bør finde anvendelse som supplement til de andre
regler i dette direktiv, navnlig reglerne om lovlig behandling af perso-
noplysninger og reglerne i kapitel V.
41
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
(74)Når personoplysninger overføres på tværs af grænser, kan det medføre
yderligere risici for fysiske personers mulighed for at udøve deres da-
tabeskyttelsesrettigheder for at beskytte sig mod ulovlig brug eller vi-
deregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i
nogle tilfælde konstatere, at de ikke kan følge op på klager eller foreta-
ge undersøgelser vedrørende aktiviteter uden for deres grænser. Sam-
arbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige
forebyggende eller afhjælpende beføjelser og uensartede retlige ord-
ninger. Der er derfor behov for at fremme tættere samarbejde mellem
datatilsynsmyndigheder, så de bedre kan udveksle oplysninger med de
tilsvarende udenlandske organer.
(75)Oprettelse af tilsynsmyndigheder i medlemsstaterne, som kan udøve
deres hverv i fuld uafhængighed, har afgørende betydning for beskyt-
telse af fysiske personer i forbindelse med behandling af personoplys-
ninger. Tilsynsmyndighederne bør føre tilsyn med anvendelsen af de
bestemmelser, der vedtages i henhold til dette direktiv, og bidrage til
en ensartet anvendelse i hele Unionen med det formål at beskytte fysi-
ske personer i forbindelse med behandlingen af deres personoplysnin-
ger. Med henblik herpå bør tilsynsmyndighederne samarbejde med
hinanden og med Kommissionen.
(76)Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal ud-
føres af de nationale tilsynsmyndigheder, der oprettes i henhold til det-
te direktiv, til en tilsynsmyndighed, der allerede er oprettet i henhold
til forordning (EU) 2016/679.
(77)Medlemsstaterne bør kunne oprette mere end én tilsynsmyndighed for
at afspejle deres forfatningsmæssige, organisatoriske og administrative
struktur. Hver tilsynsmyndighed bør have de nødvendige finansielle
og menneskelige ressourcer, samt lokaler og infrastrukturer til effek-
tivt at kunne udføre sine opgaver, herunder opgaver vedrørende gensi-
dig bistand og samarbejde med andre tilsynsmyndigheder i hele Unio-
nen. Hver tilsynsmyndighed bør have et separat offentligt årligt bud-
get, der kan indgå i det samlede statsbudget eller nationale budget.
(78)Tilsynsmyndighederne bør være underlagt uafhængige kontrol- eller
overvågningsmekanismer, hvad angår deres finansielle udgifter, forud-
sat at sådan finansiel kontrol ikke påvirker deres uafhængighed.
42
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
(79)De generelle betingelser for tilsynsmyndighedens medlem eller med-
lemmer bør fastsættes ved medlemsstaternes nationale ret og bør navn-
lig fastsætte, at disse medlemmer udnævnes af enten parlamentet eller
regeringen eller statschefen i den pågældende medlemsstat på grund-
lag af et forslag fra regeringen eller et medlem af regeringen eller par-
lamentet eller et kammer i parlamentet eller af et uafhængigt organ,
der i henhold til medlemsstaternes nationale ret har bemyndigelse til
udnævnelsen ved en gennemsigtig procedure. For at sikre tilsynsmyn-
dighedens uafhængighed bør medlemmet eller medlemmerne handle
med integritet, afholde sig fra enhver handling, der er uforenelig med
deres hverv, og ikke, så længe deres embedsperiode varer, udøve ufor-
enelig lønnet eller ulønnet virksomhed. For at sikre tilsynsmyndighe-
dens uafhængighed bør personalet udvælges af tilsynsmyndigheden,
eventuelt med medvirken af et uafhængigt organ, der har fået bemyn-
digelse hertil i henhold til medlemsstaternes nationale ret.
(80)Selv om dette direktiv også finder anvendelse på de nationale domsto-
les og andre judicielle myndigheders aktiviteter, bør tilsynsmyndighe-
dernes kompetence ikke omfatte behandling af personoplysninger, når
domstole handler i deres egenskab af domstol, for at sikre dommernes
uafhængighed under udførelsen af deres judicielle opgaver. Denne
undtagelse bør begrænses til retlige aktiviteter i forbindelse med rets-
sager og ikke gælde for andre aktiviteter, hvori dommere kan deltage i
henhold til medlemsstaternes nationale ret. Medlemsstaterne bør også
kunne fastsætte bestemmelser om, at tilsynsmyndighedens kompeten-
ce ikke omfatter andre uafhængige judicielle myndigheders behand-
ling af personoplysninger, når de udfører deres judicielle opgaver,
f.eks. anklagemyndigheden. Under alle omstændigheder er domstole-
nes og andre uafhængige judicielle myndigheders overholdelse af reg-
lerne i dette direktiv altid underlagt en uafhængig myndigheds kontrol
i overensstemmelse med chartrets artikel 8, stk. 3.
(81)Hver tilsynsmyndighed bør behandle klager, der indgives af registrere-
de, og undersøge sagen eller videresende den til den kompetente myn-
dighed. Undersøgelsen af en klage bør foretages i det omfang det er
passende i det specifikke tilfælde, med forbehold af domstolskontrol.
Tilsynsmyndigheden bør underrette den registrerede om forløbet og
resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yder-
ligere undersøgelse eller koordinering med en anden tilsynsmyndig-
hed, bør den registrerede undervejs underrettes herom.
43
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
(82)For at sikre effektiv, pålidelig og ensartet tilsyn med overholdelse og
håndhævelse af dette direktiv i hele Unionen i henhold til TEUF som
fortolket af Domstolen bør tilsynsmyndighederne i hver medlemsstat
have samme opgaver og effektive beføjelser, herunder undersøgelses-
beføjelser, korrigerende beføjelser og rådgivningsbeføjelser, som ud-
gør nødvendige midler for udførelsen af deres opgaver. Disse myndig-
heders beføjelser bør imidlertid ikke gribe ind i de særlige regler for
straffesager, herunder efterforskning og retsforfølgning af strafbare
handlinger, eller i retsvæsnets uafhængighed. Uden at dette berører de
retsforfølgende myndigheders beføjelser i henhold til medlemsstater-
nes nationale ret, bør tilsynsmyndigheder også have beføjelse til at
indbringe overtrædelser af dette direktiv for de judicielle myndigheder
eller deltage i retssager. Tilsynsmyndighedernes beføjelser bør udøves
i overensstemmelse med de fornødne retssikkerhedsgarantier, der er
fastsat i EU-retten og medlemsstaternes nationale ret, uvildigt, retfær-
digt og inden for en rimelig frist. Hver foranstaltning bør navnlig være
passende, nødvendig og forholdsmæssig for at sikre overholdelsen af
dette direktiv, idet der tages hensyn til omstændighederne i hver enkelt
sag, bør overholde enhver persons ret til at blive hørt, inden der træffes
en individuel foranstaltning, som vil berøre den pågældende person
negativt, og undgå overflødige udgifter og urimelige ulemper for den-
ne person. Hvad angår adgang til lokaliteter bør undersøgelsesbeføjel-
serne udøves i henhold til særlige krav i medlemsstaternes nationale
ret, f.eks. kravet om en forudgående retskendelse. Vedtagelsen af en
juridisk bindende afgørelse bør være underlagt domstolskontrol i med-
lemsstaten for den tilsynsmyndighed, der har vedtaget afgørelsen.
(83)Tilsynsmyndighederne bør bistå hinanden i forbindelse med udførel-
sen af deres opgaver og yde gensidig bistand for at sikre ensartet an-
vendelse og håndhævelse af de bestemmelser, der vedtages i henhold
til dette direktiv.
(84)Databeskyttelsesrådet bør bidrage til en ensartet anvendelse af dette
direktiv i hele Unionen, herunder ved at rådgive Kommissionen og
fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen.
(85)Enhver registreret bør have ret til at indgive klage til en enkelt tilsyns-
myndighed og have adgang til effektive retsmidler i overensstemmelse
med artikel 47 i chartret, hvis den registrerede finder, at vedkommen-
des rettigheder i medfør af de bestemmelser, der vedtages i henhold til
dette direktiv, er blevet krænket, eller hvis tilsynsmyndigheden ikke
44
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0045.png
reagerer på en klage, delvist eller helt afslår eller afviser en klage eller
ikke handler, hvis handling er nødvendig for at beskytte den registrere-
des rettigheder. Undersøgelse af en klage bør foretages i det omfang,
det er passende i det specifikke tilfælde, med forbehold af domstols-
kontrol. Den kompetente tilsynsmyndighed bør underrette den regi-
strerede om forløbet og resultatet af klagen inden for en rimelig frist.
Hvis sagen kræver yderligere undersøgelse eller koordinering med en
anden tilsynsmyndighed, bør den registrerede undervejs underrettes
herom. For at lette indgivelsen af klager bør hver tilsynsmyndighed
træffe foranstaltninger som f.eks. at tilbyde en klageformular, der også
kan udfyldes elektronisk, uden at udelukke andre kommunikations-
midler.
(86)Enhver fysisk eller juridisk person bør have adgang til effektive rets-
midler ved den kompetente nationale domstol til prøvelse af en tilsyns-
myndigheds afgørelse, som har retsvirkninger for denne person. En så-
dan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af un-
dersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjel-
ser eller afslag eller afvisning af klager. Denne ret omfatter dog ikke
andre foranstaltninger truffet af tilsynsmyndigheder, der ikke er juri-
disk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyn-
digheden. En sag mod en tilsynsmyndighed bør anlægges ved domsto-
lene i den medlemsstat, hvor tilsynsmyndigheden er etableret, og bør
føres i henhold til medlemsstatens nationale ret. Disse domstole bør
have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de
faktiske og retlige omstændigheder, der er relevante for den tvist, som
de får forelagt.
(87)Hvis en registreret finder, at vedkommendes rettigheder i henhold til
dette direktiv er blevet krænket, bør den pågældende have ret til at gi-
ve et organ, der er etableret i henhold til medlemsstaternes nationale
ret, og som har til formål at beskytte registreredes rettigheder og inter-
esser i forbindelse med beskyttelsen af deres personoplysninger, be-
myndigelse til på vedkommendes vegne at indgive en klage til en til-
synsmyndighed og udøve adgangen til retsmidler. Registreredes ret til
at være repræsenteret bør ikke berøre medlemsstaternes nationale rets-
plejeregler, som vil kunne kræve obligatorisk repræsentation af regi-
strerede ved en advokat som defineret i Rådets direktiv
77/249/EØF
(
10
)
for en national domstol.
(88)Personer, der måtte lide skade som følge af en behandling, der over-
45
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0046.png
træder de bestemmelser, der vedtages i henhold til dette direktiv, bør
have ret til erstatning fra den dataansvarlige eller en hvilken som helst
anden myndighed, der er kompetent i henhold til medlemsstaternes na-
tionale ret. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis
ved Domstolen, således at det fuldt ud afspejler formålene for dette di-
rektiv. Dette berører ikke eventuelle erstatningskrav for skade som føl-
ge af overtrædelse af andre bestemmelser i EU-retten eller medlems-
staternes nationale ret. Når der henvises til en behandling, der er ulov-
lig eller overtræder dette direktiv, omfatter det også behandling, der
overtræder de gennemførelsesretsakter, der er vedtaget i henhold til
dette direktiv. Registrerede bør have fuld erstatning for den skade, de
har lidt.
(89)Sanktioner bør kunne pålægges fysiske eller juridiske personer, der
overtræder dette direktiv, uanset om de henhører under privat- eller of-
fentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er
effektive, står i et rimeligt forhold til overtrædelsen og har afskræk-
kende virkning, og bør træffe alle nødvendige foranstaltninger til at
gennemføre sanktionerne.
(90)For at sikre ensartede betingelser for gennemførelsen af dette direktiv
bør Kommissionen tillægges gennemførelsesbeføjelser, for så vidt an-
går det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tred-
jeland, et område eller en specifik sektor i dette tredjeland, eller en in-
ternational organisation, og formatet og procedurerne for gensidig bi-
stand og ordningerne for elektronisk udveksling af oplysninger mellem
tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttel-
sesrådet. Disse beføjelser bør udøves i overensstemmelse med Europa-
Parlamentets og Rådets forordning (EU) nr. 182/2011
(
11
).
(91)Undersøgelsesproceduren bør anvendes til at vedtage gennemførelses-
retsakter om det tilstrækkelige databeskyttelsesniveau, der skal sikres
af et tredjeland eller et område eller en specifik sektor i dette tred-
jeland, eller en international organisation og om formatet og procedu-
rerne for gensidig bistand og ordningerne for elektronisk udveksling af
oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndighe-
der og Databeskyttelsesrådet, eftersom disse retsakter er af generel ka-
rakter.
(92)Kommissionen bør vedtage gennemførelsesretsakter, der finder anven-
delse straks, når det er påkrævet i behørigt begrundede særligt hasten-
46
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0047.png
de tilfælde vedrørende et tredjeland, et område eller en specifik sektor
i dette tredjeland, eller en international organisation, som ikke længere
sikrer et tilstrækkeligt beskyttelsesniveau.
(93)Målene for dette direktiv, nemlig at beskytte fysiske personers grund-
læggende rettigheder og frihedsrettigheder, herunder navnlig deres ret
til beskyttelse af personoplysninger og fri udveksling af personoplys-
ninger mellem de kompetente myndigheder i Unionen, kan ikke i til-
strækkelig grad opfyldes af medlemsstaterne, men kan på grund af den
foreslåede handlings omfang og virkninger bedre nås på EU-plan;
Unionen kan derfor vedtage foranstaltninger i overensstemmelse med
nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med pro-
portionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke vide-
re, end hvad der er nødvendigt for at nå disse mål.
(94)Specifikke bestemmelser i EU-retsakter, der er vedtaget inden for om-
rådet retligt samarbejde i straffesager og politisamarbejde, og som er
vedtaget før datoen for vedtagelsen af dette direktiv, og som regulerer
behandlingen af personoplysninger mellem medlemsstater og medlem-
sstaters udpegede myndigheders adgang til informationssystemer, der
er udviklet i medfør af traktaterne, bør finde uændret anvendelse, så-
som f.eks. de særlige bestemmelser vedrørende beskyttelse af perso-
noplysninger, der finder anvendelse i henhold til Rådets afgørelse
2008/615/RIA
(
12
),
eller artikel 23 i konventionen om gensidig rets-
hjælp i straffesager mellem Den Europæiske Unions medlemssta-
ter
(
13
).
Eftersom chartrets artikel 8 og artikel 16 i TEUF kræver, at
den grundlæggende ret til beskyttelse af personoplysninger bør sikres
på en ensartet måde i hele Unionen, bør Kommissionen se nærmere på
forholdet mellem direktivet og retsakter, der er vedtaget før vedtagel-
sen af dette direktiv, og som regulerer behandlingen af personoplys-
ninger mellem medlemsstater eller medlemsstaters udpegede myndig-
heders adgang til informationssystemer, der er udviklet i medfør af
traktaterne, med det formål at vurdere, om der er behov for at tilpasse
disse særlige bestemmelser til direktivet. Hvor det er hensigtsmæssigt,
bør Kommissionen fremsætte forslag med henblik på at sikre ensarte-
de retsregler vedrørende behandling af personoplysninger.
(95)For at sikre en overordnet og sammenhængende beskyttelse af perso-
noplysninger i Unionen bør internationale aftaler, der er indgået af
medlemsstaterne inden datoen for dette direktivs ikrafttræden og som
overholder relevant EU-ret, der er gældende inden denne dato, forblive
47
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0048.png
i kraft, indtil de bliver ændret, erstattet eller ophævet.
(96)Medlemsstaterne bør have en frist på højst to år fra datoen for dette di-
rektivs ikrafttræden til at gennemføre det. Behandlinger, der allerede
er iværksat på denne dato, bør bringes i overensstemmelse med dette
direktiv senest to år efter dette direktivs ikrafttræden. Hvis en sådan
behandling imidlertid overholder den EU-ret, der er gældende inden
datoen for dette direktivs ikrafttræden, bør kravene i dette direktiv om
forudgående høring af tilsynsmyndigheden ikke finde anvendelse på
de behandlingsaktiviteter, der allerede var iværksat på denne dato, idet
disse krav i sagens natur skal opfyldes forud for behandlingen. Hvis
medlemsstaterne anvender den længere gennemførelsesperiode, som
udløber syv år efter datoen for dette direktivs ikrafttræden, til at opfyl-
de logningsforpligtelserne for automatiske databehandlingssystemer,
der er oprettet inden denne dato, bør den dataansvarlige eller databe-
handleren have indført effektive metoder til at påvise, at databehand-
lingen er lovlig, til at udøve egenkontrol og til at sikre dataintegriteten
og datasikkerheden, såsom logning eller andre former for fortegnelser.
(97)Nærværende direktiv påvirker ikke bestemmelserne om bekæmpelse
af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi i
Europa-Parlamentets og Rådets direktiv 2011/93/EU
(
14
).
(98) Rammeafgørelse 2008/977/RIA bør derfor ophæves.
(99)I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges
og Irlands stilling, for så vidt angår området med frihed, sikkerhed og
retfærdighed, der er knyttet som bilag til TEU og TEUF, er Det Fore-
nede Kongerige og Irland ikke bundet af regler fastsat i dette direktiv
vedrørende medlemsstaternes behandling af personoplysninger under
udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel
4 eller 5, i TEUF, når Det Forenede Kongerige og Irland ikke er bun-
det af regler vedrørende former for strafferetligt samarbejde eller poli-
tisamarbejde, der kræver overholdelse af de bestemmelser, der er fast-
sat på grundlag af artikel 16 i TEUF.
(100)I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der
er knyttet som bilag til TEU og TEUF, er de regler, der er fastsat i
dette direktiv, vedrørende medlemsstaternes behandling af personop-
lysninger under udøvelsen af aktiviteter, der er omfattet af tredje del,
afsnit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder ikke
anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne
48
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0049.png
efter bestemmelserne i tredje del, afsnit V, i TEUF, skal Danmark i
henhold til artikel 4 i nævnte protokol inden seks måneder efter di-
rektivets vedtagelse træffe afgørelse om, hvorvidt det vil gennemføre
direktivet i sin nationale lovgivning.
(101)For så vidt angår Island og Norge, udgør dette direktiv en udvikling
af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet
for Den Europæiske Union og Republikken Island og Kongeriget
Norge om disse to staters associering i gennemførelsen, anvendelsen
og udviklingen af Schengenreglerne
(
15
).
(102)For så vidt angår Schweiz, udgør dette direktiv en udvikling af be-
stemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske
Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om
Det Schweiziske Forbunds associering i gennemførelsen, anvendel-
sen og udviklingen af Schengenreglerne
(
16
).
(103)For så vidt angår Liechtenstein, udgør dette direktiv en udvikling af
bestemmelser i Schengenreglerne, jf. protokollen mellem Den Euro-
pæiske Union, Det Europæiske Fællesskab, Det Schweiziske For-
bund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liech-
tensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det
Europæiske Fællesskab og Det Schweiziske Forbund om dette lands
associering i gennemførelsen, anvendelsen og udviklingen af Schen-
genreglerne
(
17
).
(104)I dette direktiv overholdes de grundlæggende rettigheder og princip-
per, der anerkendes i chartret som forankret i TEUF, navnlig retten til
respekt for privatliv og familieliv, retten til beskyttelse af personop-
lysninger og adgang til effektive retsmidler og til en retfærdig retter-
gang. I overensstemmelse med chartrets artikel 52, stk. 1, kan der
indføres begrænsninger i udøvelsen af disse rettigheder, såfremt de er
nødvendige for at nå mål af almen interesse, der er anerkendt af Uni-
onen, eller et behov for beskyttelse af andres rettigheder og friheds-
rettigheder.
(105)I henhold til den fælles politiske erklæring af 28. september 2011 fra
medlemsstaterne og Kommissionen om forklarende dokumenter har
medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at
lade meddelelsen af gennemførelsesforanstaltninger ledsage af et el-
ler flere dokumenter, der forklarer forholdet mellem et direktivs be-
49
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0050.png
standdele og de tilsvarende dele i de nationale gennemførelsesforan-
staltninger. Lovgiver finder fremsendelse af sådanne dokumenter vel-
begrundet i forbindelse med dette direktiv.
(106)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i
overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr.
45/2001 og afgav en udtalelse den 7. marts 2012
(
18
).
(107)Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre
bestemmelserne om udøvelsen af registreredes ret til oplysninger, ret-
ten til indsigt i og berigtigelse, sletning og begrænsning af behand-
ling under en straffesag, samt mulige begrænsninger heraf i deres na-
tionale regler om strafferetspleje —
VEDTAGET DETTE DIREKTIV:
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand og formål
1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i
forbindelse med de kompetente myndigheders behandling af personoplys-
ninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder be-
skytte mod eller forebygge trusler mod den offentlige sikkerhed.
2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:
a) at fysiske personers grundlæggende rettigheder og frihedsrettigheder,
navnlig deres ret til beskyttelse af personoplysninger, beskyttes, og
b) at udvekslingen af personoplysninger mellem kompetente myndigheder
i Unionen, hvor en sådan udveksling kræves i henhold til EU-retten eller
medlemsstaternes nationale ret, hverken indskrænkes eller forbydes af
grunde, der vedrører beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger.
3. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere
standarder end dem, der er fastsat i dette direktiv, for beskyttelse af den re-
gistreredes rettigheder og frihedsrettigheder med hensyn til kompetente
myndigheders behandling af personoplysninger.
Artikel 2
Anvendelsesområde
50
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1. Dette direktiv finder anvendelse på kompetente myndigheders behand-
ling af personoplysninger med henblik på artikel 1, stk. 1.
2. Dette direktiv finder anvendelse på behandling af personoplysninger,
der helt eller delvis foretages ved hjælp af automatisk databehandling, og
på anden ikkeautomatisk behandling af personoplysninger, der er eller vil
blive indeholdt i et register.
3. Dette direktiv gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) af EU-institutioner, -organer, -kontorer og -agenturer.
Artikel 3
Definitioner
I dette direktiv forstås ved:
1)
»personoplysninger«:
enhver form for information om en identificeret
eller identificerbar fysisk person (»den registrerede«); ved identificerbar
fysisk person forstås en fysisk person, der direkte eller indirekte kan iden-
tificeres, navnlig ved en identifikator som f.eks. et navn, et identifikations-
nummer, lokaliseringsdata, en online-identifikator eller et eller flere ele-
menter, der er særlige for denne fysiske persons fysiske, fysiologiske, ge-
netiske, psykiske, økonomiske, kulturelle eller sociale identitet
2)
»behandling«:
enhver aktivitet eller række af aktiviteter — med eller
uden brug af automatisk behandling — som personoplysninger eller en
samling af personoplysninger gøres til genstand for, f.eks. indsamling, re-
gistrering, organisering, systematisering, opbevaring, tilpasning eller æn-
dring, genfinding, søgning, brug, videregivelse ved transmission, formid-
ling eller enhver anden form for overladelse, sammenstilling eller samkø-
ring, begrænsning, sletning eller tilintetgørelse
3)
»begrænsning af behandling«:
mærkning af opbevarede personoplys-
ninger med den hensigt at begrænse fremtidig behandling af disse oplys-
ninger
4)
»profilering«:
enhver form for automatisk behandling af personoplys-
ninger, der består i at anvende personoplysninger til at evaluere bestemte
personlige forhold vedrørende en fysisk person, navnlig for at analysere el-
ler forudsige forhold vedrørende den fysiske persons arbejdsindsats, øko-
nomiske situation, helbred, personlige præferencer, interesser, pålidelig-
hed, adfærd, geografisk position eller bevægelser
5)
»pseudonymisering«:
behandling af personoplysninger på en sådan
måde, at personoplysningerne ikke længere kan henføres til en bestemt re-
gistreret uden brug af supplerende oplysninger, forudsat at sådanne supple-
51
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
rende oplysninger opbevares separat og er underlagt tekniske og organisa-
toriske foranstaltninger for at sikre, at personoplysningerne ikke henføres
til en identificeret eller identificerbar fysisk person
6)
»register«:
enhver struktureret samling af personoplysninger, der er
tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret
centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk
grundlag
7)
»kompetent myndighed«:
a)enhver offentlig myndighed, der er kompetent med hensyn til at forebyg-
ge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuld-
byrde strafferetlige sanktioner, herunder beskytte mod og forebygge
trusler mod den offentlige sikkerhed, eller
b)ethvert andet organ eller enhver anden enhed, som i henhold til medlem-
sstaternes nationale ret udøver offentlig myndighed og offentlige befø-
jelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed
8)
»dataansvarlig«:
den kompetente myndighed, der alene eller sammen
med andre afgør, til hvilke formål og med hvilke hjælpemidler der må fo-
retages behandling af personoplysninger; hvis formålene og hjælpemidler-
ne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes
nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpe-
gelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
9)
»databehandler«:
en fysisk eller juridisk person, en offentlig myndig-
hed, en institution eller et andet organ, der behandler personoplysninger på
den dataansvarliges vegne
10)
»modtager«:
en fysisk eller juridisk person, en offentlig myndighed,
en institution eller et andet organ, hvortil personoplysninger videregives,
uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil
kunne få meddelt personoplysninger som led i en isoleret forespørgsel i
henhold til medlemsstaternes nationale ret, anses dog ikke for modtagere;
de offentlige myndigheders behandling af disse oplysninger skal overholde
de gældende databeskyttelsesregler afhængigt af formålet med behandlin-
gen
11)
»brud på persondatasikkerheden«:
et brud på sikkerheden, der fø-
rer til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vide-
regivelse af eller adgang til personoplysninger, der er transmitteret, opbe-
varet eller på anden måde behandlet
12)
»genetiske data«:
personoplysninger vedrørende en fysisk persons
arvede eller erhvervede genetiske karakteristika, som giver entydig infor-
mation om den fysiske persons fysiologi eller helbred, og som navnlig fo-
52
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
religger efter en analyse af en biologisk prøve fra den pågældende fysiske
person
13)
»biometriske data«:
personoplysninger, der som følge af specifik
teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller
adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identi-
fikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysnin-
ger
14)
»helbredsoplysninger«:
personoplysninger, der vedrører en fysisk
persons fysiske eller mentale helbred, herunder levering af sundhedsydel-
ser, og som giver information om vedkommendes helbredstilstand
15)
»tilsynsmyndighed«:
en uafhængig offentlig myndighed, der er etab-
leret i en medlemsstat i henhold til artikel 41
16)
»international organisation«:
en folkeretlig organisation og organer,
der er underordnet den, samt ethvert andet organ, der er oprettet ved eller
med hjemmel i en aftale mellem to eller flere lande.
KAPITEL II
Principper
Artikel 4
Principper for behandling af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger
skal:
a) behandles lovligt og rimeligt
b)indsamles til udtrykkeligt angivne og legitime formål og ikke behandles
på en måde, der er uforenelig med disse formål
c)være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves
til opfyldelse af de formål, hvortil de behandles
d)være korrekte og om nødvendigt ajourførte; der skal tages ethvert rime-
ligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til
de formål, hvortil de behandles, straks slettes eller berigtiges
e)opbevares på en sådan måde, at det ikke er muligt at identificere de regi-
strerede i et længere tidsrum end det, der er nødvendigt til de formål,
hvortil de behandles
f)behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågæl-
dende personoplysninger, herunder beskyttelse mod uautoriseret eller
ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigel-
se, under anvendelse af passende tekniske eller organisatoriske foran-
staltninger.
53
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
2. Behandling, der foretages af den samme eller en anden dataansvarlig
til et andet formål omfattet af artikel 1, stk. 1, end det, hvortil personoplys-
ningerne er indsamlet, er tilladt i det omfang:
a)den dataansvarlige er bemyndiget til at behandle sådanne personoplys-
ninger til et sådant formål i overensstemmelse med EU-retten eller med-
lemsstaternes nationale ret, og
b)behandlingen er nødvendig for og forholdsmæssig i forhold til dette an-
det formål i overensstemmelse med EU-retten eller medlemsstaternes
nationale ret.
3. Behandling, der foretages af den samme eller en anden dataansvarlig,
kan omfatte behandling til arkivformål i samfundets interesse eller til vi-
denskabelig, statistisk eller historisk brug med henblik på artikel 1, stk. 1,
forudsat at behandlingen er omfattet af de fornødne garantier for den regi-
streredes rettigheder og frihedsrettigheder.
4. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og
3 overholdes.
Artikel 5
Tidsfrister for opbevaring og revision
Medlemsstaterne fastsætter bestemmelser om, at der skal fastsættes hen-
sigtsmæssige tidsfrister for sletning af personoplysninger eller for regel-
mæssig revision af behovet for opbevaring af personoplysninger. Det sik-
res ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.
Artikel 6
Sondring mellem forskellige kategorier af registrerede
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige, hvor
det er relevant og så vidt muligt, klart sondrer mellem personoplysninger
om forskellige kategorier af registrerede såsom:
a) personer, om hvem der er væsentlig grund til at tro, at de har begået el-
ler vil begå en strafbar handling
b) personer, der er dømt for en strafbar handling
c) ofre for en strafbar handling eller personer, om hvem visse faktiske om-
stændigheder giver anledning til at tro, at de kunne blive offer for en
strafbar handling, og
d) andre parter i forbindelse med en strafbar handling, såsom personer, der
kan blive indkaldt som vidner i efterforskninger i forbindelse med straf-
bare handlinger eller i efterfølgende straffesager, personer, der kan tilve-
jebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsa-
54
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
gepersoner for en af de i litra a) og b) omhandlede personer.
Artikel 7
Sondring mellem personoplysninger og kontrol med kvaliteten af per-
sonoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at der så vidt muligt skal
sondres mellem personoplysninger, der bygger på faktiske omstændighe-
der, og personoplysninger, der bygger på personlige vurderinger.
2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myn-
digheder iværksætter alle rimelige tiltag for at sikre, at personoplysninger,
som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller
stilles til rådighed. Med henblik herpå kontrollerer hver kompetent myn-
dighed, så vidt det er praktisk muligt, kvaliteten af personoplysninger, før
disse videregives eller stilles til rådighed. I forbindelse med al videregivel-
se af personoplysninger skal nødvendige oplysninger, der gør det muligt
for den modtagende kompetente myndighed at vurdere, i hvor høj grad
personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket
omfang de er ajourførte, så vidt muligt tilføjes.
3. Hvis det konstateres, at der er videregivet urigtige personoplysninger,
eller at personoplysninger er videregivet ulovligt, skal dette straks meddel-
es modtageren. I så fald skal personoplysningerne berigtiges eller slettes,
eller behandling skal begrænses i overensstemmelse med artikel 16.
Artikel 8
Lovlig behandling
1. Medlemsstaterne fastsætter bestemmelser om, at behandling kun er
lovlig, hvis og i det omfang denne behandling er nødvendig, for at en kom-
petent myndighed kan udføre en opgave med henblik på artikel 1, stk. 1,
og at den sker på grundlag af EU-retten eller medlemsstaternes nationale
ret.
2. Medlemsstaternes nationale ret, der regulerer behandling inden for det-
te direktivs anvendelsesområde, skal som minimum angive målene med
behandling, de personoplysninger, der skal behandles, og formålene med
behandlingen.
Artikel 9
55
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Særlige betingelser for behandling
1. Personoplysninger indsamlet af kompetente myndigheder med henblik
på artikel 1, stk. 1, må ikke behandles til andre formål end med henblik på
artikel 1, stk. 1, medmindre en sådan behandling er hjemlet i EU-retten el-
ler medlemsstaternes nationale ret. Hvis personoplysninger behandles til
disse andre formål, finder forordning (EU) 2016/679 anvendelse, medmin-
dre behandlingen udføres i forbindelse med en aktivitet, der falder uden for
EU-rettens anvendelsesområde.
2. Hvis kompetente myndigheder i henhold til medlemsstaternes nationa-
le ret har fået overdraget andre opgaver end dem, der udføres med henblik
på artikel 1, stk. 1, finder forordning (EU) 2016/679 anvendelse på be-
handling til disse formål, herunder til arkivformål i samfundets interesse,
til videnskabelige eller historiske forskningsformål eller til statistiske for-
mål, medmindre behandlingen udføres i forbindelse med en aktivitet, der
falder uden for EU-rettens anvendelsesområde.
3. Medlemsstaterne fastsætter bestemmelser om, at den videregivende
kompetente myndighed, hvis EU-retten eller medlemsstaternes nationale
ret, der finder anvendelse på den videregivende kompetente myndighed,
fastsætter særlige vilkår for behandling, underretter modtageren af sådanne
personoplysninger om disse vilkår og kravet om at overholde dem.
4. Medlemsstaterne fastsætter bestemmelser om, at den videregivende
kompetente myndighed ikke anvender andre vilkår, jf. stk. 3, på modtagere
i andre medlemsstater eller på agenturer, kontorer og organer, der er opret-
tet i henhold til afsnit V, kapitel 4 og 5, i TEUF, end de vilkår, der gælder
for lignende videregivelser af oplysninger inden for den medlemsstat, hvor
den videregivende kompetente myndighed er beliggende.
Artikel 10
Behandling af særlige kategorier af personoplysninger
Behandling af personoplysninger om race eller etnisk oprindelse, politisk,
religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsfor-
hold samt behandling af genetiske data, biometriske data med det formål
entydigt at identificere en fysisk person, helbredsoplysninger eller oplys-
ninger om en fysisk persons seksuelle forhold eller seksuelle orientering
må kun tillades, når det er strengt nødvendigt, forudsat at behandlingen er
omfattet af de fornødne garantier for den registreredes rettigheder og fri-
hedsrettigheder, og kun:
a) hvis hjemlet i EU-retten eller medlemsstaternes nationale ret
b)for at beskytte den registreredes eller en anden fysisk persons vitale in-
56
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
teresser, eller
c)hvis denne behandling vedrører oplysninger, som tydeligvis er offentlig-
gjort af den registrerede.
Artikel 11
Automatiske individuelle afgørelser
1. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse, der ale-
ne er baseret på automatisk behandling, herunder profilering, som har ne-
gativ retsvirkning for den registrerede eller betydeligt påvirker den pågæl-
dende, er forbudt, medmindre den er hjemlet i EU-retten eller medlemssta-
ternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter
de fornødne garantier for den registreredes rettigheder og frihedsrettighe-
der, i det mindste den registreredes ret til menneskelig indgriben fra den
dataansvarliges side.
2. De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke
baseres på særlige kategorier af personoplysninger, jf. artikel 10, medmin-
dre der er indført passende foranstaltninger til beskyttelse af den registrere-
des rettigheder og frihedsrettigheder samt legitime interesser.
3. Profilering, der fører til forskelsbehandling af fysiske personer på
grundlag af særlige kategorier af personoplysninger, jf. artikel 10, er for-
budt i henhold til EU-retten.
KAPITEL III
Den registreredes rettigheder
Artikel 12
Meddelelser og nærmere regler for udøvelse af den registreredes ret-
tigheder
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal iværksætte rimelige tiltag for at give enhver oplysning som omhandlet
i artikel 13 og enhver meddelelse som omhandlet i artikel 11, 14-18 og 31
om behandling til den registrerede i en kortfattet, letforståelig og lettilgæn-
gelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver
hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som ho-
vedregel skal den dataansvarlige give oplysningerne i samme form som
anmodningen.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal lette udøvelsen af den registreredes rettigheder i medfør af artikel 11
og 14-18.
57
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
3. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal give den registrerede skriftlig meddelelse om opfølgningen på dennes
anmodning uden unødig forsinkelse.
4. Medlemsstaterne fastsætter bestemmelser om, at de oplysninger, der
gives i medfør af artikel 13, og enhver meddelelse og enhver foranstalt-
ning, der træffes i henhold til artikel 11, 14-18 og 31, er gratis. Hvis an-
modninger fra en registreret er åbenbart grundløse eller overdrevne, især
fordi de gentages, kan den dataansvarlige enten:
a)opkræve et rimeligt gebyr under hensyntagen til de administrative om-
kostninger ved at give oplysninger eller meddelelser eller træffe den øn-
skede foranstaltning, eller
b) afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven,
påhviler den dataansvarlige.
5. Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af
den fysiske person, der fremsætter en anmodning som omhandlet i artikel
14 eller 16, anmode om de yderligere oplysninger, der er nødvendige for at
bekræfte den registreredes identitet.
Artikel 13
Oplysninger, der skal stilles til rådighed for eller gives til den registre-
rede
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
som minimum stiller følgende oplysninger til rådighed for den registrere-
de:
a) identitet på og kontaktoplysninger for den dataansvarlige
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c)formålene med den behandling, som personoplysningerne skal bruges til
d)retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysnin-
gerne for tilsynsmyndigheden
e)retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller
sletning af personoplysninger og begrænsning af behandling af perso-
noplysningerne vedrørende den registrerede.
2. Ud over de oplysninger, der er omhandlet i stk. 1, fastsætter medlems-
staterne ved lov bestemmelser om, at den dataansvarlige i særlige tilfælde
skal give den registrerede følgende yderligere oplysninger, for at vedkom-
mende kan udøve sine rettigheder:
a) retsgrundlaget for behandlingen
b)det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis
dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tids-
58
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
rum
c)hvor det er relevant, kategorierne af modtagere af personoplysningerne,
herunder i tredjelande eller internationale organisationer
d)hvis det er nødvendigt, yderligere oplysninger, navnlig hvis personoplys-
ningerne indsamles uden den registreredes vidende.
3. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger,
der udsætter, begrænser eller afskærer meddelelse af oplysninger til de re-
gistrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning ud-
gør en nødvendig og forholdsmæssig foranstaltning i et demokratisk sam-
fund under behørigt hensyn til den berørte fysiske persons grundlæggende
rettigheder og legitime interesser for at:
a)undgå, at der lægges hindringer i vejen for officielle eller retlige under-
søgelser, efterforskninger eller procedurer
b)undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsfor-
følgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige
sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
4. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for
at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af
ethvert af de litraer, der er anført i stk. 3.
Artikel 14
Den registreredes indsigtsret
Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til
at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende
den pågældende behandles, og i givet fald adgang til personoplysningerne
og følgende information, jf. dog artikel 15:
a) formålene med og retsgrundlaget for behandlingen
b) de berørte kategorier af personoplysninger
c)de modtagere eller kategorier af modtagere, som personoplysningerne er
videregivet til, navnlig modtagere i tredjelande eller internationale orga-
nisationer
d)om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive op-
bevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at
fastlægge dette tidsrum
e)retten til at anmode den dataansvarlige om berigtigelse eller sletning af
personoplysninger eller begrænsning af behandling vedrørende den regi-
strerede
59
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
f)retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysnin-
gerne for tilsynsmyndigheden
g)meddelelse af hvilke personoplysninger, der er omfattet af behandlingen,
og enhver tilgængelig oplysning om, hvorfra de stammer.
Artikel 15
Begrænsninger af indsigtsretten
1. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger,
der helt eller delvis begrænser den registreredes ret til indsigt, i det omfang
og så længe en sådan delvis eller fuldstændig begrænsning udgør en nød-
vendig og forholdsmæssig foranstaltning i et demokratisk samfund under
behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder
og legitime interesser for at:
a)undgå, at der lægges hindringer i vejen for officielle eller retlige under-
søgelser, efterforskninger eller procedurer
b)undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsfor-
følgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige
sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
2. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for
at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af
stk. 1, litra a)-e).
3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne be-
stemmelser om, at den dataansvarlige uden unødig forsinkelse skal give
den registrerede skriftlig meddelelse om ethvert afslag på indsigt i perso-
noplysninger eller begrænsning af indsigten og om begrundelsen for afsla-
get eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne
oplysninger ville være til skade for et af formålene i stk. 1. Medlemsstater-
ne fastsætter bestemmelser om, at den dataansvarlige skal underrette den
registrerede om muligheden for at indgive en klage til en tilsynsmyndighed
eller adgangen til retsmidler.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal dokumentere den faktiske eller retlige begrundelse, som afgørelsen
hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndighederne.
60
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 16
Ret til berigtigelse, sletning og begrænsning af behandling
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har
ret til at få urigtige personoplysninger om sig selv berigtiget af den
dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter be-
stemmelser om, at den registrerede under hensyntagen til formålene med
behandlingen skal have ret til at få fuldstændiggjort ufuldstændige perso-
noplysninger, bl.a. ved at fremlægge en supplerende erklæring.
2. Medlemsstaterne kræver, at den dataansvarlige sletter personoplysnin-
ger uden unødig forsinkelse, og fastsætter bestemmelser om, at den regi-
strerede skal have ret til at få personoplysninger om sig selv slettet af den
dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de be-
stemmelser, der vedtages i henhold til artikel 4, 8 eller 10, eller hvis perso-
noplysninger skal slettes for at overholde en retlig forpligtelse, som den
dataansvarlige er underlagt.
3. I stedet for sletning begrænser den dataansvarlige behandling, hvis:
a)rigtigheden af personoplysningerne bestrides af den registrerede og deres
rigtighed eller urigtighed ikke kan konstateres, eller
b) personoplysningerne skal bevares som bevismiddel.
Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter
den dataansvarlige den registrerede herom, inden begrænsningen af be-
handling ophæves.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal give den registrerede skriftlig meddelelse om ethvert afslag på berigti-
gelse eller sletning af personoplysninger eller begrænsning af behandling
og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgiv-
ningsmæssige foranstaltninger, der helt eller delvis begrænser forpligtelsen
til at give sådanne oplysninger, i det omfang en sådan begrænsning udgør
en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund
under behørigt hensyn til den berørte fysiske persons grundlæggende ret-
tigheder og legitime interesser for at:
a)undgå, at der lægges hindringer i vejen for officielle eller retlige under-
søgelser, efterforskninger eller procedurer
b)undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsfor-
følgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige
sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
61
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal
underrette den registrerede om muligheden for at indgive klage til en til-
synsmyndighed eller adgangen til retsmidler.
5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal meddele berigtigelse af urigtige personoplysninger til den kompetente
myndighed, hvorfra de urigtige oplysninger stammer.
6. Medlemsstaterne fastsætter, hvis personoplysningerne er blevet berigti-
get eller slettet eller behandlingen er blevet begrænset, jf. stk. 1, 2 og 3,
bestemmelser om, at den dataansvarlige skal underrette modtagerne, og at
modtagerne berigtiger eller sletter personoplysningerne eller begrænser be-
handling af personoplysninger, som de har ansvaret for.
Artikel 17
Den registreredes udøvelse af rettigheder og tilsynsmyndighedens
kontrol
1. I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og
artikel 16, stk. 4, vedtager medlemsstaterne foranstaltninger, der fastsætter,
at den registreredes rettigheder også kan udøves gennem den kompetente
tilsynsmyndighed.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal underrette den registrerede om dennes mulighed for at udøve sine ret-
tigheder gennem tilsynsmyndigheden i henhold til stk. 1.
3. Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndighe-
den som minimum den registrerede om, at tilsynsmyndigheden har foreta-
get den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden un-
derretter også den registrerede om dennes adgang til retsmidler.
Artikel 18
Den registreredes rettigheder i forbindelse med strafferetlige efter-
forskninger og straffesager
Medlemsstaterne kan fastsætte bestemmelser om, at udøvelsen af de rettig-
heder, der er omhandlet i artikel 13, 14 og 16, skal gennemføres i henhold
til medlemsstaternes nationale ret, når personoplysningerne er indeholdt i
en retsafgørelse eller et register eller en sagsakt, der behandles i forbindel-
se med strafferetlige efterforskninger og straffesager.
62
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
KAPITEL IV
Dataansvarlig og databehandler
Afdeling 1
Generelle forpligtelser
Artikel 19
Den dataansvarliges forpligtelser
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
under hensyntagen til behandlingens karakter, omfang, sammenhæng og
formål samt risiciene af varierende sandsynlighed og alvor for fysiske per-
soners rettigheder og frihedsrettigheder skal gennemføre passende tekniske
og organisatoriske foranstaltninger for at sikre og for at være i stand til at
påvise, at behandling er i overensstemmelse med dette direktiv. Disse for-
anstaltninger skal om nødvendigt revideres og ajourføres.
2. Hvis det står i rimeligt forhold til behandlingsaktiviteterne, skal de for-
anstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges imple-
mentering af passende databeskyttelsespolitikker.
Artikel 20
Databeskyttelse gennem design og databeskyttelse gennem standar-
dindstillinger
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
under hensyntagen til det aktuelle tekniske niveau, implementeringsom-
kostningerne og den pågældende behandlings karakter, omfang, sammen-
hæng og formål samt risiciene af varierende sandsynlighed og alvor for fy-
siske personers rettigheder og frihedsrettigheder, som behandlingen inde-
bærer, både på tidspunktet for fastlæggelse af midlerne til behandling og
på tidspunktet for selve behandlingen skal gennemføre passende tekniske
og organisatoriske foranstaltninger, såsom pseudonymisering, som er de-
signet med henblik på effektiv implementering af databeskyttelsesprincip-
per, såsom dataminimering, og med henblik på integrering af de fornødne
garantier i behandlingen for at opfylde kravene i dette direktiv og beskytte
de registreredes rettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal gennemføre passende tekniske og organisatoriske foranstaltninger
med henblik på gennem standardindstillinger at sikre, at kun personoplys-
ninger, der er nødvendige til hvert specifikt formål med behandlingen, be-
handles. Denne forpligtelse gælder den mængde personoplysninger, der
63
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
indsamles, og omfanget af deres behandling samt deres opbevaringsperio-
de og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem stan-
dardindstillinger sikre, at personoplysninger ikke uden den fysiske persons
indgriben stilles til rådighed for et ubegrænset antal fysiske personer.
Artikel 21
Fælles dataansvarlige
1. Medlemsstaterne fastsætter, hvis to eller flere dataansvarlige i fælles-
skab fastlægger formålene med og hjælpemidlerne til behandling, bestem-
melser om, at de skal være fælles dataansvarlige. De fastsætter på en gen-
nemsigtig måde deres respektive ansvar for overholdelse af dette direktiv,
navnlig hvad angår udøvelsen af den registreredes rettigheder og deres
respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i
artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det om-
fang de dataansvarliges respektive ansvar er fastlagt i EU-retten eller med-
lemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordnin-
gen udpeges kontaktpunktet for de registrerede. Medlemsstaterne kan ud-
pege den af de fælles dataansvarlige, der kan fungere som fælles kontakt-
punkt for de registrerede, når disse udøver deres rettigheder.
2. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan
medlemsstaterne fastsætte bestemmelser om, at den registrerede kan udøve
sine rettigheder i medfør af de bestemmelser, der vedtages i henhold til
dette direktiv, med hensyn til og over for den enkelte dataansvarlige.
Artikel 22
Databehandler
1. Medlemsstaterne fastsætter, hvis en behandling foretages på vegne af
en dataansvarlig, bestemmelser om, at den dataansvarlige udelukkende må
benytte databehandlere, der kan stille de fornødne garantier for, at de vil
gennemføre de passende tekniske og organisatoriske foranstaltninger på en
sådan måde, at behandlingen opfylder kravene i dette direktiv og sikrer be-
skyttelse af den registreredes rettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at databehandleren ikke
må gøre brug af en anden databehandler uden forudgående specifik eller
generel skriftlig godkendelse fra den dataansvarlige. I tilfælde af generel
skriftlig godkendelse skal databehandleren underrette den dataansvarlige
om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af
andre databehandlere og derved give den dataansvarlige mulighed for at
gøre indsigelse mod sådanne ændringer.
64
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
3. Medlemsstaterne fastsætter bestemmelser om, at en databehandlers be-
handling skal være omfattet af en kontrakt eller et andet retligt dokument i
henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende
for databehandleren med hensyn til den dataansvarlige, og fastsætter gen-
standen for og varigheden af behandlingen, behandlingens karakter og for-
mål, typen af personoplysninger og kategorierne af registrerede samt den
dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller andet ret-
lige dokument fastlægger navnlig, at databehandleren:
a) kun må handle efter instruks fra den dataansvarlige
b)sikrer, at de personer, der er autoriseret til at behandle personoplysnin-
ger, har forpligtet sig til fortrolighed eller er underlagt en passende lov-
bestemt tavshedspligt
c)bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre
overholdelse af bestemmelserne om den registreredes rettigheder
d)efter den dataansvarliges valg sletter eller tilbageleverer alle personop-
lysningerne til den dataansvarlige, efter at tjenesterne vedrørende be-
handling er ophørt, og sletter eksisterende kopier, medmindre EU-retten
eller medlemsstaternes nationale ret foreskriver opbevaring af personop-
lysningerne
e)stiller alle oplysninger, der er nødvendige for at påvise overholdelse af
denne artikel, til rådighed for den dataansvarlige
f)overholder de betingelser, der er omhandlet i stk. 2 og 3, med henblik på
at gøre brug af en anden databehandler.
4. Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3,
skal foreligge skriftligt, herunder elektronisk.
5. Hvis en databehandler i strid med dette direktiv fastlægger formålene
med og hjælpemidlerne til behandling, anses denne databehandler for at
være en dataansvarlig, for så vidt angår den pågældende behandling.
Artikel 23
Behandling, der udføres for den dataansvarlige eller databehandleren
Medlemsstaterne fastsætter bestemmelser om, at databehandleren og en-
hver, der udfører arbejde for den dataansvarlige eller databehandleren, og
som har adgang til personoplysninger, kun må behandle disse oplysninger
efter instruks fra den dataansvarlige, medmindre det kræves i henhold til
EU-retten eller medlemsstaternes nationale ret.
65
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 24
Fortegnelser over behandlingsaktiviteter
1. Medlemsstaterne fastsætter bestemmelser om, at de dataansvarlige fø-
rer fortegnelser over alle kategorier af behandlingsaktiviteter under deres
ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:
a)navn på og kontaktoplysninger for den dataansvarlige og, hvis det er re-
levant, den fælles dataansvarlige og databeskyttelsesrådgiveren
b) formålene med behandlingen
c)de kategorier af modtagere, som personoplysningerne er eller vil blive
videregivet til, herunder modtagere i tredjelande eller internationale or-
ganisationer
d)en beskrivelse af kategorierne af registrerede og kategorierne af perso-
noplysninger
e) hvor det er relevant, brugen af profilering
f)hvor det er relevant, kategorierne af overførsler af personoplysninger til
et tredjeland eller en international organisation
g)en angivelse af retsgrundlaget for behandlingsaktiviteten, herunder over-
førsler, hvortil personoplysningerne er bestemt
h)hvis det er muligt, de forventede tidsfrister for sletning af de forskellige
kategorier af personoplysninger
i)hvis det er muligt, en generel beskrivelse af de tekniske og organisatori-
ske sikkerhedsforanstaltninger omhandlet i artikel 29, stk. 1.
2. Medlemsstaterne fastsætter bestemmelser om, at hver databehandler
skal føre fortegnelser over alle kategorier af behandlingsaktiviteter, der fo-
retages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:
a)navn på og kontaktoplysninger for databehandleren eller databehandler-
ne, for hver dataansvarlig, på hvis vegne databehandleren handler, samt,
hvis det er relevant, databeskyttelsesrådgiveren
b)de kategorier af behandling, der foretages på vegne af den enkelte
dataansvarlige
c)hvor det er relevant, overførsler af personoplysninger til et tredjeland el-
ler en international organisation, når den dataansvarlige udtrykkeligt har
givet instruks herom, herunder angivelse af dette tredjeland eller denne
internationale organisation
d)hvis det er muligt, en generel beskrivelse af de tekniske og organisatori-
ske sikkerhedsforanstaltninger omhandlet i artikel 29, stk. 1.
3. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt,
herunder elektronisk.
Den dataansvarlige og databehandleren stiller efter anmodning disse for-
tegnelser til rådighed for tilsynsmyndigheden.
66
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 25
Logning
1. Medlemsstaterne fastsætter bestemmelser om, at der som minimum
skal foretages logning af følgende former for behandlingsaktiviteter i auto-
matiske databehandlingssystemer: indsamling, ændring, søgning, videregi-
velse, herunder overførsel, samkøring og sletning. Logning af søgning og
videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og
tidspunktet for sådanne aktiviteter og i videst muligt omfang identifikation
af den person, som har søgt eller videregivet personoplysninger, og identi-
teten på modtagerne af sådanne personoplysninger.
2. Loggene anvendes udelukkende til at kontrollere, om behandling er
lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af personop-
lysningerne og i forbindelse med straffesager.
3. Den dataansvarlige og databehandleren stiller efter anmodning loggene
til rådighed for tilsynsmyndigheden.
Artikel 26
Samarbejde med tilsynsmyndigheden
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og da-
tabehandleren efter anmodning skal samarbejde med tilsynsmyndigheden i
forbindelse med udførelsen af dens opgaver.
Artikel 27
Konsekvensanalyse vedrørende databeskyttelse
1. Hvis en type behandling, navnlig ved brug af nye teknologier og i
medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil
indebære en høj risiko for fysiske personers rettigheder og frihedsrettighe-
der, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige
forud for behandlingen foretager en analyse af de påtænkte behandlingsak-
tiviteters konsekvenser for beskyttelse af personoplysninger.
2. Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskri-
velse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for
de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der
påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger
og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise
overholdelse af dette direktiv, under hensyntagen til de registreredes og
andre berørte personers rettigheder og legitime interesser.
67
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 28
Forudgående høring af tilsynsmyndigheden
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige el-
ler databehandleren skal høre tilsynsmyndigheden inden behandling af per-
sonoplysninger, der vil indgå som en del af et nyt register, der skal opret-
tes, såfremt:
a)en konsekvensanalyse vedrørende databeskyttelse, jf. artikel 27, viser, at
behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet
af den dataansvarlige for at begrænse risikoen, eller
b)den type behandling, navnlig ved brug af nye teknologier, mekanismer
eller procedurer, indebærer en høj risiko for de registreredes rettigheder
og frihedsrettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden
skal høres som led i udarbejdelsen af et forslag til lovgivningsmæssig for-
anstaltning, som skal vedtages af et nationalt parlament, eller af en regule-
rende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foran-
staltning, og som vedrører behandling.
3. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden
kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til
stk. 1 skal foretages en forudgående høring.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige fo-
relægger tilsynsmyndigheden den i artikel 27 omhandlede konsekvensana-
lyse vedrørende databeskyttelse og efter anmodning andre oplysninger, der
sætter tilsynsmyndigheden i stand til at vurdere behandlingens overens-
stemmelse, og navnlig risiciene for beskyttelsen af registreredes personop-
lysninger og tilknyttede garantier.
5. Medlemsstaterne fastsætter, hvis tilsynsmyndigheden finder, at den
planlagte behandling omhandlet i nærværende artikels stk. 1, overtræder
de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvis den
dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen,
bestemmelser om, at tilsynsmyndigheden inden for en periode på op til
seks uger efter modtagelse af anmodningen om høring skal give den
dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgiv-
ning og i den forbindelse kan anvende enhver af sine beføjelser, jf. artikel
47. Denne periode kan forlænges med en måned under hensyntagen til den
påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den
dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan
forlængelse senest en måned efter modtagelse af anmodningen om høring
sammen med begrundelsen for forsinkelsen.
68
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Afdeling 2
Personoplysningssikkerhed
Artikel 29
Behandlingssikkerhed
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og
databehandleren under hensyntagen til det aktuelle tekniske niveau, imple-
menteringsomkostningerne og behandlingens karakter, omfang, sammen-
hæng og formål samt risiciene af varierende sandsynlighed og alvor for fy-
siske personers rettigheder og frihedsrettigheder skal gennemføre passende
tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsni-
veau, der passer til disse risici, navnlig for så vidt angår behandlingen af
de særlige kategorier af personoplysninger, der er omhandlet i artikel 10.
2. For så vidt angår automatisk behandling, fastsætter medlemsstaterne
bestemmelser om, at den dataansvarlige eller databehandleren på grundlag
af en risikovurdering gennemfører foranstaltninger til at sikre, at:
a)uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der
benyttes til behandling (»kontrol med fysisk adgang til udstyret«)
b)der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af
datamedier (»kontrol med datamedier«)
c)der ikke sker uautoriseret indlæsning af personoplysninger samt uautori-
seret læsning, ændring eller sletning af opbevarede personoplysninger
(»kontrol med opbevaring«)
d)automatiske behandlingssystemer ikke via datakommunikationsudstyr
kan benyttes af uautoriserede personer (»brugerkontrol«)
e)personer med bemyndigelse til at anvende et automatisk behandlingssy-
stem kun har adgang til de personoplysninger, der er omfattet af deres
adgangstilladelse (»kontrol med dataadgangen«)
f)det er muligt at kontrollere og fastslå de organer, til hvilke der er blevet
eller kan transmitteres eller stilles til rådighed ved hjælp af datakommu-
nikationsudstyr (»kommunikationskontrol«)
g)det er muligt efterfølgende at undersøge og fastslå, hvilke personoplys-
ninger der er indlæst i automatiske behandlingssystemer, og hvornår og
af hvem personoplysningerne blev indlæst (»kontrol med indlæsning«)
h)der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af
personoplysninger i forbindelse med overførsler af disse eller under
transport af datamedier (»transportkontrol«)
i)de anvendte systemer i tilfælde af teknisk uheld kan genetableres
(»genopretning«)
69
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
j)systemet fungerer, at indtrufne fejl meldes (»pålidelighed«), og at opbe-
varede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner
i systemet (»integritet«).
Artikel 30
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
1. Medlemsstaterne fastsætter ved brud på persondatasikkerheden be-
stemmelser om, at den dataansvarlige uden unødig forsinkelse og om mu-
ligt senest 72 timer, efter at denne er blevet bekendt med det, skal anmelde
bruddet på persondatasikkerheden til tilsynsmyndigheden, medmindre at
det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risi-
ko for fysiske personers rettigheder og frihedsrettigheder. Foretages an-
meldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af
en begrundelse for forsinkelsen.
2. Databehandleren underretter uden unødig forsinkelse den dataansvarli-
ge efter at være blevet opmærksom på, at der er sket et brud på persondata-
sikkerheden.
3. Den i stk. 1 omhandlede anmeldelse skal mindst:
a)beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis
det er muligt, kategorierne og det omtrentlige antal berørte registrerede
samt kategorierne og det omtrentlige antal berørte registreringer af per-
sonoplysninger
b)angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren el-
ler et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
c)beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerhe-
den
d)beskrive de foranstaltninger, som den dataansvarlige har truffet eller fo-
reslår truffet for at håndtere bruddet på persondatasikkerheden, herunder,
hvis det er relevant, foranstaltninger for at begrænse dets mulige skade-
virkninger.
4. Når og for så vidt som det ikke er muligt at forelægge oplysningerne
samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsin-
kelse.
5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal dokumentere alle brud på persondatasikkerheden som omhandlet i stk.
1, herunder de faktiske omstændigheder vedrørende bruddet på personda-
tasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger.
Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at
kontrollere, at denne artikel er overholdt.
70
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
6. Medlemsstaterne fastsætter, hvis bruddet på persondatasikkerheden
omfatter personoplysninger, der er transmitteret af eller til den dataansvar-
lige i en anden medlemsstat, bestemmelser om, at de i stk. 3 omhandlede
oplysninger uden unødig forsinkelse skal meddeles til den dataansvarlige i
denne medlemsstat.
Artikel 31
Underretning om brud på persondatasikkerheden til den registrerede
1. Medlemsstaterne fastsætter, når et brud på persondatasikkerheden
sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder
og frihedsrettigheder, bestemmelser om, at den dataansvarlige uden unødig
forsinkelse skal underrette den registrerede om bruddet på persondatasik-
kerheden.
2. Underretningen af den registrerede i henhold til denne artikels stk. 1
skal i et klart og forståeligt sprog beskrive karakteren af bruddet på person-
datasikkerheden og mindst indeholde de oplysninger og foranstaltninger,
der er omhandlet i artikel 30, stk. 3, litra b), c) og d).
3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i
stk. 1, hvis en af følgende betingelser er opfyldt:
a)den dataansvarlige har gennemført passende tekniske og organisatoriske
beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt
på de personoplysninger, som er berørt af bruddet på persondatasikker-
heden, navnlig foranstaltninger, der gør personoplysningerne uforståeli-
ge for enhver, der ikke har autoriseret adgang hertil, som f.eks. krypte-
ring
b)den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer,
at den høje risiko for de registreredes rettigheder og frihedsrettigheder
som omhandlet i stk. 1 sandsynligvis ikke længere er reel
c)det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i
stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning,
hvorved de registrerede underrettes på en tilsvarende effektiv måde.
4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede
om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at ha-
ve overvejet sandsynligheden for, at bruddet på persondatasikkerheden in-
debærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte,
at en af betingelserne i stk. 3 er opfyldt.
5. Den i nærværende artikels stk. 1 omhandlede underretning af den regi-
strerede kan udsættes, begrænses eller afskæres på de betingelser og af de
årsager, der er omhandlet i artikel 13, stk. 3.
71
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Afdeling 3
Databeskyttelsesrådgiver
Artikel 32
Udpegelse af databeskyttelsesrådgiveren
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal udpege en databeskyttelsesrådgiver. Medlemsstaterne kan fritage
domstole og andre uafhængige judicielle myndigheder, når de udfører de-
res judicielle opgaver, for denne forpligtelse.
2. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvali-
fikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis
samt evne til at udføre de opgaver, der er omhandlet i artikel 34.
3. En fælles databeskyttelsesansvarlig kan udpeges for flere kompetente
myndigheder under hensyntagen til deres organisatoriske struktur og stør-
relse.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal offentliggøre kontaktoplysningerne for databeskyttelsesrådgiveren og
meddele disse til tilsynsmyndigheden.
Artikel 33
Databeskyttelsesrådgiverens stilling
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige
skal sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og retti-
digt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige støtter databeskyttelsesrådgiveren i forbindelse
med udførelsen af de i artikel 34 omhandlede opgaver ved at tilvejebringe
de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde
databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger
og behandlingsaktiviteter.
Artikel 34
Databeskyttelsesrådgiverens opgaver
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som
minimum skal overdrage følgende opgaver til databeskyttelsesrådgiveren:
a)at underrette og rådgive den dataansvarlige og de ansatte, der behandler
personoplysninger, om deres forpligtelser i henhold til dette direktiv og
anden EU-ret eller national ret i medlemsstaterne om databeskyttelse
b)at overvåge overholdelsen af dette direktiv, af anden EU-ret eller natio-
72
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
nal ret i medlemsstaterne om databeskyttelse og af den dataansvarliges
politikker om beskyttelse af personoplysninger, herunder fordeling af
ansvar, oplysningskampagner og uddannelse af det personale, der med-
virker ved behandlingsaktiviteterne, og de tilhørende revisioner
c)at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen
vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til ar-
tikel 27
d) at samarbejde med tilsynsmyndigheden
e)at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrøren-
de behandling, herunder den forudgående høring, der er omhandlet i arti-
kel 28, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om
eventuelle andre spørgsmål.
KAPITEL V
Overførsler af personoplysninger til tredjelande eller internationale or-
ganisationer
Artikel 35
Generelle principper for overførsler af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at enhver overførsel af
personoplysninger, der foretages af kompetente myndigheder, og som un-
derkastes behandling eller planlægges behandlet efter overførsel til et tred-
jeland eller en international organisation, herunder videreoverførsel til et
andet tredjeland eller en anden international organisation, kun må finde
sted, hvis de nationale bestemmelser, der vedtages i henhold til dette direk-
tiv, er overholdt, og hvis betingelserne i dette kapitel er opfyldt, navnlig at:
a) overførslen er nødvendig med henblik på artikel 1, stk. 1
b)personoplysningerne overføres til en dataansvarlig i et tredjeland eller en
international organisation, der er en myndighed, der er kompetent med
henblik på artikel 1, stk. 1
c)hvor personoplysninger transmitteres eller stilles til rådighed fra en an-
den medlemsstat, denne medlemsstat har givet sin forudgående godken-
delse til overførslen i henhold til dens nationale ret
d)Kommissionen i henhold til artikel 36 har truffet en afgørelse om til-
strækkeligheden af beskyttelsesniveauet, eller der i fravær af en sådan
afgørelse er blevet indført, eller der eksisterer de fornødne garantier i
henhold til artikel 37, eller, i fravær af en afgørelse om tilstrækkelighe-
den af beskyttelsesniveauet i henhold til artikel 36 og de fornødne garan-
tier, jf. artikel 37, undtagelser for særlige situationer finder anvendelse i
henhold til artikel 38, og
73
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
e)den kompetente myndighed, der foretog den oprindelige overførsel, eller
en anden kompetent myndighed i den samme medlemsstat, i tilfælde af
videreoverførsel til et andet tredjeland eller en anden international orga-
nisation, giver bemyndigelse til videreoverførslen, efter at den har taget
behørigt hensyn til alle relevante faktorer, herunder den strafbare hand-
lings grovhed, det formål, hvortil personoplysningerne oprindeligt blev
overført, og beskyttelsesniveauet for personoplysninger i det tredjeland
eller den internationale organisation, hvortil personoplysningerne videre-
overføres.
2. Medlemsstaterne fastsætter bestemmelser om, at overførsel uden for-
udgående godkendelse fra en anden medlemsstat i overensstemmelse med
stk. 1, litra c), kun må tillades, hvis overførslen af personoplysningerne er
nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en med-
lemsstats eller et tredjelands offentlige sikkerhed eller mod en medlems-
stats væsentlige interesser, og den forudgående godkendelse ikke kan ind-
hentes i tide. Den myndighed, der er ansvarlig for at give den forudgående
godkendelse, underrettes straks.
3. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyt-
telsesniveau for fysiske personer, som sikres i dette direktiv, ikke undermi-
neres.
Artikel 36
Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyt-
telsesniveauet
1. Medlemsstaterne fastsætter bestemmelser om, at overførsel af perso-
noplysninger til et tredjeland eller en international organisation kan finde
sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en
eller flere specifikke sektorer i dette tredjeland, eller den pågældende inter-
nationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan
overførsel af oplysninger kræver ikke specifik godkendelse.
2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kom-
missionen navnlig følgende elementer i betragtning:
a)retsstatsprincippet, respekt for menneskerettighederne og de grundlæg-
gende frihedsrettigheder, relevant lovgivning, både generel og sektorbe-
stemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikker-
hed og strafferet og offentlige myndigheders adgang til personoplysnin-
ger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler,
faglige regler og sikkerhedsforanstaltninger, herunder regler for videre-
overførslen af personoplysninger til et andet tredjeland eller en anden in-
ternational organisation, der gælder i dette land eller denne internationale
74
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
organisation, retspraksis samt effektive rettigheder for registrerede, som
kan håndhæves, og effektiv administrativ og retslig prøvelse for de regi-
strerede, hvis personoplysninger overføres
b)tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyn-
digheder i tredjelandet, eller som den internationale organisation er un-
derlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesregler
overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå
og rådgive de registrerede, når de udøver deres rettigheder, og for samar-
bejde med tilsynsmyndighederne i medlemsstaterne, og
c)de internationale forpligtelser, som tredjelandet eller den internationale
organisation har påtaget sig, eller andre forpligtelser, der følger af retligt
bindende konventioner eller instrumenter og af landets eller organisatio-
nens deltagelse i multilaterale eller regionale systemer, navnlig vedrø-
rende beskyttelse af personoplysninger.
3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrække-
lighed ved hjælp af gennemførelsesretsakter fastslå, at et tredjeland, et om-
råde eller en eller flere specifikke sektorer i et tredjeland, eller en interna-
tional organisation sikrer et tilstrækkeligt beskyttelsesniveau i overens-
stemmelse med denne artikels stk. 2. I den pågældende gennemførelses-
retsakt fastsættes en mekanisme for regelmæssig revision, som foretages
mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tred-
jelandet eller den internationale organisation. I gennemførelsesretsakten
angives dennes territoriale og sektorbestemte anvendelsesområde og i på-
kommende tilfælde den eller de tilsynsmyndigheder, jf. denne artikels stk.
2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesprocedu-
ren i artikel 58, stk. 2.
4. Kommissionen overvåger løbende udviklinger i tredjelande og interna-
tionale organisationer, der kan påvirke virkningen af de afgørelser, der er
vedtaget i henhold til stk. 3.
5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er
nødvendigt, uden tilbagevirkende kraft afgørelsen omhandlet i denne arti-
kels stk. 3, hvis tilgængelige oplysninger, navnlig efter den i denne artikels
stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller
flere specifikke sektorer i et tredjeland, eller en international organisation
ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse
med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter un-
dersøgelsesproceduren i artikel 58, stk. 2.
I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen
efter proceduren i artikel 58, stk. 3, gennemførelsesretsakter, der finder an-
vendelse straks.
75
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
6. Kommissionen fører konsultationer med tredjelandet eller den interna-
tionale organisation med henblik på at afhjælpe den situation, der giver an-
ledning til en afgørelse vedtaget i henhold til stk. 5.
7. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse som an-
givet i stk. 5 ikke berører overførsel af personoplysninger til det pågælden-
de tredjeland, det pågældende område eller en eller flere specifikke sekto-
rer i dette tredjeland, eller den pågældende internationale organisation i
medfør af artikel 37 og 38.
8. Kommissionen offentliggør i
Den Europæiske Unions Tidende
og på
sit websted en liste over de tredjelande, områder og specifikke sektorer i
tredjelande samt internationale organisationer, som den har fastslået sikrer
eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.
Artikel 37
Overførsler omfattet af fornødne garantier
1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 36, stk. 3,
fastsætter medlemsstaterne bestemmelser om, at en overførsel af personop-
lysninger til et tredjeland eller en international organisation kan finde sted,
hvis:
a)der er givet de fornødne garantier, hvad angår beskyttelsen af personop-
lysninger, i et retligt bindende instrument, eller
b)den dataansvarlige har vurderet alle forhold i forbindelse med overførs-
len af personoplysninger og konkluderer, at der findes de fornødne ga-
rantier, hvad angår beskyttelsen af personoplysninger.
2. Den dataansvarlige underretter tilsynsmyndigheden om kategorier af
overførsler i medfør af stk. 1, litra b).
3. En overførsel, der er hjemlet i stk. 1, litra b), dokumenteres, og doku-
mentationen stilles til rådighed for tilsynsmyndigheden efter anmodning,
herunder dato og tidspunkt for overførslen, oplysninger om den modtagen-
de kompetente myndighed, begrundelsen for overførslen og de overførte
personoplysninger.
Artikel 38
Undtagelser i særlige situationer
1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet
i henhold til artikel 36 eller fornødne garantier i henhold til artikel 37 fast-
sætter medlemsstaterne bestemmelser om, at en overførsel eller en kategori
af overførsler af personoplysninger til et tredjeland eller en international
organisation kun må finde sted, såfremt overførslen er nødvendig:
76
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
a)for at beskytte den registreredes eller en anden persons vitale interesser
b)for at beskytte den registreredes legitime interesser, hvis det er fastsat i
national ret i den medlemsstat, der overfører personoplysningerne
c)for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats el-
ler et tredjelands offentlige sikkerhed
d) i enkeltsager med henblik på artikel 1, stk. 1, eller
e)i en enkeltsag for, at retskrav kan fastlægges, gøres gældende eller for-
svares med henblik på artikel 1, stk. 1.
2. Personoplysninger må ikke overføres, hvis den overførende kompeten-
te myndighed fastslår, at den pågældende registreredes grundlæggende ret-
tigheder og frihedsrettigheder går forud for samfundets interesse i over-
førslen, jf. stk. 1, litra d) og e).
3. En overførsel, der er hjemlet i stk. 1, skal dokumenteres, og dokumen-
tationen stilles til rådighed for tilsynsmyndigheden efter anmodning og
skal omfatte dato og tidspunkt for overførslen, oplysninger om den modta-
gende kompetente myndighed, begrundelsen for overførslen og angivelse
af de overførte personoplysninger.
Artikel 39
Overførsler af personoplysninger til modtagere i tredjelande
1. Uanset artikel 35, stk. 1, litra b), og uden at det berører en eventuel in-
ternational aftale, jf. nærværende artikels stk. 2, kan EU-retten eller med-
lemsstaternes nationale ret fastsætte bestemmelser om, at de kompetente
myndigheder omhandlet i artikel 3, nr. 7), litra a), i enkeltstående og speci-
fikke tilfælde skal overføre personoplysninger direkte til modtagere i tred-
jelande, men kun hvis de øvrige bestemmelser i dette direktiv overholdes,
og alle af følgende betingelser er opfyldt:
a)overførslen er strengt nødvendig for den overførende kompetente myn-
digheds udførelse af en opgave som fastlagt i EU-retten eller medlems-
staternes nationale ret med henblik på artikel 1, stk. 1
b)den overførende kompetente myndighed fastslår, at ingen af den pågæl-
dende registreredes grundlæggende rettigheder og frihedsrettigheder går
forud for samfundets interesse, der nødvendiggør overførslen i det fore-
liggende tilfælde
c)den overførende kompetente myndighed mener, at overførslen til en
myndighed, der i tredjelandet er kompetent med henblik på artikel 1, stk.
1, er ineffektiv eller uhensigtsmæssig, navnlig fordi overførslen ikke kan
foretages i tide
d)den myndighed, der i tredjelandet er kompetent med henblik på artikel 1,
stk. 1, underrettes uden unødig forsinkelse, medmindre dette er ineffek-
77
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
tivt eller uhensigtsmæssigt
e)den overførende kompetente myndighed underretter modtageren om det
eller de specifikke formål, hvortil sidstnævnte udelukkende kan behandle
personoplysningerne, forudsat at denne behandling er nødvendig.
2. En international aftale, jf. stk. 1, skal være en bilateral eller multilateral
international aftale, der er indgået mellem medlemsstater og tredjelande
om retligt samarbejde i straffesager og politisamarbejde.
3. Den overførende kompetente myndighed underretter tilsynsmyndighe-
den om overførsler i medfør af denne artikel.
4. Hvis en overførsel er hjemlet i stk. 1, skal denne overførsel dokumen-
teres.
Artikel 40
Internationalt samarbejde om beskyttelse af personoplysninger
Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og
internationale organisationer de nødvendige foranstaltninger til at:
a)udvikle internationale samarbejdsmekanismer med henblik på at lette ef-
fektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger
b)yde international gensidig bistand i håndhævelse af lovgivningen om be-
skyttelse af personoplysninger, herunder gennem anmeldelse, indbrin-
gelse af klager, efterforskningsbistand og informationsudveksling, under
iagttagelse af de fornødne garantier for beskyttelse af personoplysninger
og andre grundlæggende rettigheder og frihedsrettigheder
c)inddrage relevante parter i drøftelser og aktiviteter, der har til formål at
fremme det internationale samarbejde om håndhævelse af lovgivningen
om beskyttelse af personoplysninger
d)fremme udveksling og dokumentation af lovgivningen om beskyttelse af
personoplysninger og praksis på området, herunder om kompetencekon-
flikter med tredjelande.
78
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
KAPITEL VI
Uafhængige tilsynsmyndigheder
Afdeling 1
Uafhængig status
Artikel 41
Tilsynsmyndighed
1. Hver medlemsstat fastsætter bestemmelser om, at en eller flere uaf-
hængige offentlige myndigheder skal være ansvarlige for at føre tilsyn
med anvendelsen af dette direktiv, for at beskytte fysiske personers grund-
læggende rettigheder og frihedsrettigheder i forbindelse med behandling
og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyn-
dighed«).
2. Hver enkelt tilsynsmyndighed bidrager til den ensartede anvendelse af
dette direktiv i hele Unionen. Til dette formål samarbejder tilsynsmyndig-
hederne med hinanden og med Kommissionen i henhold til kapitel VII.
3. Medlemsstaterne kan fastsætte bestemmelser om, at en tilsynsmyndig-
hed, der er oprettet ved forordning (EU) 2016/679, skal være den tilsyns-
myndighed, der er omhandlet i dette direktiv, og skal overdrages ansvaret
for de opgaver, som skal udføres af den tilsynsmyndighed, der skal opret-
tes i medfør af denne artikels stk. 1.
4. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger
den pågældende medlemsstat en tilsynsmyndighed, der skal repræsentere
disse myndigheder i det i artikel 51 omhandlede databeskyttelsesråd.
Artikel 42
Uafhængighed
1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsyns-
myndighed skal udføre sine opgaver og udøve sine beføjelser i henhold til
dette direktiv i fuld uafhængighed.
2. Medlemsstaterne fastsætter bestemmelser om, at medlemmet eller
medlemmerne af deres tilsynsmyndigheder i forbindelse med udførelsen af
deres opgaver og udøvelsen af deres beføjelser i henhold til dette direktiv
skal være frie for udefrakommende indflydelse, det være sig direkte eller
indirekte, og at de hverken søger eller modtager instrukser fra andre.
3. Medlemmer af medlemsstaternes tilsynsmyndigheder skal afholde sig
fra enhver handling, der er uforenelig med deres hverv, og må ikke, så
79
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet
virksomhed.
4. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over
de nødvendige menneskelige, tekniske og finansielle ressourcer samt loka-
ler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine
beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand
samt samarbejde med og deltagelse i Databeskyttelsesrådet.
5. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og
råder over sit eget personale, der alene er under ledelse af medlemmet eller
medlemmerne af den pågældende tilsynsmyndighed.
6. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt
finansiel kontrol, som ikke påvirker dens uafhængighed, og at den fører
særskilte, offentlige årsbudgetter, der kan være en del af det samlede stats-
budget eller nationale budget.
Artikel 43
Generelle betingelser for medlemmer af en tilsynsmyndighed
1. Medlemsstaterne fastsætter bestemmelser om, at hvert medlem af deres
tilsynsmyndigheder skal udnævnes efter en gennemsigtig procedure af:
deres parlament
deres regering
deres statschef, eller
—et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har
fået overdraget ansvaret for udnævnelsen.
2. Hvert medlem skal have de kvalifikationer, den erfaring og den kom-
petence, navnlig på området beskyttelse af personoplysninger, der er nød-
vendig for at varetage dets hverv og udøve dets beføjelser.
3. Et medlems hverv ophører ved udløbet af embedsperioden, ved frivil-
lig fratrædelse eller ved obligatorisk fratrædelse i henhold til den pågæl-
dende medlemsstats nationale ret.
4. Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug,
eller hvis medlemmet ikke længere opfylder betingelserne for at varetage
sit hverv.
Artikel 44
Regler om oprettelse af en tilsynsmyndighed
1. Hver medlemsstat fastsætter ved lov bestemmelse om alle af følgende:
a) den enkelte tilsynsmyndigheds oprettelse
b)de nødvendige kvalifikationer og udvælgelseskriterier, der skal være op-
80
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
fyldt for at kunne blive udnævnt til medlem af den enkelte tilsynsmyn-
dighed
c)reglerne og procedurerne for udnævnelsen af medlemmet eller medlem-
merne af den enkelte tilsynsmyndighed
d)embedsperioden for medlemmet eller medlemmerne af den enkelte til-
synsmyndighed, som skal være mindst fire år, med undtagelse af den
første udnævnelse efter den 6. maj 2016, som kan være af kortere varig-
hed, hvis det er nødvendigt for at beskytte den pågældende tilsynsmyn-
digheds uafhængighed ved hjælp af en forskudt udnævnelsesprocedure
e)om og i bekræftende fald i hvor mange embedsperioder medlemmet eller
medlemmerne af den enkelte tilsynsmyndighed kan genudnævnes
f)betingelserne vedrørende forpligtelserne for den enkelte tilsynsmyndig-
heds medlem eller medlemmer og personale, forbud mod handlinger,
hverv og fordele, der er uforenelige hermed, under og efter embedsperio-
den samt regler for arbejdsophør.
2. Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale
har i overensstemmelse med EU-retten eller medlemsstaternes nationale
ret såvel under som efter deres embedsperiode tavshedspligt for så vidt an-
går alle fortrolige oplysninger, der er kommet til deres kendskab under ud-
førelsen af deres opgaver eller udøvelsen af deres beføjelser. I deres em-
bedsperiode gælder denne tavshedspligt især indberetninger fra fysiske
personer af overtrædelser af dette direktiv.
Afdeling 2
Kompetence, opgaver og beføjelser
Artikel 45
Kompetence
1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsyns-
myndighed skal have kompetence til at udføre de opgaver og udøve de be-
føjelser, der tillægges den i overensstemmelse med dette direktiv, på dens
egen medlemsstats område.
2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsyns-
myndighed ikke skal have kompetence til at føre tilsyn med domstolenes
behandlingsaktiviteter, når de handler i deres egenskab af domstol. Med-
lemsstaterne kan fastsætte bestemmelser om, at deres tilsynsmyndighed ik-
ke skal have kompetence til at føre tilsyn med andre uafhængige judicielle
myndigheders behandlingsaktiviteter, når de udfører deres judicielle opga-
ver.
81
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 46
Opgaver
1. Hver medlemsstat fastsætter for sit område bestemmelser om, at den
enkelte tilsynsmyndighed skal:
a)føre tilsyn med og håndhæve anvendelsen af de bestemmelser, der vedta-
ges i henhold til dette direktiv, og gennemførelsesbestemmelserne hertil
b)fremme offentlighedens kendskab til og forståelse af risici, regler, garan-
tier og rettigheder i forbindelse med behandling
c)i henhold til medlemsstaternes nationale ret rådgive det nationale parla-
ment, regeringen og andre institutioner og organer om lovgivningsmæs-
sige og administrative foranstaltninger til beskyttelse af fysiske perso-
ners rettigheder og frihedsrettigheder i forbindelse med behandling
d)fremme dataansvarliges og databehandleres kendskab til deres forpligtel-
ser i medfør af dette direktiv
e)efter anmodning informere alle registrerede om udøvelsen af deres ret-
tigheder i medfør af dette direktiv og med henblik herpå samarbejde med
tilsynsmyndighederne i andre medlemsstater, hvis det er relevant
f)behandle klager, der indgives af en registreret eller af et organ, en organi-
sation eller en sammenslutning i overensstemmelse med artikel 55, og,
for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og
underrette klageren om forløbet og resultatet af undersøgelsen inden for
en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering
med en anden tilsynsmyndighed er nødvendig
g)kontrollere, om en behandling er lovlig i henhold til artikel 17, og i hen-
hold til nævnte artikels stk. 3 underrette den registrerede inden for en ri-
melig frist om resultatet af undersøgelsen eller om årsagerne til, at un-
dersøgelsen ikke er foretaget
h)samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling
af oplysninger og gensidig bistand med henblik på at sikre ensartet an-
vendelse og håndhævelse af dette direktiv
i)gennemføre undersøgelser om anvendelsen af dette direktiv, herunder på
grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed
eller en anden offentlig myndighed
j)holde øje med relevant udvikling, for så vidt den har indvirkning på be-
skyttelse af personoplysninger, navnlig udviklingen for informations- og
kommunikationsteknologi
k)rådgive om behandlingsaktiviteter som omhandlet i artikel 28, og
l) bidrage til Databeskyttelsesrådets aktiviteter.
82
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
2. Hver tilsynsmyndighed letter indgivelsen af klager, jf. stk. 1, litra f),
gennem foranstaltninger som f.eks. en klageformular, der også kan udfyl-
des elektronisk, uden at udelukke andre kommunikationsmidler.
3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den
registrerede og for databeskyttelsesrådgiveren.
4. Hvis en anmodning er åbenbart grundløs eller uforholdsmæssig, især
fordi den gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr ba-
seret på dens administrative omkostninger eller afvise at efterkomme an-
modningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller
uforholdsmæssig, påhviler tilsynsmyndigheden.
Artikel 47
Beføjelser
1. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte
tilsynsmyndighed skal have effektive undersøgelsesbeføjelser. Disse befø-
jelser skal som minimum indeholde beføjelse til af den dataansvarlige eller
databehandleren at få indsigt i alle de personoplysninger, der er under be-
handling, og alle oplysninger, der kræves til udførelse af myndighedens
opgaver.
2. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte
tilsynsmyndighed skal have effektive korrigerende beføjelser såsom f.eks.:
a)at udstede advarsler til en dataansvarlig eller en databehandler om, at
planlagte behandlingsaktiviteter sandsynligvis vil være i strid med de be-
stemmelser, der vedtages i henhold til dette direktiv
b)at give den dataansvarlige eller databehandleren påbud om at bringe be-
handlingsaktiviteter i overensstemmelse med de bestemmelser, der ved-
tages i henhold til dette direktiv, hvis det er hensigtsmæssigt, på en nær-
mere angivet måde og inden for en nærmere angivet frist, navnlig ved at
give påbud om berigtigelse eller sletning af personoplysninger eller be-
grænsning af behandling i henhold til artikel 16
c)midlertidigt eller definitivt at begrænse, herunder forbyde, behandling.
3. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte
tilsynsmyndighed skal have effektive rådgivningsbeføjelser til at rådgive
den dataansvarlige efter den procedure for forudgående høring, der er om-
handlet i artikel 28, og på eget initiativ eller efter anmodning at afgive ud-
talelser til dens nationale parlament og dens regering eller i henhold til sin
nationale ret til andre institutioner og organer samt offentligheden om et-
hvert spørgsmål om beskyttelse af personoplysninger.
4. Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør
af denne artikel, er underlagt de fornødne garantier, herunder effektive
83
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
retsmidler og retfærdig procedure, som fastsat i EU-retten og medlemssta-
ternes nationale ret i overensstemmelse med chartret.
5. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte
tilsynsmyndighed skal have beføjelse til at indbringe overtrædelser af de
bestemmelser, der vedtages i henhold til dette direktiv, for de judicielle
myndigheder og om nødvendigt at indlede eller på anden måde deltage i
retssager med henblik på at håndhæve de bestemmelser, der vedtages i
henhold til dette direktiv.
Artikel 48
Indberetning af overtrædelser
Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndighe-
der skal indføre effektive mekanismer, som tilskynder til fortrolig indbe-
retning af overtrædelser af dette direktiv.
Artikel 49
Aktivitetsrapport
Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed,
eventuelt med en liste over, hvilke typer overtrædelser der er blevet an-
meldt, og hvilke typer sanktioner der er blevet pålagt. Disse rapporter
fremsendes til det nationale parlament, regeringen og andre myndigheder,
der er udpeget i henhold til medlemsstaternes nationale ret. De gøres til-
gængelige for offentligheden, Kommissionen og Databeskyttelsesrådet.
KAPITEL VII
Samarbejde
Artikel 50
Gensidig bistand
1. Hver medlemsstat fastsætter bestemmelser om, at deres tilsynsmyndig-
heder skal udveksle relevante oplysninger og yde hinanden gensidig bi-
stand med henblik på at gennemføre og anvende dette direktiv på en ensar-
tet måde, og træffe foranstaltninger med henblik på et effektivt samarbejde
med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplys-
ninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførel-
se af høringer, inspektioner og undersøgelser.
2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsyns-
myndighed skal træffe alle passende foranstaltninger, som er nødvendige
84
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig
forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådan-
ne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger
om gennemførelsen af en undersøgelse.
3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger,
herunder formålet med og grunden til anmodningen. Udvekslede oplysnin-
ger må kun anvendes til det formål, som er angivet i anmodningen.
4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme an-
modningen, medmindre:
a)den ikke har kompetence med hensyn til genstanden for anmodningen el-
ler de foranstaltninger, som den anmodes om at iværksætte, eller
b)imødekommelse af anmodningen ville udgøre en overtrædelse af dette
direktiv eller af EU-ret eller medlemsstaternes nationale ret, som den til-
synsmyndighed, der modtager anmodningen, er underlagt.
5. Den anmodede tilsynsmyndighed underretter den anmodende tilsyns-
myndighed om resultaterne eller efter omstændighederne om fremskridte-
ne med de foranstaltninger, der er truffet for at imødekomme anmodnin-
gen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at
imødekomme en anmodning i henhold til stk. 4.
6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplys-
ninger, som andre tilsynsmyndigheder anmoder om, elektronisk i et stan-
dardformat.
7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstalt-
ninger, der træffes af dem på grundlag af en anmodning om gensidig bi-
stand. Tilsynsmyndighederne kan vedtage regler om at godtgøre hinanden
for specifikke udgifter, der opstår under ekstraordinære omstændigheder,
når der ydes gensidig bistand.
8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge
format og procedurer for gensidig bistand som omhandlet i denne artikel
og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyn-
digheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse
gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel
58, stk. 2.
Artikel 51
Databeskyttelsesrådets opgaver
1. Databeskyttelsesrådet, der er oprettet ved forordning (EU) 2016/679,
udøver alle af følgende opgaver i forbindelse med behandling af personop-
lysninger inden for dette direktivs anvendelsesområde:
a)rådgiver Kommissionen om ethvert spørgsmål vedrørende beskyttelse af
85
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
personoplysninger i Unionen, herunder om ethvert forslag til ændring af
dette direktiv
b)undersøger, på eget initiativ, efter anmodning fra et af sine medlemmer
eller efter anmodning fra Kommissionen ethvert spørgsmål vedrørende
anvendelsen af dette direktiv og udsteder retningslinjer, henstillinger og
bedste praksis for at fremme ensartet anvendelse af dette direktiv
c)udarbejder retningslinjer for tilsynsmyndighederne vedrørende anvendel-
se af foranstaltninger, jf. artikel 47, stk. 1 og 3
d)udstede retningslinjer, henstillinger og bedste praksis i overensstemmel-
se med dette afsnits litra b) med henblik på fastlæggelse af brud på per-
sondatasikkerheden og den unødige forsinkelse omhandlet i artikel 30,
stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en
dataansvarlig eller en databehandler har pligt til at anmelde brud på per-
sondatasikkerheden
e)udstede retningslinjer, henstillinger og bedste praksis i overensstemmel-
se med dette afsnits litra b) vedrørende de omstændigheder, hvor et brud
på persondatasikkerheden sandsynligvis vil indebære en høj risiko for
fysiske personers rettigheder og frihedsrettigheder som omhandlet i arti-
kel 31, stk. 1
f)gennemgår den praktiske anvendelse af de retningslinjer og henstillinger
og den bedste praksis, der er omhandlet i litra b) og c)
g)afgive udtalelse til Kommissionen med henblik på vurdering af tilstræk-
keligheden af beskyttelsesniveauet i et tredjeland, et område eller en el-
ler flere specifikke sektorer i et tredjeland, eller en international organi-
sation, herunder vurdering af, om et sådant tredjeland, et sådant område,
en sådan specifik sektor eller en sådan international organisation ikke
længere sikrer et tilstrækkeligt beskyttelsesniveau
h)fremmer samarbejdet og en effektiv bilateral og multilateral udveksling
af oplysninger og bedste praksis mellem tilsynsmyndighederne
i)fremmer fælles uddannelsesprogrammer og udveksling af personale mel-
lem tilsynsmyndighederne og i relevante tilfælde med tilsynsmyndighe-
derne i tredjelande eller med internationale organisationer
j)fremmer udveksling af viden og dokumentation vedrørende databeskyt-
telsesret og -praksis med datatilsynsmyndigheder over hele verden.
For så vidt angår første afsnit, litra g), forelægger Kommissionen Databe-
skyttelsesrådet al nødvendig dokumentation for, herunder korrespondance
med regeringen i tredjelandet, med området eller den specifikke sektor i
tredjelandet, eller med den internationale organisation.
2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning,
kan den fastsætte en frist under hensyntagen til, hvor meget den pågælden-
de sag haster.
86
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, hen-
stillinger og bedste praksis til Kommissionen og det udvalg, der er om-
handlet i artikel 58, stk. 1, og offentliggør dem.
4. Kommissionen underretter Databeskyttelsesrådet om sin opfølgning på
udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Da-
tabeskyttelsesrådet.
KAPITEL VIII
Retsmidler, ansvar og sanktioner
Artikel 52
Ret til at indgive klage til en tilsynsmyndighed
1. Uden at det berører andre administrative klageadgange eller adgang til
retsmidler, fastsætter medlemsstaterne bestemmelser om, at enhver regi-
streret skal have ret til at indgive klage til en enkelt tilsynsmyndighed, hvis
den registrerede finder, at behandlingen af personoplysninger vedrørende
vedkommende overtræder de bestemmelser, der vedtages i henhold til det-
te direktiv.
2. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndig-
hed, som klagen er indgivet til, uden unødig forsinkelse skal videresende
den til den kompetente tilsynsmyndighed, hvis klagen ikke er indgivet til
den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1. Den
registrerede underrettes om videresendelsen.
3. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndig-
hed, som klagen er indgivet til, skal yde supplerende bistand efter den regi-
streredes anmodning.
4. Den kompetente tilsynsmyndighed underretter den registrerede om for-
løbet og resultatet af klagen, herunder om muligheden for anvendelse af
retsmidler, jf. artikel 53.
Artikel 53
Adgang til effektive retsmidler over for en tilsynsmyndighed
1. Uden at det berører andre administrative eller udenretslige klageadgan-
ge, fastsætter medlemsstaterne bestemmelser om, at enhver fysisk eller
juridisk person har ret til effektive retsmidler over for en juridisk bindende
afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.
2. Uden at det berører andre administrative eller udenretslige klageadgan-
ge, har den enkelte registrerede adgang til effektive retsmidler, hvis den
tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1, ikke be-
87
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
handler en klage eller undlader at underrette den registrerede om forløbet
eller resultatet af en klage, der er indgivet i henhold til artikel 52, inden for
tre måneder.
3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsyns-
myndighed skal anlægges ved en domstol i den medlemsstat, hvor tilsyns-
myndigheden er etableret.
Artikel 54
Adgang til et effektivt retsmiddel over for en dataansvarlig eller data-
behandler
Uden at det berører andre tilgængelige administrative eller udenretslige
klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i
henhold til artikel 52, fastsætter medlemsstaterne bestemmelser om, at en
registreret skal have adgang til effektive retsmidler, hvis vedkommende
finder, at vedkommendes rettigheder fastsat i bestemmelser, der er vedta-
get i henhold til dette direktiv, er blevet krænket som følge af behandling
af vedkommendes personoplysninger i strid med dette direktiv.
Artikel 55
Repræsentation af registrerede
Medlemsstaterne fastsætter i overensstemmelse med medlemsstaternes na-
tionale retsplejeregler bestemmelser om, at den registrerede skal have ret
til at bemyndige et organ, en organisation eller en sammenslutning, der er
etableret i overensstemmelse med medlemsstaternes nationale ret, som ik-
ke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen
interesse, og som er aktiv på området for beskyttelse af registreredes rettig-
heder og frihedsrettigheder med hensyn til beskyttelse af deres personop-
lysninger, til at indgive en klage på sine vegne og til at udøve de rettighe-
der, der er omhandlet i artikel 52, 53 og 54, på sine vegne.
Artikel 56
Ret til erstatning
Medlemsstaterne fastsætter bestemmelser om, at enhver person, som har
lidt materiel eller immateriel skade som følge af en ulovlig behandlingsak-
tivitet eller enhver anden handling, der overtræder de nationale bestemmel-
ser, der vedtages i henhold til dette direktiv, har ret til erstatning for den
forvoldte skade fra den dataansvarlige eller en anden myndighed, der er
kompetent i henhold til medlemsstaternes nationale ret.
88
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 57
Sanktioner
Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i til-
fælde af overtrædelser af de bestemmelser, der vedtages i henhold til dette
direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de an-
vendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til over-
trædelsen og have afskrækkende virkning.
KAPITEL IX
Gennemførelsesretsakter
Artikel 58
Udvalgsprocedure
1. Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning
(EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning
(EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr.
182/2011 anvendelse.
3. Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr.
182/2011 sammenholdt med dennes artikel 5 anvendelse.
KAPITEL X
Afsluttende bestemmelser
Artikel 59
Ophævelse af rammeafgørelse 2008/977/RIA
1. Rammeafgørelse 2008/977/RIA ophæves med virkning fra den 6. maj
2018.
2. Henvisninger til den ophævede afgørelse, jf. stk. 1, gælder som henvis-
ninger til dette direktiv.
Artikel 60
EU-retsakter, der allerede er i kraft
De særlige bestemmelser til beskyttelse af personoplysninger i EU-retsak-
ter, der den eller inden den 6. maj 2016 er trådt i kraft på området for ret-
ligt samarbejde i straffesager og politisamarbejde, og som regulerer be-
89
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
handling mellem medlemsstaterne og medlemsstaternes udpegede myndig-
heders adgang til informationssystemer, der er oprettet i henhold til trakta-
terne inden for dette direktivs anvendelsesområde, berøres ikke.
Artikel 61
Forhold til tidligere indgåede internationale aftaler på området for
retligt samarbejde i straffesager og politisamarbejde
Internationale aftaler, der omfatter overførsel af personoplysninger til tred-
jelande eller internationale organisationer, som er indgået af medlemssta-
terne inden den 6. maj 2016, og som overholder den EU-ret, der finder an-
vendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller
ophæves.
Artikel 62
Kommissionsrapporter
1. Senest den 6. maj 2022 og hvert fjerde år derefter forelægger Kommis-
sionen Europa-Parlamentet og Rådet en rapport om evaluering og revision
af dette direktiv. Rapporterne skal offentliggøres.
2. I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner
undersøger Kommissionen navnlig, hvordan kapitel V om overførsel af
personoplysninger til tredjelande eller internationale organisationer anven-
des og fungerer, særlig med hensyn til afgørelser vedtaget i henhold til ar-
tikel 36, stk. 3, og artikel 39.
3. Kommissionen kan med henblik på stk. 1 og 2 anmode om oplysninger
fra medlemsstaterne og tilsynsmyndighederne.
4. Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, ta-
ger den hensyn til holdninger og resultater fra Europa-Parlamentet, fra Rå-
det og fra andre relevante organer eller kilder.
5. Kommissionen forelægger om nødvendigt relevante forslag med hen-
blik på ændring af dette direktiv, navnlig under hensyntagen til udviklin-
gen inden for informationsteknologi og i lyset af fremskridtene i informa-
tionssamfundet.
6. Senest den 6. maj 2019 gennemgår Kommissionen andre vedtagne EU-
retsakter, som regulerer de kompetente myndigheders behandling med
henblik på artikel 1, stk. 1, herunder dem, der er omhandlet i artikel 60, for
at vurdere behovet for at tilpasse dem til dette direktiv og, hvis det er hen-
sigtsmæssigt, at fremsætte de forslag til ændring af disse retsakter, der
måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af
personoplysninger inden for dette direktivs anvendelsesområde.
90
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
Artikel 63
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest den 6. maj 2018 de
love og administrative bestemmelser, der er nødvendige for at efterkomme
dette direktiv. De meddeler straks Kommissionen teksten til disse love og
bestemmelser. De anvender disse love og bestemmelser fra den 6. maj
2018.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning
til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan hen-
visning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.
2. Uanset stk. 1 kan en medlemsstat i ekstraordinære tilfælde, og hvis det
er uforholdsmæssigt vanskeligt, fastsætte bestemmelser om, at automatiske
behandlingssystemer, der er indført før den 6. maj 2016, skal bringes i
overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.
3. Uanset denne artikels stk. 1 og 2 kan en medlemsstat under ekstraordi-
nære omstændigheder bringe et automatisk behandlingssystem som om-
handlet i denne artikels stk. 2 i overensstemmelse med artikel 25, stk. 1,
inden for en nærmere angivet periode efter den periode, der er omhandlet i
nærværende artikels stk. 2, hvis det i modsat fald ville forårsage alvorlige
vanskeligheder for driften af det pågældende automatiske behandlingssy-
stem. Den pågældende medlemsstat meddeler Kommissionen årsagerne til
disse alvorlige vanskeligheder og årsagerne til den angivne periode, inden
for hvilken den bringer det pågældende automatiske behandlingssystem i
overensstemmelse med artikel 25, stk. 1. Den angivne periode må under
ingen omstændigheder være senere end den 6. maj 2026.
4. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste na-
tionale retsforskrifter, som de udsteder på det område, der er omfattet af
dette direktiv.
Artikel 64
Ikrafttræden
Dette direktiv træder i kraft dagen efter offentliggørelsen i
Den Europæi-
ske Unions Tidende.
Artikel 65
Adressater
Dette direktiv er rettet til medlemsstaterne.
91
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0092.png
Udfærdiget i Bruxelles, den 27. april 2016.
På Europa-Parlamentets vegne
M. SCHULZ
Formand
På Rådets vegne
J.A. HENNIS-PLASSCHAERT
Formand
(
1
) EUT C 391 af 18.12.2012, s. 127.
(
2
)
Europa-Parlamentets holdning af 12.3.2014 […] og Rådets førstebe-
handlingsholdning af 8.4.2016 (endnu ikke offentliggjort i EUT). Europa-
Parlamentets holdning af 14.4.2016.
(
3
)
Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995
om beskyttelse af fysiske personer i forbindelse med behandling af perso-
noplysninger og om fri udveksling af sådanne oplysninger (EFT
L 281 af
23.11.1995, s. 31).
(
4
)
Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om be-
skyttelse af personoplysninger i forbindelse med politisamarbejde og ret-
ligt samarbejde i kriminalsager (EUT
L 350 af 30.12.2008, s. 60).
(
5
)
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
2016 om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger og om op-
hævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (se
side 1 i denne EUT).
(
6
)
Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. de-
cember 2000 om beskyttelse af fysiske personer i forbindelse med behand-
ling af personoplysninger i fællesskabsinstitutionerne og -organerne og om
fri udveksling af sådanne oplysninger (EFT
L 8 af 12.1.2001, s. 1).
(
7
)
Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011
om patientrettigheder i forbindelse med grænseoverskridende sundhedsy-
delser (EUT
L 88 af 4.4.2011, s. 45).
(
8
)
Rådets fælles holdning 2005/69/RIA af 24. januar 2005 om udveksling
af bestemte oplysninger med Interpol (EUT
L 27 af 29.1.2005, s. 61).
(
9
)
Rådets afgørelse 2007/533/RIA af 12. juni 2007 om oprettelse, drift og
brug af anden generation af Schengen-informationssystemet (SIS II) (EUT
L 205 af 7.8.2007, s. 63).
(
10
)
Rådets direktiv 77/249/EØF af 22. marts 1977 om lettelser med hen-
blik på den faktiske gennemførelse af advokaters fri udveksling af tjene-
steydelser (EFT
L 78 af 26.3.1977, s. 17).
(
11
)
Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16.
februar 2011 om de generelle regler og principper for, hvordan medlems-
92
 EUU, Alm.del - 2015-16 - Bilag 884: Udkast til beslutningsforslag om Danmarks tilslutning på mellemstatsligt grundlag til EU’s direktiv om databeskyttelse på retshåndhævelsesområdet
1665764_0093.png
staterne skal kontrollere Kommissionens udøvelse af gennemførelsesbefø-
jelser (EUT
L 55 af 28.2.2011, s. 13).
(
12
)
Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af
det grænseoverskridende samarbejde, navnlig om bekæmpelse af terroris-
me og grænseoverskridende kriminalitet (EUT
L 210 af 6.8.2008, s. 1).
(
13
)
Rådets retsakt af 29. maj 2000 om udarbejdelse i henhold til artikel 34
i traktaten om Den Europæiske Union af konventionen om gensidig rets-
hjælp i straffesager mellem Den Europæiske Unions medlemsstater (EFT
C 197 af 12.7.2000, s. 1).
(
14
)
Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december
2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og
børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA
(EUT
L 335 af 17.12.2011, s. 1).
(
15
) EFT L 176 af 10.7.1999, s. 36.
(
16
) EUT L 53 af 27.2.2008, s. 52.
(
17
) EUT L 160 af 18.6.2011, s. 21.
(
18
) EUT C 192 af 30.6.2012, s. 7.
93